Manajemen Keamanan Informasi

Kuliah ke-8

Malware (Virus) & Antivirus

Oleh : EBTA SETIAWAN

www.fti.mercubuana-yogya.ac.id

Introduction to Malware

Malware = Malicious Software

Malware adalah software yang digunakan atau dibuat

penyerang untuk mengganggu/mengacaukan operasi

komputer, mengambil data sensitif, mendapatkan akses

ke komputer, atau hal yg membahayakan lainnya.

• Malware dapat berbentuk

code, script, konten aktif, dan

software

• 'Malware' adalah istilah umum

yang digunakan untuk berbagai

bentuk software/aplikasi

perusak

Perkembangan Malware

Perkembangan Malware

Desember 1984 terdeteksi hanya sekitar 12 total

malware, tahun 1999 untuk Windows terdeteksi sekitar

579,026 malware.

Terus meningkat, pada tahun 2006 sekitar 2.8 juta, dan

tahun 2007 menjadi 8.7 juta ( tahun ketika windows

Vista di rilis dan penyebaran Windows XP sangat besar

sampai 400 juta copy)

4 tahun kemudian, 2011 membengkak menjadi sekitar

64.8 juta. Desember 2012 lebih dari 95juta.

Selama tahun 2012, ada tambahan malware baru sekitar

2-3juta/bulan.

Perkembangan Malware baru tiap bulan

Mengapa Perlu dipelajari?

Penting bagi kita untuk mempelajari seperti apa dan

bagaimana kerjanya, sehingga kita bisa mencegah

malware merusak atau paling tidak meredam efeknya.

◦ Bagaimana malware mengambil alih sistem

◦ Bagaimana malware masuk/menyusup ke komputer

◦ Bagaimana malware menyebar

◦ Bagaimana malware menyembunyikan diri

◦ Bagaimana mengenali malware

◦ Bagaimana mendeteksi malware

◦ Bagaimana menghentikan/menghapus malware

◦ Bagaimana mencegah malware masuk

Berbagai Jenis Malware

Malware adalah istilah umum dan digunakan untuk

berbagai jenis program berbahaya. Jenis-jenis malware

antara lain :

◦ Virus

◦ Worm

◦ Trojan ( Trojan horses)

◦ Rootkit

◦ Spyware

◦ Exploits

◦ Adware

Pandalabs 7-Aug-2012

VIRUS Komputer

Program komputer yang dibuat untuk menginfeksi file,

memasukkan kode tertentu dalam file yang di infeksi dan

memperbanyak diri sendiri.

Efek bisa bermacam macam, mulai dari performa yang

lambat, kerusakan sistem sampai data hilang.

Mirip dengan istilah Virus dalam bidang Biologi, yang

masuk ke tubuh dan menginfeksi

Virus biasanya menginfeksi file executable (EXE, COM)

atau Portable Executable (PE) : DLL, OCX, SCR, SYS,

tetapi bisa juga file dokumen semperti PDF dan HTML

A CIH Story

Muncul pertama kali di Taiwan pada tahun 1998, CIH dikenal

sebagai salah satu virus yang paling berbahaya.

Dibuat oleh salah satu mahasiswa Tatung University (Taiwan),

Cheng Ing-hau, atas tantangan dari sebuah software antivirus.

Sekitar 60 juta komputer didunia terinfeksi virus ini dan

mengakibatkan kerugian sekitar 1 Milyar dollar.

Virus menginfeksi file executable Windows 95,98 dan ME dan

mampu aktif di memory dan menginfeksi file lainnya.

Setelah virus aktif, virus akan menumpuk data di hardisk,

sehingga rusak termasuk mampu menumpuk BIOS sehingga

tidak bisa booting.

Ukuran virus hanya 1024 bytes ( 1 KB )

A CIH Story – cont

Ketika virus menyebar di kampus, Chen Ing-hau meminta

maaf dan membuatkan antivirus untuk publik. Karena tidak

ada korban yang menuntut secara hukum, perkara ini tidak

bisa di proses pengadilan.

Saat ini CIH tidak menyebar luas seperti dulu karena

kesadaran yg lebih tinggi dan lagi hanya berefek di Windows

95,98 dan ME

Tahun 2001 dan 2002 modifikasi CIH baru muncul, tetapi

bukan merupakan ancaman serius

• Beberapa tahun kemudian,

penulis virus CIH bekerja

sebagai developer di Gigabyte

Communication

Target Sasaran Virus

Binary executable files ( EXE, COM DLL, SYS, OCX, dll)

Volume Boot Record dari Floppy disk dan Partisi Hardisk

Master Boot Record (MBR) dari Hardisk

Berbagai jenis script ( misalnya: batch files /.bat, VBScript/.vbs, Shell

script dan sejenisnya)

Script sistem spesifik seperti Autorun.inf ( file yang digunakan

windows untuk menjalankan file secara otomatis di USB, CD, DVD

atau media eksternal lainnya)

Dokumen yang mendukung penggunaan Macro ( Ms Word, Excel,

AmiPro, Access database dll)

Celah keamanan Cross-site scripting dalam aplikasi berbasis web

Berbagai file lain yang terdapat celah keamanan seperti buffer

overflow, format string dsb

Teknologi (teknik-teknik) Virus

Membuat tanggal file modified tetap sama

Menginfeksi file tanpa merusak file atau

menambah ukuran file. Virus menggunakan area

tidak terpakai di file EXE, seperti misalnya CIH

(karena ukurannya hanya 1 KB).

