“Malware
Forensik”
Kelompok
5
Nama : 1. Fahmi Firdaus
2. Jihan Haydara
3. Kurnia Putri M
4. Stevi Kristianto
5. Suhendi
Kelas : 4IA02
Mata
Kuliah : Pengantar Forensik Teknologi
Informatika
Definisi
Banyak pengguna komputer normal tetap
tidak familiar dengan istilah "malware" dan kebanyakan tidak pernah
menggunakan istilah ini. Daripada itu istilah "virus komputer" secara
tidak tepat digunakan, sekalipun media menggambarkan setiap jenis malware,
walau tidak semua malware adalah virus. ‘Malware” adalah program komputer yang
diciptakan dengan maksud dan tujuan utama mencari kelemahan software. Umumnya
Malware diciptakan untuk membobol atau merusak suatu software atau operating
sistem. Secara hukum, malware kadang-kadang dikenal sebagai
"pencemar" komputer, sebagai contohnya di negara bagian
California,West Virginia, dan beberapa negara bagian lainnya. Malware merupakan
kombinasi dari kata malicious dan software. Istilah ini secara umum digunakan
oleh industri komputer profesional dan meliputi didalamnya semua jenis program
kode yang melawan, mengganggu, atau menjengkelkan. Malware bukanlah merupakan
software yang rusak atau cacat, biasanya software-software itu sah hanya saja
terdapat bug yang merusak.
Jenis-jenis
Malware
1. Virus
Inilah istilah yang
sering dipakai untuk seluruh jenis perangkat lunak yang mengganggu computer.
Bisa jadi karena inilah tipe malware pertama yang muncul.
Virus bisa bersarang di
banyak tipe file. Tapi boleh dibilang, target utama virus adalah file yang bisa
dijalankan seperti EXE, COM dan VBS, yang menjadi bagian dari suatu perangkat
lunak. Boot sector juga sering dijadikan sasaran virus untuk bersarang.
Beberapa file dokumen juga bisa dijadikan sarang oleh virus.
Penyebaran ke komputer
lain dilakukan dengan bantuan pengguna komputer. Saat file yang terinfeksi
dijalankan di komputer lain, kemungkinan besar komputer lain itu akan
terinfeksi pula. Virus mencari file lain yang bisa diserangnya dan kemudian
bersarang di sana.
Bisa juga virus
menyebar melalui jaringan peer-to-peer yang sudah tak asing digunakan orang
untuk berbagi file.
2. Worm
Worm alias cacing,
begitu sebutannya. Kalau virus bersarang pada suatu program atau dokumen,
cacing-cacing ini tidak demikan. Cacing adalah sebuah program yang berdiri
sendiri dan tidak membutuhkan sarang untuk menyebarkan diri.
Hebatnya lagi, cacing
bisa saja tidak memerlukan bantuan orang untuk penyebarannya. Melalui jaringan,
cacing bisa “bertelur” di komputer-komputer yang terhubung dalam suatu
kerapuhan (vulnerability) dari suatu sistem, biasanya sistem operasi.
Setelah masuk ke dalam
suatu komputer, worm memodifikasi beberapa pengaturan di sistem operasi agar
tetap hidup. Minimal, ia memasukkan diri dalam proses boot suatu komputer.
Lainnya, mungkin mematikan akses ke situs antivirus, menonaktifkan fitur
keamanan di sistem dan tindakan lain.
3. Wabbit
Seperti worm, wabbit
tidak membutuhkan suatu program dan dokumen untuk bersarang.
Tetapi berbeda dengan
worm yang menyebarkan diri ke komputer lain menggunakan jaringan, wabbit menggandakan
diri secara terus-menerus didalam sebuah komputer lokal dan hasil penggandaan
itu akan menggerogoti sistem.
Kinerja komputer akan
melambat karena wabbit memakan sumber data yang lumayan banyak. Selain
memperlambat kinerja komputer karena penggunaan sumber daya itu, wabbit bisa
deprogram untuk memiliki efek samping yang efeknya mirip dengan malware lain.
Kombinasi-kombinasi malware seperti inilah yang bisa sangat berbahaya.
4. Keylogger
Tak sedikit diwarnet
diinstall suatu perangkat lunak yang dikenal dengan istilah keylogger yang
mencatat semua tekanan tombol keyboard.
Catatan yang disimpan
dalam suatu file yang bisa dilihat kemudian itu lengkap. Di dalamnya bisa
terdapat informasi seperti aplikasi tempat penekanan tombol dilakukan dan waktu
penekanan. Dengan cara ini, seseorang bisa mengetahui username, password dan
berbagai informasi lain yang dimasukkan dengan cara pengetikan.
Pada tingkat yang lebih
canggih, keylogger mengirimkan log yang biasanya berupa file teks itu ke
seseorang. Tentu saja itu dilakukan tanpa sepengetahuan si korban. Pada tingkat
ini pula keylogger bisa mengaktifkan diri ketika pengguna komputer melakukan
tindakan tertentu.
Misalnya begini. Ketika
pengguna komputer membuka situs e-banking, keylogger aktif dan mencatat semua
tekanan pada keylogger aktif dan mencatat semua tekanan pada keyboard aktif dan
mencatat semua tekanan pada keyboard di situs itu dengan harapan nomor PIN
dapat dicatat.
Keylogger ini cukup
berbahaya karena secanggih apa pun enkripsi yang diterapkan oleh suatu website,
password tetap dapat diambil. Pasalnya, password itu diambil sebelum sempat
dienkripsi oleh system. Keylogger merekam sesaat setelah password diketikkan
dan belum diproses oleh system.
