Virus dan Worm
—
Tuesday 15 November 2011
—
Add Comment
—
Virus
Perbedaan Virus Dengan Worm
Istilah "virus" selalu digunakan sebagai suatu acuan umum untuk setiap malcode (program atau script yang dibuat dengan tujuan membahayakan atau merugikan sebuah system komputer), seperti worm, trojan bahkan hoax yang sesungguhnya bukan sebuah virus komputer, berikut adalah beberapa jenis malcode tersebut:
1. Computer virus: merujuk pada program yang memiliki kemampuan
untuk ber- reproduksi, menulari program lain dan menjadikanfile-file program tertular sebagai file infector.
2. Computer worm: merujuk pada program independen yang memiliki kemampuan untuk ber-reproduksi, menulari system komputer dan walaupun mampu untuk menulari program lain namun tidak bertujuan untuk menjadikan file tertular tersebut sebagai suatu file infector.
3. Trojan horse: merujuk pada program independen yang tampaknya berguna, dan ketika dieksekusi, tanpa sepengetahuan pengguna, juga melaksanakan fungsi-fungsi yang bersifat destruktif dan merugikan.
4. Malicious toolkits: merujuk pada program yang didesain untuk membantu menciptakan program-program yang dapat membahayakan
sebuah system komputer. Contoh dari program jenis ini adalah tool pembuat virus dan program yang dibuat untuk membantu proses cracking atau hacking.
Dari beberapa keterangan diatas dapat diperjelas bahwa worm adalah suatu algoritma atau program yang mereproduksi diri sendiri dari system ke system dengan menggunakan media penyimpanan atau suatu jaringan. Worm tidak menginfeksi file program lain dengan tujuan menjadikan file terinfeksi tersebut sebagai file infector. Worm mampu bekerjatanpa interaksi user, bisa merusak sebuah data secara langsung atau menurunkan kinerja system dengan "mengikat" sumber daya system komputer dan bahkan bisa mematikan sebuah jaringan. Berbeda
dengan virus yang melakukan infeksi dengan 'menumpang’ pada file program lain, menunggu interaksi user dan menjadikan file terinfeksi sebagai file infector.
1. Computer virus: merujuk pada program yang memiliki kemampuan
untuk ber- reproduksi, menulari program lain dan menjadikanfile-file program tertular sebagai file infector.
2. Computer worm: merujuk pada program independen yang memiliki kemampuan untuk ber-reproduksi, menulari system komputer dan walaupun mampu untuk menulari program lain namun tidak bertujuan untuk menjadikan file tertular tersebut sebagai suatu file infector.
3. Trojan horse: merujuk pada program independen yang tampaknya berguna, dan ketika dieksekusi, tanpa sepengetahuan pengguna, juga melaksanakan fungsi-fungsi yang bersifat destruktif dan merugikan.
4. Malicious toolkits: merujuk pada program yang didesain untuk membantu menciptakan program-program yang dapat membahayakan
sebuah system komputer. Contoh dari program jenis ini adalah tool pembuat virus dan program yang dibuat untuk membantu proses cracking atau hacking.
Dari beberapa keterangan diatas dapat diperjelas bahwa worm adalah suatu algoritma atau program yang mereproduksi diri sendiri dari system ke system dengan menggunakan media penyimpanan atau suatu jaringan. Worm tidak menginfeksi file program lain dengan tujuan menjadikan file terinfeksi tersebut sebagai file infector. Worm mampu bekerjatanpa interaksi user, bisa merusak sebuah data secara langsung atau menurunkan kinerja system dengan "mengikat" sumber daya system komputer dan bahkan bisa mematikan sebuah jaringan. Berbeda
dengan virus yang melakukan infeksi dengan 'menumpang’ pada file program lain, menunggu interaksi user dan menjadikan file terinfeksi sebagai file infector.
PERKEMBANGAN WORM LOKAL
Berikut ini beberapa catatan singkat tentang worm lokal yang pernah ada dan dibuat oleh worm writer asal Indonesia.
1. I-WORM PERKASA
Pada bulan 6 Desember 2001 muncul sebuah worm lokal. Worm yang terkompresi dengan UPX ini memiliki ukuran sebesar 12,288 Kb dan dibuat dengan menggunakan program Visual Basic. Worm yang juga disebut dengan nama I-Worm.Imelda atau I-Worm Updater ini menggunakan media Microsoft Outlook dalam penyebarannya, saat file infector dieksekusi worm ini meng-copy dirinya ke
direktori Windows dengan nama 'UPDATE.EXE’, kemudian menambahkan suatu nilai registry pada sub key 'Run’ agar worm ini tetap aktif saat Windows startup.
