9. iksan irfan.pdf

7/24/2019 9. Iksan Irfan.pdf

1/6

Pelita Informatika Budi Darma Volume : V

I

Nomor: 2

April

201

4

ISSN 23 1 9425

Analisa Perbandingan Cara Kerja Trojan Horse Dan Worm Dan Cara Penanganannya DenganMetode Heuristic Identification Byte. Oleh : Iksan Irfansyah Siregar

40

ANALISA PERBANDINGAN CARA KERJA TROJAN HORSE DAN

WORM DAN CARA PENANGANANNYA DENGAN METODE

HEURISTIC IDENTIFICATION BYTE

Iksan Irfansyah Siregar

Mahasiswa Program Studi Teknik Informatika, STMIK Budidarma MedanJl. Sisingamangaraja No.338 Simpang Limun Medan

www.stmik-budidarma.ac.id//Email: [email protected]

ABSTRAKVirus komputer mengalami beberapa evolusi dalam bentuk, karakteristik serta media penyebarannya.

Salah satu jenis virus yang pernah menjadi pembicaraan hangat dikalangan pengguna komputer yaitu virus

trojan horse dan worm . Sejak kemunculannya pertama kali pada pertengahan tahun 1980-an, virus komp[uter

telah mengundang berbagai kontroversi yang masi berlangsung hingga saat ini. Seiring dengan perkembangan

teknologi sistem komputer, Diperlukan adanya teknik khusus untuk mendeteksi virus maupun file PE (Portable

Executable) yang sudah diinfeksi. Ukuran file yang sudah terinfeksi virus Sality akan bertambah besar beberapa

KiloByte (Kb) ukurannya dan file yang sudah terinfeksi virus Trojan horse dan Worm masih tetap bisa

dijalankan seperti biasa. Informasi yang akan diubah adalah berasal dari posisi struktur PE (Portable

Executable). Pembahasan yang dilakukan yaitu bagaimana mendeteksi virus Trojan horse dan Worm denganmenggunakan teknik Heuristic Identification Byte yang memanfaatkan titik Entrypoint dan bagaimana

melakukan teknik Heuristic Identification Byte.

Kesimpulan yang didapat dari skripsi ini yaitu teknik Heuristic mampu bekerja secara efektif dalam

mendeteksi virus dengan memanfaatkan titik Entrypoint sehingga titik Entrypoint dapat dijadikan acuan dan

checksum dalam melakukan pencarian virus. Informasi Entrypoint merupakan file awal yang akan di eksekusi

oleh suatu virus.

Kata Kunci: Virus,Trojan horse, Wrom, Heuristic Identification Byte.

1. PendahuluanDalam jaringan internet terdapat dua sisi

yang saling bertentangan dalam hal akses informasi.Disatu sisi , banyak usaha-usaha untuk menjamin

keamanan suatu informasi, Disisi lain ada pihak-pihak dengan maksud tertentu yang berusahamelakukan ekploitasi system keamanan tersebut.Eksploitasi keamanan adalah berupa Seranganterhadap keamanan system informasi. Salah satubentuk eksploitasi keamanan system informasiadalah dengan adanya infeksi digital sepertiVirus,Worm, Trojan Horse. Infeksi digitaldisebabkan oleh suatu perangkat lunak yang dibuatatau ditulis dengan tujuan untuk menjalan kanaksi-aksi yang tidak diinginkan oleh penggunakomputer. Software tersebut sering disebut denganMalicious Software (Disingkat dengan malware).Malicious Software mempunyai arti program

pedendam atau program jahat. Aksi MaliciousSoftware tergantung selera pembuatnya.Serangan virus komputer terus bermunculan

setiap hari, Tanpa memandang siapa dan apa isi darikomputer. Ini menjadi masalah umum bagipengguna komputer, masalah ini menimbulkan efekkerugian semang kinmen jadi, apalagi semangkinmaraknya pengguna internet sebagai jalurkominikasi global antara pengguna computerseluruh dunia.

Berdasarkan penelitian komputer. Biaya yangdibutuhkan untuk menghilangkan virus komputer

yang terinfeksi tidaklah sedikit, Pada tahun 2001economi computer memperoleh data bahwaperusahaan mengeluarkan lebih dari $ 10,7 miliar(sekitar 1 triliun ripuah) untuk menghentikanserengan virus.

