Manajemen Keamanan Informasi

Manajemen Keamanan Informasi Kuliah ke-8

Malware (Virus) & Antivirus

Oleh : EBTA SETIAWAN www.fti.mercubuana-yogya.ac.id

Introduction to Malware Malware = Malicious Software  Malware adalah software yang digunakan atau dibuat penyerang untuk mengganggu/mengacaukan operasi komputer, mengambil data sensitif, mendapatkan akses ke komputer, atau hal yg membahayakan lainnya. 

• Malware dapat berbentuk code, script, konten aktif, dan software • 'Malware' adalah istilah umum yang digunakan untuk berbagai bentuk software/aplikasi perusak

Perkembangan Malware

Perkembangan Malware Desember 1984 terdeteksi hanya sekitar 12 total malware, tahun 1999 untuk Windows terdeteksi sekitar 579,026 malware.  Terus meningkat, pada tahun 2006 sekitar 2.8 juta, dan tahun 2007 menjadi 8.7 juta ( tahun ketika windows Vista di rilis dan penyebaran Windows XP sangat besar sampai 400 juta copy)  4 tahun kemudian, 2011 membengkak menjadi sekitar 64.8 juta. Desember 2012 lebih dari 95juta.  Selama tahun 2012, ada tambahan malware baru sekitar 2-3juta/bulan. 

Perkembangan Malware baru tiap bulan

Mengapa Perlu dipelajari? 

Penting bagi kita untuk mempelajari seperti apa dan bagaimana kerjanya, sehingga kita bisa mencegah malware merusak atau paling tidak meredam efeknya. ◦ ◦ ◦ ◦ ◦ ◦ ◦ ◦

Bagaimana malware mengambil alih sistem Bagaimana malware masuk/menyusup ke komputer Bagaimana malware menyebar Bagaimana malware menyembunyikan diri Bagaimana mengenali malware Bagaimana mendeteksi malware Bagaimana menghentikan/menghapus malware Bagaimana mencegah malware masuk

Berbagai Jenis Malware 

Malware adalah istilah umum dan digunakan untuk berbagai jenis program berbahaya. Jenis-jenis malware antara lain : ◦ ◦ ◦ ◦ ◦ ◦ ◦

Virus Worm Trojan ( Trojan horses) Rootkit Spyware Exploits Adware

Pandalabs 7-Aug-2012

VIRUS Komputer Program komputer yang dibuat untuk menginfeksi file, memasukkan kode tertentu dalam file yang di infeksi dan memperbanyak diri sendiri.  Efek bisa bermacam macam, mulai dari performa yang lambat, kerusakan sistem sampai data hilang.  Mirip dengan istilah Virus dalam bidang Biologi, yang masuk ke tubuh dan menginfeksi  Virus biasanya menginfeksi file executable (EXE, COM) atau Portable Executable (PE) : DLL, OCX, SCR, SYS, tetapi bisa juga file dokumen semperti PDF dan HTML 

A CIH Story 

Muncul pertama kali di Taiwan pada tahun 1998, CIH dikenal sebagai salah satu virus yang paling berbahaya.



Dibuat oleh salah satu mahasiswa Tatung University (Taiwan), Cheng Ing-hau, atas tantangan dari sebuah software antivirus. Sekitar 60 juta komputer didunia terinfeksi virus ini dan mengakibatkan kerugian sekitar 1 Milyar dollar. Virus menginfeksi file executable Windows 95,98 dan ME dan mampu aktif di memory dan menginfeksi file lainnya. Setelah virus aktif, virus akan menumpuk data di hardisk, sehingga rusak termasuk mampu menumpuk BIOS sehingga tidak bisa booting. Ukuran virus hanya 1024 bytes ( 1 KB )

  



A CIH Story – cont 





Ketika virus menyebar di kampus, Chen Ing-hau meminta maaf dan membuatkan antivirus untuk publik. Karena tidak ada korban yang menuntut secara hukum, perkara ini tidak bisa di proses pengadilan. Saat ini CIH tidak menyebar luas seperti dulu karena kesadaran yg lebih tinggi dan lagi hanya berefek di Windows 95,98 dan ME Tahun 2001 dan 2002 modifikasi CIH baru muncul, tetapi bukan merupakan ancaman serius

• Beberapa tahun kemudian, penulis virus CIH bekerja sebagai developer di Gigabyte Communication

Target Sasaran Virus 

 

 

 



Binary executable files ( EXE, COM DLL, SYS, OCX, dll) Volume Boot Record dari Floppy disk dan Partisi Hardisk Master Boot Record (MBR) dari Hardisk Berbagai jenis script ( misalnya: batch files /.bat,VBScript/.vbs, Shell script dan sejenisnya) Script sistem spesifik seperti Autorun.inf ( file yang digunakan windows untuk menjalankan file secara otomatis di USB, CD, DVD atau media eksternal lainnya) Dokumen yang mendukung penggunaan Macro ( Ms Word, Excel, AmiPro,Access database dll) Celah keamanan Cross-site scripting dalam aplikasi berbasis web Berbagai file lain yang terdapat celah keamanan seperti buffer overflow, format string dsb