Untuk menghindari dirinya di tutup/close, virus

terlebih dahulu merusak/mematikan aplikasi

keamanan (antivirus, firewall dll)

Polymorphic code, untuk menghindari deteksi

dari antivirus

Teknologi (teknik-teknik) Virus – cont

Untuk menghindari deteksi oleh pengguna

komputer, berbagai cara digunakan oleh virus :

◦ Menggunakan icon dokumen (word, excel, access dll)

◦ Menyembunyikan ekstensi asli virus. Misalnya sality.exe

dinamakan sality.doc.exe, sehingga ketika ekstensi file

tidak ditampilkan, nama file terlihat sality.doc

◦ Menduplikasi diri dengan nama file yang sudah ada dan

menghapus/menyembunyikan file/dokumen asli

Applikasi online rentan serangan

Teknik Penyebaran Virus

Removable Storage

◦ Autorun.inf di CD, DVD ROM, USB Flashdisk, HDD eksternal

◦ Celah keamanan di shortcut windows.

E-Mail & Download

◦ Email yang menyertakan attachment baik dalam zip atau lainnya

◦ konten berisi link tidak jelas

Shared Directories

◦ Virus mudah menempatkan file di shared directories

Download file dari file sharing

◦ Torrent, 4shared, mediafire, hotfile, dll

Worms

Worm merupakan program komputer yang membuat

duplikasi dirinya sendiri di tempat-tempat yang berbeda

untuk menyebar di banyak komputer.

Perbedaan dari virus, bahwa worm tidak menginfeksi

atau menginjeksi file

Efek bisa sama dengan virus, merusak, menghapus file dll.

Tujuan utama untuk menyebar dan menginfeksi

komputer sebanyak mungkin

Teknik penyebaran, menyembunyikan diri seperti teknik

virus.

Perkembangan saat ini worm banyak digunakan sebagai

botnets, yang mengontrol ribuan komputer di Dunia

Trojan (Horse)

Program berbahaya yang menyerupi file resmi atau

membantu tetapi sebenarnya tujuan utama agar di

install/jalankan sehingga memungkinkan komputer bisa

diakses dari luar (jaringan/internet)

Trojan tidak menginfeksi file seperti halnya virus, serta

tidak banyak menduplikasi diri.

Mengambil istilah dari Trojan Horse pada jaman Yunani,

dengan bertindak sebagai hadiah yang tidak berbahaya.

Padahal ingin agar pengguna menginstallnya

Tujuan dan Penggunaan Trojan

Menggunakan komputer sebagai bagian dari botnet

(menyebarkan spam otomatis, menyebarkan DDoS)

Pencurian uang

Pencurian data ( seperti passeord atau informasi kartu

kredit)

Installasi software termasuk malware pihak ketiga

Download dan upload file di komputer pengguna

Modifikasi atau penghapusan file

Keystroke logging (keylogger)

Mengawasi tampilan (screen) pengguna

Membuat komputer crash

Trojan Horse

Rootkits (Malware)

Merupakan program yang didesign untuk

menyembunyikan object seperti processes, file atau

entri Windows Registry

Jenis ini sebenarnya tidak berbahaya, tetapi dimanfaatkan

oleh pembuat malware untuk menyembunyikan langkah

dan menginfeksi sistem.

Rootkit memungkinkan malware tetap tersembunyi dan

tidak terdeteksi.

Spyware (Malware)

Jenis malware yang terinstall di komputer yang

mengumpulkan informasi tentang pengguna dan

memonitor tingkah laku menggunakan komputer atau

internet.

Biasanya tersembunyi lokasinya dan sulit di deteksi,

contoh : Keylogger

Spyware terkadang terinstall bersama software

terpercaya sebagai bundle tambahan.

Malware Lainnya

Exploit

◦ Merupakan teknik atau program yang memanfaatkan

celah keamanan dalam protokol komunikasi tertentu,

sistem operasi atau kelengkapan IT lainnya.

Adware

◦ Program, script atau kode yang menampilkan iklan

produk tertentu baik produk sendiri atau pihak ketiga

◦ Terkadang jenis ini masuk ke kategori Spyware

ANTIVIRUS

Antivirus (anti-virus) merupakan software yang

digunakan untuk mencegah, mendeteksi atau

menghapus malware seperti: virus, adware,

worms, trojan dsb.

3 tugas utama :

• Detection/Identification

• Prevention (pencegahan)

• Disinfection (menghapus

atau cleaning malware)

Identification/Detection Method

Signature based detection

◦ Antivirus membuat database yang berisi virus signatures, dan

membandingkan dengan file yg discan.

◦ Virus Signature = pola biner tertentu didalam kode virus.

◦ Karena virus signatures baru didapat setelah ada sample virus,

maka kadang tidak efektif untuk virus baru.

◦ Tidak efektif sejak munculnya polimorphic virus, yang mampu

memodifikasi dirinya sendiri sehingga signature senantiasa

berbeda

Heuristic-based detection

◦ Deteksi berdasarkan tingkah laku virus

◦ Mampu mendeteksi virus baru yang belum ada di database

Referensi & Bahan Bacaan

http://en.wikipedia.org/wiki/Malware

http://www.pandasecurity.com/homeusers/security-

info/types-malware/

http://en.wikipedia.org/wiki/Antivirus