Di Indonesia sendiri mengalami beberapaevolusi dalam bentuk autoristic dalampenyebarannya. Ada beberapa jenis virusdiantaranya Worm dan Trojan horse. Virus inimenjadi pembahasan yang hangat di indonesia,mulai sebelum adanya penggunaan internet diIndonesia sampai pada masa sekarang ini.Kemapuan virus ini sangat handal dan berbedadengan struktur virus lainnya. Sehingga diperlukanpenelitih dan pembahasan yang mendalam untukmenganalisa tingkat dari virus Trojan horse danworm sehingga akan mengurangi efekke rugian yangdihasilkan dan meminimalisir dampak kerusakanpada data komputer.

Banyak antivirus mengunakan teknik danmetode yang berbeda-beda untuk mengindentifikasivirus salah satu diantara adalah metode heuristic.Heuristic mempunyai beberapa bagian dan taranyaadalah mengindentifikasi byte atau Heuristic byte.Teknikini memanfaatkan pencarian byteberdasarkan titik entripoint, teknik ini mempunyaikeakuratan yang sangat cukup baik karena bytepadatitik entripoint merupakan file yang pertama kaliyang akan di eksekusioleh program.

2. Landasan Teori


2/6


I

Nomor: 2

April

201

4

ISSN 23 1 9425


41

2.1 Sejarah virus komputerVirus komputer dinamakan Virus karena

memiliki beberapa persamaan mendasar denganvirus pada istilah kedokteran (biological viruses).Karena pada dasarnya virus bekerja denganmenulari, mengubah, memanipulasinya bahkan

sampai merusaknya. Sama halnya dengan cara kerjavirus pada sistem komputer, yaitu virus dibuat untukmenulari programprogram lainnya, mengubahinformasi, memanipulasinya bahkan sampaimerusaknya. Namun virus pada sistem komputerhanya akan menulari apabila program pemicu atauprogram yang telah terinfeksi tadi dieksekusi.

Pada tahun 1949, pencipta Electronic DescreteVariable Automatic Computer( EDVAC ), Jhon VonNewman, membuat suatu makalah dengan judulTheory and Organization of ComplicatedAutomata. Dalam makalah tersebut, dibahas suatuprogram komputer yang dapat menyebar sendirinya.Kemudian perkembangan dilanjutkan sampai ke AT

& T Bell Laboratory, yang merupakan salah satulaboratorium komputer terbesar di dunia dan telahmenghasilkan banyak hal, salah satunya bahasa Cdan C++. Di laboratoium ini, sekitar tahun 1960-an,setiap waktu istirahat para peneliti membuatpermainan dengan suatu program yang dapatmemusnahkan, memperbaiki diri dan balikmenyerang kedudukan lawan. Selain itu, programpermainan ini juga dapat memperbanyak dirinyasecara otomatis. Permainan perang ini disebut CoreWar, pemenangnya adalah program sisa yangtebanyak pada waktu tertentu. Karena sadar gametersebut berbahaya maka setiap selesai bermain parapeneliti tersebut menghapus game dan

menghalanginya supaya tidak menyebar keluarlingkungan laboratorium.Sekitar tahun 1970-an, perusahaan Xerox

memperkenalkan suatu program yang digunakanuntuk membantu kelancaran kerja. Strukturprogramnya menyerupai virus, namun program iniadalah untuk memanfaatkan waktu semaksimalmungkin dan pada waktu yang bersamaan dua tugasdapat dilakukan. Pada tahun 1983, perang virus didunia terbuka bermula atas pemaparan Fred Cohen,seorang peneliti dan asisten profesor di UniversitasCincinati, Ohio.

Dalam pemaparannya, Fred Cohenmemperlihatkan program buatannya yang mampumenyebar secara cepat pada sejumlah komputer. Iajuga memperkenalkan virus pertama pada lingkunganUnix, yang dapat memberikan hak istimewa kepadasetiap pengguna. Pada tahun berikutnya, Fred Cohenmenyerahkan desertasinya Computer VirusesTheory and ExPE riment yang menyebabkan virusberkembang dengan cepat.