Teknologi (teknik-teknik) Virus Membuat tanggal file modified tetap sama  Menginfeksi file tanpa merusak file atau menambah ukuran file. Virus menggunakan area tidak terpakai di file EXE, seperti misalnya CIH (karena ukurannya hanya 1 KB).  Untuk menghindari dirinya di tutup/close, virus terlebih dahulu merusak/mematikan aplikasi keamanan (antivirus, firewall dll)  Polymorphic code, untuk menghindari deteksi dari antivirus 

Teknologi (teknik-teknik) Virus – cont 

Untuk menghindari deteksi oleh pengguna komputer, berbagai cara digunakan oleh virus : ◦ Menggunakan icon dokumen (word, excel, access dll) ◦ Menyembunyikan ekstensi asli virus. Misalnya sality.exe dinamakan sality.doc.exe, sehingga ketika ekstensi file tidak ditampilkan, nama file terlihat sality.doc ◦ Menduplikasi diri dengan nama file yang sudah ada dan menghapus/menyembunyikan file/dokumen asli

Applikasi online rentan serangan

Teknik Penyebaran Virus 

Removable Storage ◦ Autorun.inf di CD, DVD ROM, USB Flashdisk, HDD eksternal ◦ Celah keamanan di shortcut windows.



E-Mail & Download ◦ Email yang menyertakan attachment baik dalam zip atau lainnya ◦ konten berisi link tidak jelas



Shared Directories ◦ Virus mudah menempatkan file di shared directories



Download file dari file sharing ◦ Torrent, 4shared, mediafire, hotfile, dll

Worms 

    

Worm merupakan program komputer yang membuat duplikasi dirinya sendiri di tempat-tempat yang berbeda untuk menyebar di banyak komputer. Perbedaan dari virus, bahwa worm tidak menginfeksi atau menginjeksi file Efek bisa sama dengan virus, merusak, menghapus file dll. Tujuan utama untuk menyebar dan menginfeksi komputer sebanyak mungkin Teknik penyebaran, menyembunyikan diri seperti teknik virus. Perkembangan saat ini worm banyak digunakan sebagai botnets, yang mengontrol ribuan komputer di Dunia

Trojan (Horse) Program berbahaya yang menyerupi file resmi atau membantu tetapi sebenarnya tujuan utama agar di install/jalankan sehingga memungkinkan komputer bisa diakses dari luar (jaringan/internet)  Trojan tidak menginfeksi file seperti halnya virus, serta tidak banyak menduplikasi diri.  Mengambil istilah dari Trojan Horse pada jaman Yunani, dengan bertindak sebagai hadiah yang tidak berbahaya. Padahal ingin agar pengguna menginstallnya 

Tujuan dan Penggunaan Trojan         

Menggunakan komputer sebagai bagian dari botnet (menyebarkan spam otomatis, menyebarkan DDoS) Pencurian uang Pencurian data ( seperti passeord atau informasi kartu kredit) Installasi software termasuk malware pihak ketiga Download dan upload file di komputer pengguna Modifikasi atau penghapusan file Keystroke logging (keylogger) Mengawasi tampilan (screen) pengguna Membuat komputer crash

Trojan Horse

Rootkits (Malware) Merupakan program yang didesign untuk menyembunyikan object seperti processes, file atau entri Windows Registry  Jenis ini sebenarnya tidak berbahaya, tetapi dimanfaatkan oleh pembuat malware untuk menyembunyikan langkah dan menginfeksi sistem.  Rootkit memungkinkan malware tetap tersembunyi dan tidak terdeteksi. 

Spyware (Malware) Jenis malware yang terinstall di komputer yang mengumpulkan informasi tentang pengguna dan memonitor tingkah laku menggunakan komputer atau internet.  Biasanya tersembunyi lokasinya dan sulit di deteksi, contoh : Keylogger  Spyware terkadang terinstall bersama software terpercaya sebagai bundle tambahan. 

Malware Lainnya 

Exploit ◦ Merupakan teknik atau program yang memanfaatkan celah keamanan dalam protokol komunikasi tertentu, sistem operasi atau kelengkapan IT lainnya.



Adware ◦ Program, script atau kode yang menampilkan iklan produk tertentu baik produk sendiri atau pihak ketiga ◦ Terkadang jenis ini masuk ke kategori Spyware

ANTIVIRUS 

Antivirus (anti-virus) merupakan software yang digunakan untuk mencegah, mendeteksi atau menghapus malware seperti: virus, adware, worms, trojan dsb.

3 tugas utama : • Detection/Identification • Prevention (pencegahan) • Disinfection (menghapus atau cleaning malware)

Identification/Detection Method 

Signature based detection ◦ Antivirus membuat database yang berisi virus signatures, dan membandingkan dengan file yg discan. ◦ Virus Signature = pola biner tertentu didalam kode virus. ◦ Karena virus signatures baru didapat setelah ada sample virus, maka kadang tidak efektif untuk virus baru. ◦ Tidak efektif sejak munculnya polimorphic virus, yang mampu memodifikasi dirinya sendiri sehingga signature senantiasa berbeda



Heuristic-based detection ◦ Deteksi berdasarkan tingkah laku virus ◦ Mampu mendeteksi virus baru yang belum ada di database

Referensi & Bahan Bacaan http://en.wikipedia.org/wiki/Malware  http://www.pandasecurity.com/homeusers/securityinfo/types-malware/  http://en.wikipedia.org/wiki/Antivirus 