5. Browser
Hijacker
Browser hijacker
mengarahkan browser yang seharusnya menampilkan situs yang sesuai dengan alamat
yang dimasukkan ke situs lain.
Itu contoh paling parah
dari gangguan yang disebabkan oleh browser hijacker. Contoh lain yang bisa
dilakukan oleh pembajak ini adalah menambahkan bookmark, mengganti home page,
serta mengubah pengaturan browser.
6. Trojan
Horse
Kuda Troya adalah
malware yang seolah-olah merupakan program yang berguna, menghibur dan
menyelamatkan, padahal di balik itu, ia merusak. Kuda ini bisa ditunggangi oleh
malware lain seperti seperti virus, worm, spyware. Kuda Troya dapat digunakan
untuk menyebarkan atau mengaktifkan mereka.
7. Spyware
Spyware adalah
perangkat lunak yang mengumpulkan dan mengirim informasi tentang pengguna
komputer tanpa diketahui oleh user.
Informasinya bisa yang
tidak terlampau berbahaya seperti pola berkomputer, terutama berinternet,
seseorang sampai yang berbahaya seperti nomor kartu kredit, PIN untuk perbankan
elektronik (e-banking) dan password suatu account.
Informasi tentang pola
berinternet, telah disebutkan, tidak terlampau berbahaya. Situs yang
dikunjungi, informasi yang kerap dicari, obrolan di ruang chat akan
dimata-matai oleh spyware. Penyebaran spyware mirip dengan Trojan. Contohnya,
flashget. Ketika flashget yang dipakai belum diregister, flashget bertindak
sebagai spyware.
8. Backdoor
Berdasarkan cara
bekerja dan perilaku penyebarannya, backdoor dibagi menjadi 2 grup. Grup
pertama mirip dengan Kuda Troya. Mereka secara manual dimasukkan ke dalam suatu
file program pada perangkat lunak dan kemudian ketika perangkat lunak itu
diinstall, mereka menyebar. Grup yang kedua mirip dengan worm. Backdoor dalam
grup ini dijalankan sebagai bagian dari proses boot.
Ratware adalah sebutan
untuk backdoor yang mengubah komputer menjadi zombie yang mengirim spam.
Backdoor lain mampu mengacaukan lalu lintas jaringan, melakukan brute force
untuk meng-crack password dan enkripsi., dan mendistribusikan serangan
distributed denial of service.
9. Dialer
Dialer menghubungkan
computer ke internet guna mengirim kan informasi yang didapat oleh keylogger,
spyware tahu malware lain ke si seseorang yang memang bertujuan demikian.
10. Exploit
dan rootkit
Exploit adalah
perangkat lunak yang menyerang kerapuhan keamanan (security vulnerability) yang
spesifik namun tidak selalu bertujuan untuk melancarkan aksi yang tidak diinginkan.
Banyak peneliti keamanan komputer menggunakan exploit untuk mendemonstrasikan
bahwa suatu sistem memiliki kerapuhan.
Memang ada badan
peneliti yang bekerja sama dengan produsen perangkat lunak. Peneliti itu
bertugas mencari kerapuhan dari sebuah perangkat lunak dan kalau mereka
menemukannya, mereka melaporkan hasil temuan ke si produsen agar si produsen
dapat mengambil tindakan.
Namun begitu exploit
kadang menjadi bagian dari suatu malware yang bertugas menyerang kerapuhan
keamanan.
Berbeda dengan exploit
yang secara langsung menyerang system, rootkit tidak demikian. Rootkit
dimasukkan ke dalam komputer oleh penyerang setelah computer berhasil diambil
alih.
Rootkit berguna untuk
menghapus jejak penyerangan, seperti menghapus log dan menyembunyikan proses
malware itu sendiri. Rootkit juga bisa mengandung backdoor agar di hari depan
nanti, si penyerang bisa kembali mengambil alih system.
Rootkit ini sulit di
deteksi, pasalnya rootkit ditanam pada system operasi di level kernel, level
inti sistem operasi.
Cara terbaik yang bisa
diandalkan untuk mendeteksi ada tidaknya rootkit di komputer adalah dengan
mematikan komputer dan boot ulang tidak dengan harddisk melainkan dengan media
lain seperti CD-ROM atau disket USB. Rootkit yang tidak berjalan tak dapat bersembunyi
dan kebanyakan antivirus dapat mengidentifikasikannya.
Produsen perangkat
keamanan biasanya telah mengintegrasikan pendeteksi rootkit di produknya.
Meskipun rootkit di menyembunyikan diri selama proses pemindaian berjalan,
antivirus masih bisa mengenalinya. Juga bila rootkit menarik diri dari system
untuk sementara, antivirus tetap dapat menemukannya dengan menggunakan deteksi
“sidik jari” alias byte unik dari rootkit.
Rootkit memang cerdik.
Dia bisa menganalisis proses-proses yang sedang berjalan. Andai ia mencurigai
suatu proses sebagai tindak tanduk antivirus, ia bisa menyembunyikan diri.
Ketika prose situ selesai, ia aktif kembali.
Ada beberapa program
yang bisa dipakai untuk mendeteksi adanya rootkit pada system. Rootkit detector
kit, chkrootkit dan Rkhunter adalah contoh yang bisa digunakan.
http://yusup.wordpress.com/2008/09/09/malware-virus-worm-trojan-spyware-dll/