Fred Cohen mendefinisikan virus adalah :A program that can infect other program bymodifying them to include slighty altered copy

of itself. A virus can spread throughout a

computer system or network using the

authorization of every user using it to infect

their program. Every programs that gets

infected can also act as a virus that infection

grows.Pada tahun 1986 di Freire, Universitas Berlin

mendeteksi adanya aktifitas virus pada sebuah

komputer besar. Sementara virus berkembang,Indonesia juga mulai terkena wabah virus. Viruskomputer ini pertama menyebar di Indonesia jugapada tahun 1988. Virus yang begitu menggemparkanseluruh pemakai komputer di Indonesia, saat itu,adalah virus Brain yang dikenal dengan namavirus Pakistan. Kemudian pada tahun 1987, komputergenerasi kedua yaitu Cascadeyang merupakan virusresiden pertama muncul terenkripsi dalamfile.

Tahun 1989, viruspolimorfpertama ditemukan,virus tersebut dikenal dengan V2PX atau Washburn.Virus semacam ini dapat mengubah diri menjadivarian baru. Pada tahun berikutnya, virus DIR IImenggunakan cara baru untuk menginfeksi program

dengan menyerang entrientri FAT. Tahun 1991diadakan sebuah lomba dan acara pembuatanprogram virus akibatnya jumlah virus baru yangditemukan semakin banyak dan sampai pada saat inipun virusvirus baru terus bermunculan dengansegala jenis variasinya.

2.2 Trojan Horse dan Worm

2.2.1 Pengertian Trojan Horse

Pengertian Trojan horse adalah programberbahaya yang berpura-pura menjadi sebuahaplikasi jinak. Sebuah program Trojan horsesengajamenipu pengguna dengan berpura-pura menjadiprogram tidak berbahaya sehingga pengguna internet

tanpa curiga menjalankan program tersebut. Denganmenjalankannya sama dengan memesukkan Trojantersebut kedalam benteng pengguna, selanjutnyaprogram melaksanakan fungsi tak dikenal dandikendalikan dari jarak jauh yang tidak dikehendakipengguna. Misalnya :Download attachment mailyang tidak dikenal, tetapi menarik, mengambilfilecrack/keygen dari situs-situs underground.

Menyatakan bahwa Trojan horse terkadangmemiliki sejumlah kode program yang merusak, danbiasanya menggunakn ekstensi.com atau .exe.Namun ia tidak pernah memerlukanfilelain sebagaiinangnya (host) dan tidak memiliki kemampuanuntuk memperbanyak diri (bereplikasi). MenurutFirdaus Asyqar (2010 : 14).

Salah satu indikasi komputer yang terinfeksiTrojandapat digambarkan sebagai berikut. Pada saatkomputer terhubung dengan internet, misalnya saatmengobrol (chatting) atau memeriksa e-mail, teteapihardisk bekerja dengan sibuk (busy) dalam waktuyang lama. Selain itu pemaki juga tidak sedangmenjalankan program aplikasi besar atau men-downloadsuatu yang mengharuskan piringan hardiskberputar cukup lama. Kejadian tersebuit termasukkejadian aneh yang patut dicurigai adanyapenyusupan.


3/6


I

Nomor: 2

April

201

4

ISSN 23 1 9425


42

2.2.2 Pengertian Worm

Worm adalah kumpulan coding bahasapemrograman yang memiliki tujuan untukmemperlambat kerja komputer. Konsep kerja dariworm, pertama ia mencari celah untuk masuk

kedalam suatu komputer yang belum terinfeksioleh worm. Hal ini bias dilakukan denganmenyisipkan coding worm pada suatu file yangmenarik user untuk mendownload file tersebut.Setalah worm berhasil masuk maka ia akanmemperbanyak dirinya pada setiap folder ataudirectory pada hardisk, sehingga kapasitas hardiskmenjadi penuh. Bila hardisk sudah penuh maka dapatmenyebabkan kinerja komputer menjadi lambat.1. Menurut Bayu Krisna, Jim Geovedi (2009 : 1)

menyatakan bahwa cacing-cacing di internet(Worm) adalah yang mampu melakukanpenggandaan diri dan menyebar denganmemanfaatkan kelemahan-kelemahan sekuriti

(security flaws) pada services yang umumdigunakan.2. Menurut eWolf Community (2010 : 11)

menyatakan bahwa Worm (cacing) merupakanprogram kecil yang dapat mereplikasi danmenyebarkan dirinya melalui media jaringan.Sebuah salinan worm akan berusaha mencari(scanning) jaringan untuk menyebarkan dirinyake komputer lain melalui celah keamanantertentu, dan begitu pula seterusnya, hinggawormdapat menguasai seluruh komputer dalamsebuah jaringan.