2 . PESIN
Worm lokal lainnya muncul dipertengahan bulan September 2003 dengan menggunakan icon Microsoft Word. Worm yang terkompresi dengan ASPack ini juga sering dipanggil dengan sebutan Kenangan, Puisi Cinta, Hallo, Mistery atau MyHeart. Hal ini disebabkan karena worm Pesin menggunakan nama-nama tersebut sebagai nama dari file infector. Worm Pesin menggunakan media disket dalam proses penyebaran, hal ini sangat efektif mengingat penggunaan disket masih sangat diminati oleh pengguna komputer di Indonesia. Saat file infector dieksekusi worm ini meng-copy dirinya ke direktori Windows dengan nama 'SysTask.exe’, Pesin juga membuat salinan pada direktori My Documents dengan nama file 'MyHeart.exe’ kemudian menambahkan suatu nilai registry pada sub key 'Run’ agar worm ini tetap aktif saat Windows startup, yang menarik dari worm ini adalah worm akan menonaktifkan program Registry Editor jika user berusaha untuk menjalankannya.
3. TABARU
Pada awal januari 2005 kembali diketahui sebuah worm lokal yang membawa-bawa nama pembawa acara Jejak Petualang di TV7 yaitu Riyanni Djangkaru. Worm ini memiliki ukuran file sebesar 40 Kb dengan icon yang disamarkan sehingga terlihat seperti file jpg. Saat file infector dieksekusi worm membuat dua file, yaitu file 'xpshare.exe’ pada direktori 'C:\!submit’ dan file 'riyani_jangkaru.exe’ pada root direktori ’C:\’, kemudian menambahkan value 'winloader’ pada registry run yang akan mengaktifkan worm setiap Windows startup. Hanya saja worm ini baru banyak dikenal pada pertengahan Juli 2005.
4. KANGEN
Pada pertengahan April 2005, suatu worm lokal kembali meresahkan pengguna komputer, dengan berbekal refrain lagu Kangen (Dewa 19) worm ini sukses menginfeksi ratusan komputer di Indonesia. Seperti worm lokal terdahulu, Kangen juga dibuat dengan Visual Basic, menggunakan icon Microsoft Word dan melakukan penyebaran lewat disket, anehnya worm satu ini sama sekali tidak dikompresi J. Saat file infector dieksekusi worm ini meng-copy dirinya ke direktori System Windows dengan nama 'CCAPPS.EXE’ dengan ukuran file sebesar 64 Kb, yang menarik dari worm ini adalah worm akan berusaha menonaktifkan program Task Manager, MS Config dan Registry Editor. Saat buku ini ditulis worm Kangen sudah mencapai varian M.
5. KUMIS
Diawal bulan Juli 2005, seorang worm writer yang konon terinspirasi oleh seorang dosennya yang berkumis tebal membuat worm yang kemudian disebut dengan worm Kumis. Worm ini berukuran sebesar 76 Kb dan dikhususkan untuk sistem operasi Windows XP dan Windows Server 2003. Saat file infector dieksekusi worm ini membuat salinan dirinya ke direktori System Windows dengan nama 'username logon.exe’ dimana username adalah nama user aktif, kemudian memanipulasi registry agar worm tetap aktif. Menariknya, worm kumis ini akan me-restart komputer setiap kali Windows startup.
6. DECOIL
Worm Decoil yang juga sering disebut Decoy ini muncul di penghujung tahun 2005, worm lokal ini menyembunyikan file dokumen Microsoft Word dan membuat salinan dengan nama yang persis dengan nama file yang disembunyikan.
Saat file infector dieksekusi worm ini meng-copy dirinya ke direktori Windows dengan nama 'lExplorer.exe’, pada direktori System Windows dan sub direktori '\i75-d2’ dengan nama file 'dkernel.exe’. Decoy tergolong worm dengan ukuran yang sangat besar yaitu sebesar 154 Kb (besar file ini setelah dikompres dengan UPX).
7. RONTOKBRO
Diawal bulan Oktober 2005, pengguna komputer di Indonesia kembali dikejutkan oleh sebuah worm lokal yang sudah menggunakan smtp sendiri dalam mengirimkan file infector-nya dan selektif dalam pemilihan alamat e-mail target.