3. Menurut Ahmad Fauzi (2009 : 19)menyatakan bahwa (cacing) adalah sebuah

program yang terdiri sendiri dan tidakmembutuhkan sarang untuk menyebarkan diri.4. Menurut Firdaus Asyqar (2010 : 14 )

menyatakan bahwa Worm sangat mirip denganvirus,namum tidak memerlukan inang (hots)program.Wormbias saja tidak memerlukan bantuan oranguntuk penyebarannya. Melalui jaringan, wormbias bertelur di komputer-komputer yangterhubung dalam suatu kerapuhan(vulnerabilituy) dari suatu sistem, biasanyasistem operasi. Setelah masuk kedalam suatukomputer, worm memasukan diri kedalamproses booting suatu komputer. Lainnya,mungkin mematikan akses ke situs antivuris,menonaktifkan fitur keamanan di system dantindakkan lain. Tipe worm akan melampirkandirinya sendiri yang memiliki kode darifile atau

program. Worm dapat menyalin dirinya sendiridan menyebar dari jaringan (network) dengancepat. Biasanya worm akan mengeksekusi dirinya sendiri secara otomatis dan tidak menimpa(overwrite)fileprogram.

3. Pembahasan

3.1 Perbandingan

Dari data diatas dapat disimpulkan perbedaandata dalam struktur Trojan horse dan Worm .Struktur virus tersebut telah diuraikan data dirinyadibantu dengan beberapa software.

Banyak perbandingan tersebut dapat dilihatdalam tabel berikut :

Tabel 1 : Perbedaan Struktur Virus Trojan

Horse Dan Worm

Analisastruktur

Trojan horse Worm

File yangdapat diinfeksiNilai EentrypointAddress

Exe68,88,1B,40,00,E8,F0,FF,FF,FF00401184

Exe68,18,1F,40,00,E8,F0,FF,FF,FF00401240

Pada uraian diatas di ketahuin bahwa eksekusifile Trojan dan worm mempunyai nilai awal yangsama namun dalam pengalamtannya kedua virus inimemanggil alamat file induk yang berbeda.

3.2 Analisa Penggunaan Teknik Heuristic

Identification Byte

Sebuah program antivirus tidak akan bermanfaatjika tidak didukung oleh virus definition yanglengkap, definitionfile adalah suatu kumpulan datadari malicious code. Jadi industri antivirustergantung dari dukungan sample virus yangdikirim kepada mereka. Analisa yang mendalamdengan penggunaan teknik Heuristic Identification

Byte mampu bekerja secara efektif karenabekerja berdasarkan byte dari entry-poit Teknikpencarian Heuristik (Heuristic Searching)merupakan suatu strategi untuk melakukan prosespencarian ruang keadaan (state space) suatuproblema secara selektif, yang memandu prosespencarian yang dilakukan di sepanjang jalur yangmemiliki kemungkinan sukses paling besar.

Gambar 1 : Informasi firstbyte entry-

point file yang akan dijadikan checksum

pada pendeteksi virus


4/6


I

Nomor: 2

April

201

4

ISSN 23 1 9425


43

Dari gambar diatas tiap section dibagimenjadi per 4 karakter setiap blok. Jadi untukmempermudah pada setiap blok akan dibagi menjadi2 karakter. Setiap 2 karakter (1 blok) ke blokberikutnya mempunyai jarak 1 byte. FungsiHeuristicadalah mencari per bytesesuai jarak yang ditentukan

dari kiri menuju kanan. Jarak yang ditentukan adalah17 byte. Jadi secara otomatis pada percarian jarak ke-17, akan berhenti, dan akan me-report semua hasilyang dilalui. Fungsi Heuristic tidak akan berhentijika .1. Jarak yang ditempuh (jalur yang dilalui) belum

menempuh jarak yang ditetapkan.2. Terdapat angka kembar atau huruf kembar,

seperti EE,00, dan lain sebagainya.

Secara sistematis penghitungan sederhana jarak padametode Heuristicdapat dengan menggunakan rumus:

E =f(current status) +f(new state)

Dimana :E = evaluasi alurf = current state (jarak perbyte tetapi jika

telah terlewati akan memakai hasildari E)

f = new state(merupakan konstanta yaitu1)Berikut perhitungan sederhana teknik pencarianHeuristic:

Setelah melalui tahap diatas pada jarak ke-17 pencarian akan berhenti, dan report jalur akanditampilkan. Hasil dari pencarian diatas menjadi : 6860 9C 40 00 E8 F0 FF FF FF 00 00 48 00 00 00 30.Maka pada byte30 pencarian akan berhenti dan hasilpencarian akan dipanggil kembali oleh programuntuk mendeteksi file yang dicurigai. Jadi beginilahcara teknik Heuristic dalam mencari jalur byte perlevel yang merupakan hasil dari titik entrypoint.Setelah melalui tahap ini, maka nantinya file virusdanfileasli jika terdapat kesamaan sebanyak 17 byteatau 80 % maka file tersebut sudah dipastikan filevirus.

4 AlgoritmaAlgoritma adalah urutan langkah-langkah yang

diperlukan untuk penyelesaian masalah dalampenyusunan program. Algoritma digunakan untukmenganalisa serta menjelaskan urutan dan hubunganantara kegiatan yang akan ditempuh. Penyusunan

algoritma ini sangat penting dalam perancangansuatu program. Selain itu algortima juga berfungsiuntuk menyelesaikan suatu permasalahan hinggatercapai suatu tujuan.

Algoritma pencarian Heuristic identification byte

adalah sebagai berikut :

Deklarasi :Input Var ;

X(file *.exeyang akan dideteksi);AVEP;BOEP;COPcode;DBitAtas;EBitTengah;FBitBawah;GJumsect;HDataClear;IBodyVir;

Output :X(file *.exeyang telah diperbaiki);

Proses;Cocokkan alamat X = B;

B = Chr$(&H68) & Chr$(&HC4) &Chr$(&H1B)

& Chr$(&H40) & Chr$(&H00) &_Chr$(&HE8) & Chr$(&HEE)

& Chr$(&HFF) & Chr$(&HFF) &Chr$(&HFF) & _ Chr$(&H00)

& Chr$(&H00) & Chr$(&H00) &Chr$(&H00) & Chr$(&H00);Hitung B sesuaikan jarak atau byte yang

ditentukan pada X;

A = (X,C)-13;Jika nilai A = -13, maka

X = Tidak terinfeksi virusSelesai;Jika B = X, maka

X = Terinfeksi virusPerbaiki X menjadi :

I = (X, A, 3584); 3584 merupakan ukuranvirus

H = ganti dengan (X, I = );G = (X, C + 6,2);D = (H, I, C + 39);E = (H, C + 44, 180 + (6*40));F = (H, Len(D) + Len(E) + 9);

Lakukan perbaikan dengan membuat file baru

dengan nama PEview.exe;

Buat App.Path & "\Infect Sality.A\DesinfectPEview.exe"Selesai ;

5. Implementasi Sistem

Implementasi sistem merupakan tahapmeletakkan sistem sehingga siap untuk dioperasikan.Implementasi bertujuan untuk mengkonfirmasi

E = 1+2=3E = 1+1=2

f = 1

f = 2

f = 1

f = 1

6

86

0

9

CE = 1+2=3E = 1+1=2

f = 1

f = 2f = 1f = 1

6 6 9E = 1+2=3E = 1+1=2

f = 1

f = 2

f = 1

f = 1

6 6 9C


5/6


I

Nomor: 2

April

201

4

ISSN 23 1 9425


44

modul-modul perancangan, sehingga pengguna dapatmemberi masukan kepada pengembangan sistem.1. Analisa Virus Trojan Horse

Dalam pembahasan ini, akan dijelaskanmengenai tentang struktur data diri Trojan horse.Virus ini adalah suatu program yang tidak

diharapkan dan disisipkan tanpa sepengetahuanpemilik komputer.