Worm yang diisukan sebagai worm lokal ter-anyar yang pernah ada ini ternyata dibuat dalam bahasa Visual Basic , RontokBro juga memblokir aplikasi Registry Editor dan memonitor caption pada aplikasi browser, jika suatu string tertentu ditemukan oleh RontokBro maka komputer akan di-restart secara otomatis.
8. NOBRON
Tidak begitu lama setelah kemunculan RontokBro, worm yang kemudian dikenali dengan nama W32/Nobron.A@mm oleh Norman Virus Control ini berusaha untuk membersihkan system dari worm RontokBro, Nobron memiliki ukuran file sebesar 84 Kb. Worm juga berusaha untuk menonaktifkan aplikasi Registry Editor, MS Config, Task Manager dan CMD. Saat file infector dieksekusi worm ini meng-copy dirinya ke direktori System Windows dengan nama 'MsPatch.exe’, selain itu Nobron juga membuat salinan ke setiap root dari masing-masing drive termasuk
USB Flash Disk dengan nama file 'foto administrator.exe’.
9. RUNITIS
Pada akhir bulan Nopember 2005, kembali diketahui sebuah worm lokal dengan ukuran file sebesar 164 Kb dan telah dikompres dengan aplikasi ASPack. Worm ini menggunakan nama yang diambil dari nama seorang penyanyi dari Malaysia yaitu Siti Nurhaliza (Runitis jika dibaca terbalik menjadi Sitinur). Runitis menggunakan icon Internet Explorer dalam penyebarannya. Worm ini menghapus
file program regedit.exe (Registry Editor), msconfig.exe (MS Config), wmplayer.exe (Windows Media Player), winamp.exe dan winampa. exe (Winamp) serta beberapa file program lainnya kemudian membuat salinan dirinya dengan nama dan letak yang sama, sehingga user malah akan menjalankan worm apabila mengeksekusi aplikasi-aplikasi tersebut.
10. BLUEFANTASY
Di akhir bulan Januari 2006, sebuah worm lokal bernama BlueFantasy ikut berlomba dengan worm lainnya, walaupun worm yang berukuran 68 Kb ini tidak melewati proses enkripsi dan kompresi namun Blue- Fantasy mempertahankan ciri khas worm komputer yang membuat banyak salinan, dengan cara memonitor direktori aktif dan membuat salinan pada direktori tersebut. Saat file infector dieksekusi BlueFantasy meng-copy dirinya ke direktori System Windows dengan nama file 'Win32.com’ dan menggunakan atribut Hidden, selain itu worm juga membuat salinan pada direktori Desktop, My Documents, dan StartUp. Kemudian worm memanipulasi suatu nilai registry yang akan membuat file worm tetap tereksekusi saat Windows startup, dan membuat type file executable seperti exe
dan scr akan terlihat sebagai aplikasi Microsoft Word.
11. ROMDIL
Pertengahan bulan Februari 2006, sebuah worm lokal lainnya muncul dan dideteksi Norman Virus Control sebagai w32/Romdil, seperti kebanyakan worm lokal, worm inipun dibuat dengan menggunakan bahasa Visual Basic. Worm Romdil memiliki ukuran file sebesar 40 Kb untuk varian A dan sebesar 41 Kb untuk varian B, worm ini telah dikompres dengan menggunakan aplikasi UPX, Selain itu worm ini menggunakan icon dengan gambar Folder, dan disamarkan sebagai file aplikasi Windows Explorer. Untuk bertahan pada suatu system, Romdil berusaha untuk mencegah user mengeksekusi aplikasi CMD (command prompt), MS Config, Registry Editor, Task Manager, dan beberapa fasilitas Windows seperti Search dan Run.
12. MYBRO
Di bulan Maret 2006, sebuah varian lain dari worm RontokBro kembali di-release dan diperkirakan dibuat dengan menggunakan bahasa C. MyBro memiliki ukuran file sebesar 51 Kb dan menggunakan icon dengan gambar Folder. Worm MyBro diperkirakan menggunakan / meniru source code worm yang sudah ada sehingga pola worm tersebut dapat terdeteksi dengan mudah oleh teknologi SandBox dari Norman Virus Control. Untuk bertahan pada suatu system, MyBro berusaha untuk mematikan service antivirus dari Norman, TrendMicro, Norton, McAfee, AVG,
Bit Defender, Panda dan PC Cilin. Selain itu MyBro berusaha untuk menghapus file Microsoft Visual Basic Virtual Machine yang akan menggagalkan proses untuk setiap aplikasi yang dibuat dengan menggunakan bahasa Visual Basic, serta melakukan blocking ke beberapa situs tertentu.
13. IRCBOT.AQF
Dibuat pada awal tahun 2006 dan mulai dikenal pada bulan April 2006, worm IRCBot menyebar dengan memuat sebuah pesan yang ditujukan pada Presiden. Worm yang berasal dari Borneo alias Kalimantan ini tidak berusaha untuk mematikan proses Task Manager ataupun Registry Editor sebagai metode life defender, namun sebagai gantinya IRCBot menggunakan metode Watcher yang terbilang masih baru pada awal tahun 2006, yang akan me-restart komputer jika proses salah satu file launcher dimatikan. File worm berukuran 32 Kb dan menggunakan icon file dokumen Microsoft Word.
14. LIGHTMOON
Worm dengan nama sebutan yang bisa memiliki arti sebagai bulan purnama ini, menyebar dipenghujung April 2006 dengan barisan puisi yang terinspirasi dari bulan purnama. LightMoon menggunakan icon folder dan memiliki ukuran file sebesar 39 Kb, umumnya memiliki beberapa kesamaan teknik dengan worm lokal lainnya, hanya saja LightMoon ini akan mengalihkan akses dari fungsi MS Config, Registry Editor, Task Manager dan Command Prompt pada file launcher worm,
sehingga user malah mengeksekusi worm tersebut apabila menjalankan
salah satu fungsi tersebut.
1. I-WORM PERKASA
Pada bulan 6 Desember 2001 muncul sebuah worm lokal. Worm yang terkompresi dengan UPX ini memiliki ukuran sebesar 12,288 Kb dan dibuat dengan menggunakan program Visual Basic. Worm yang juga disebut dengan nama I-Worm.Imelda atau I-Worm Updater ini menggunakan media Microsoft Outlook dalam penyebarannya, saat file infector dieksekusi worm ini meng-copy dirinya ke
direktori Windows dengan nama 'UPDATE.EXE’, kemudian menambahkan suatu nilai registry pada sub key 'Run’ agar worm ini tetap aktif saat Windows startup.
2 . PESIN
Worm lokal lainnya muncul dipertengahan bulan September 2003 dengan menggunakan icon Microsoft Word. Worm yang terkompresi dengan ASPack ini juga sering dipanggil dengan sebutan Kenangan, Puisi Cinta, Hallo, Mistery atau MyHeart. Hal ini disebabkan karena worm Pesin menggunakan nama-nama tersebut sebagai nama dari file infector. Worm Pesin menggunakan media disket dalam proses penyebaran, hal ini sangat efektif mengingat penggunaan disket masih sangat diminati oleh pengguna komputer di Indonesia. Saat file infector dieksekusi worm ini meng-copy dirinya ke direktori Windows dengan nama 'SysTask.exe’, Pesin juga membuat salinan pada direktori My Documents dengan nama file 'MyHeart.exe’ kemudian menambahkan suatu nilai registry pada sub key 'Run’ agar worm ini tetap aktif saat Windows startup, yang menarik dari worm ini adalah worm akan menonaktifkan program Registry Editor jika user berusaha untuk menjalankannya.
3. TABARU
Pada awal januari 2005 kembali diketahui sebuah worm lokal yang membawa-bawa nama pembawa acara Jejak Petualang di TV7 yaitu Riyanni Djangkaru. Worm ini memiliki ukuran file sebesar 40 Kb dengan icon yang disamarkan sehingga terlihat seperti file jpg. Saat file infector dieksekusi worm membuat dua file, yaitu file 'xpshare.exe’ pada direktori 'C:\!submit’ dan file 'riyani_jangkaru.exe’ pada root direktori ’C:\’, kemudian menambahkan value 'winloader’ pada registry run yang akan mengaktifkan worm setiap Windows startup. Hanya saja worm ini baru banyak dikenal pada pertengahan Juli 2005.