Gambar 2 : Tampilan Inang di Folder Drive

SystemDari gambar diatas terlihat file inang dari virus

Trojan horse yang berada di folder drive system32/W32. Virus tersebut berhasil memasuki celahkomputer yang siap di eksekusi. Darifilevirus diatasdengan bantuan apliksi software pendukung akandilihat struktur darifile Trojan horsetersebut.. struktur virus Trojan horse

Dalam pencarian struktur virus dibantu olehbeberapa softwareuntuk membantu menemukanfile PE. Ada beberapa informasi yang dapatdigunakan dalam mencari address of entry pointsampai portable executable. Diantaranya adalahsebagai berikut:

Gambar 3 : Header file Trojan horse

Gambar 4 : Struktur section dari file Trojan

horse

Gambar 5 : Informasi nilaihexadarifile Trojan

horse

Diatas merupakan gambarAddress of entrypointdarifile Trojan horse. FilediatasUntuk titik entrypointFirst Byte Trojan horsedapatdilihat di bawah ini :

Gambar 6 : Entrypoint First Byte Trojan horse

Untuk mengetahui file eksekusi yang pertamakali dijalankan oleh program Trojan horse untukmemanggil file induk adalah ,

68,88,1B,40,00,E8,F0,FF,FF,FF. Firstbyte ini yangnantinya akan dijadikan sebagai titik acuan dalampenggunaan teknik Heuristic. Sedangkan untukaddress of entry pointadalah 00401184.2. Analisa Virus WormAnalisis worm ini dilakukan untuk mengetahuibagaimana karateristik suatu wormdari teknikpenginfeksiannya, penyerangannya. Penyebaranworm cepat karena design engineering sepertivirus.

Dalam struktur worm diketahui bahwa headerfile tersebut adalah :

Gambar 6 : Struktursection

Gambar 7 : Informasi nilaihexapada worm

Gambar 8 : Informasifirst byte file worm


6/6


I

Nomor: 2

April

201

4

ISSN 23 1 9425


45

Gambar 9 :EntrypointFirst Byte Worm

Untuk mnengetahui file eksekusi yang pertamakali dijalankan oleh program wormuntuk memanggilfile induk adalah , 68,18,1F,40,00,E8,F0,FF,FF,FF.Firstbyte ini yang nantinya akan dijadikan sebagaititik acuan dalam penggunaan teknikHeuristic.sedangkan address of entry point padaworm adalah 00401240.

5. KesimpulanKesimpulan yang dapat diambil dari penelitian

tentang Trojan horsedan wormadalah sebagai

berikut :1. Berdasarkan penggunaan teknik Heuristic

penelitian yang dilakukan Trojan Horse tidakdapat menggandakan dirinya, sedangkan Wormdapat menggandakan dirinya. Adapunpebandingan cara kerja Trojan Horse dan Wormadalah Trojan Horse masuk melalui dua bagianyaitu bagian client dan server, sedangkan Wormlangsung menginfeksi host korban danmemasukkan kode program kedalamnya.

2. Struktur masing-masing file Trojan horse danWorm berbeda sehingga membuat file tersebutmempunyai cara kerja yang berbeda pula dalammenginfeksi data.

3. Adapun cara penanganan Trojan horse danWorm adalah mamakai antivirus yang selaluupdate AVG, AVAST , dan Avira antivirus. Danlangkah terakhir untuk menangani Trojan horsedan Worm dengan memformat ulang komputer.

Daftar Pustaka

[1].http://id.wikipedia.org/wiki/ 10 mei 2013.[2].http//rina-aryani. blogspot,

com/2009/11/makalah. software.html 10 mei2013.

[3].http//www.fixerrors.org/wp-content/uploads/2012/04/Trojan1.jpg 10 Mei

2013[4].http://id.wikipedia.org/wiki/perangkat_lunak_ant

ivirus (diakses tanggal 07 juni 2011).[5].http//www.pcthreatremoval.net/wp-

content/uploads/2013/04/Trojan-Komputer-virus2.png 10 Mei 2013

[6].http://www.cert.or.id/~budi/courses/security/2006-2007/Report-Riza-Kurniawan.pdf( diaksestanggal 10 Mei 2013)

[7].http://www.oocities.orgdiakses tanggal 10 mei2013

9. iksan irfan.pdf

Documents