4. KANGEN
Pada pertengahan April 2005, suatu worm lokal kembali meresahkan pengguna komputer, dengan berbekal refrain lagu Kangen (Dewa 19) worm ini sukses menginfeksi ratusan komputer di Indonesia. Seperti worm lokal terdahulu, Kangen juga dibuat dengan Visual Basic, menggunakan icon Microsoft Word dan melakukan penyebaran lewat disket, anehnya worm satu ini sama sekali tidak dikompresi J. Saat file infector dieksekusi worm ini meng-copy dirinya ke direktori System Windows dengan nama 'CCAPPS.EXE’ dengan ukuran file sebesar 64 Kb, yang menarik dari worm ini adalah worm akan berusaha menonaktifkan program Task Manager, MS Config dan Registry Editor. Saat buku ini ditulis worm Kangen sudah mencapai varian M.
5. KUMIS
Diawal bulan Juli 2005, seorang worm writer yang konon terinspirasi oleh seorang dosennya yang berkumis tebal membuat worm yang kemudian disebut dengan worm Kumis. Worm ini berukuran sebesar 76 Kb dan dikhususkan untuk sistem operasi Windows XP dan Windows Server 2003. Saat file infector dieksekusi worm ini membuat salinan dirinya ke direktori System Windows dengan nama 'username logon.exe’ dimana username adalah nama user aktif, kemudian memanipulasi registry agar worm tetap aktif. Menariknya, worm kumis ini akan me-restart komputer setiap kali Windows startup.
6. DECOIL
Worm Decoil yang juga sering disebut Decoy ini muncul di penghujung tahun 2005, worm lokal ini menyembunyikan file dokumen Microsoft Word dan membuat salinan dengan nama yang persis dengan nama file yang disembunyikan.
Saat file infector dieksekusi worm ini meng-copy dirinya ke direktori Windows dengan nama 'lExplorer.exe’, pada direktori System Windows dan sub direktori '\i75-d2’ dengan nama file 'dkernel.exe’. Decoy tergolong worm dengan ukuran yang sangat besar yaitu sebesar 154 Kb (besar file ini setelah dikompres dengan UPX).
7. RONTOKBRO
Diawal bulan Oktober 2005, pengguna komputer di Indonesia kembali dikejutkan oleh sebuah worm lokal yang sudah menggunakan smtp sendiri dalam mengirimkan file infector-nya dan selektif dalam pemilihan alamat e-mail target.
Worm yang diisukan sebagai worm lokal ter-anyar yang pernah ada ini ternyata dibuat dalam bahasa Visual Basic , RontokBro juga memblokir aplikasi Registry Editor dan memonitor caption pada aplikasi browser, jika suatu string tertentu ditemukan oleh RontokBro maka komputer akan di-restart secara otomatis.
8. NOBRON
Tidak begitu lama setelah kemunculan RontokBro, worm yang kemudian dikenali dengan nama W32/Nobron.A@mm oleh Norman Virus Control ini berusaha untuk membersihkan system dari worm RontokBro, Nobron memiliki ukuran file sebesar 84 Kb. Worm juga berusaha untuk menonaktifkan aplikasi Registry Editor, MS Config, Task Manager dan CMD. Saat file infector dieksekusi worm ini meng-copy dirinya ke direktori System Windows dengan nama 'MsPatch.exe’, selain itu Nobron juga membuat salinan ke setiap root dari masing-masing drive termasuk
USB Flash Disk dengan nama file 'foto administrator.exe’.
9. RUNITIS
Pada akhir bulan Nopember 2005, kembali diketahui sebuah worm lokal dengan ukuran file sebesar 164 Kb dan telah dikompres dengan aplikasi ASPack. Worm ini menggunakan nama yang diambil dari nama seorang penyanyi dari Malaysia yaitu Siti Nurhaliza (Runitis jika dibaca terbalik menjadi Sitinur). Runitis menggunakan icon Internet Explorer dalam penyebarannya. Worm ini menghapus
file program regedit.exe (Registry Editor), msconfig.exe (MS Config), wmplayer.exe (Windows Media Player), winamp.exe dan winampa. exe (Winamp) serta beberapa file program lainnya kemudian membuat salinan dirinya dengan nama dan letak yang sama, sehingga user malah akan menjalankan worm apabila mengeksekusi aplikasi-aplikasi tersebut.
10. BLUEFANTASY
Di akhir bulan Januari 2006, sebuah worm lokal bernama BlueFantasy ikut berlomba dengan worm lainnya, walaupun worm yang berukuran 68 Kb ini tidak melewati proses enkripsi dan kompresi namun Blue- Fantasy mempertahankan ciri khas worm komputer yang membuat banyak salinan, dengan cara memonitor direktori aktif dan membuat salinan pada direktori tersebut. Saat file infector dieksekusi BlueFantasy meng-copy dirinya ke direktori System Windows dengan nama file 'Win32.com’ dan menggunakan atribut Hidden, selain itu worm juga membuat salinan pada direktori Desktop, My Documents, dan StartUp. Kemudian worm memanipulasi suatu nilai registry yang akan membuat file worm tetap tereksekusi saat Windows startup, dan membuat type file executable seperti exe
dan scr akan terlihat sebagai aplikasi Microsoft Word.
11. ROMDIL
Pertengahan bulan Februari 2006, sebuah worm lokal lainnya muncul dan dideteksi Norman Virus Control sebagai w32/Romdil, seperti kebanyakan worm lokal, worm inipun dibuat dengan menggunakan bahasa Visual Basic. Worm Romdil memiliki ukuran file sebesar 40 Kb untuk varian A dan sebesar 41 Kb untuk varian B, worm ini telah dikompres dengan menggunakan aplikasi UPX, Selain itu worm ini menggunakan icon dengan gambar Folder, dan disamarkan sebagai file aplikasi Windows Explorer. Untuk bertahan pada suatu system, Romdil berusaha untuk mencegah user mengeksekusi aplikasi CMD (command prompt), MS Config, Registry Editor, Task Manager, dan beberapa fasilitas Windows seperti Search dan Run.
12. MYBRO
Di bulan Maret 2006, sebuah varian lain dari worm RontokBro kembali di-release dan diperkirakan dibuat dengan menggunakan bahasa C. MyBro memiliki ukuran file sebesar 51 Kb dan menggunakan icon dengan gambar Folder. Worm MyBro diperkirakan menggunakan / meniru source code worm yang sudah ada sehingga pola worm tersebut dapat terdeteksi dengan mudah oleh teknologi SandBox dari Norman Virus Control. Untuk bertahan pada suatu system, MyBro berusaha untuk mematikan service antivirus dari Norman, TrendMicro, Norton, McAfee, AVG,
Bit Defender, Panda dan PC Cilin. Selain itu MyBro berusaha untuk menghapus file Microsoft Visual Basic Virtual Machine yang akan menggagalkan proses untuk setiap aplikasi yang dibuat dengan menggunakan bahasa Visual Basic, serta melakukan blocking ke beberapa situs tertentu.
13. IRCBOT.AQF
Dibuat pada awal tahun 2006 dan mulai dikenal pada bulan April 2006, worm IRCBot menyebar dengan memuat sebuah pesan yang ditujukan pada Presiden. Worm yang berasal dari Borneo alias Kalimantan ini tidak berusaha untuk mematikan proses Task Manager ataupun Registry Editor sebagai metode life defender, namun sebagai gantinya IRCBot menggunakan metode Watcher yang terbilang masih baru pada awal tahun 2006, yang akan me-restart komputer jika proses salah satu file launcher dimatikan. File worm berukuran 32 Kb dan menggunakan icon file dokumen Microsoft Word.
14. LIGHTMOON
Worm dengan nama sebutan yang bisa memiliki arti sebagai bulan purnama ini, menyebar dipenghujung April 2006 dengan barisan puisi yang terinspirasi dari bulan purnama. LightMoon menggunakan icon folder dan memiliki ukuran file sebesar 39 Kb, umumnya memiliki beberapa kesamaan teknik dengan worm lokal lainnya, hanya saja LightMoon ini akan mengalihkan akses dari fungsi MS Config, Registry Editor, Task Manager dan Command Prompt pada file launcher worm,
sehingga user malah mengeksekusi worm tersebut apabila menjalankan
salah satu fungsi tersebut.
PERKEMBANGAN WORM NON LOKAL
Berikut ini beberapa catatan singkat tentang worm yang pernah ada dan membuat banyak kerugian para pengguna komputer.
1. CHRISTMA EXEC
Pada tanggal 9 Desember 1987, worm "Christma Exec" menjadi worm pertama yang mampu menyebar dengan menggunakan media e-mail diantara komputer mainframe IBM. Worm ini juga menjadi contoh penggunaan social engineering, dengan mengajak user untuk mengeksekusi worm tersebut dengan dalih akan menampilkan gambar pohon natal.
Worm tersebut memang menghasilkan gambar pohon natal pada layar monitor (digambar dengan menggunakan bahasa script yang disebut Rexx), tetapi worm tersebut juga mengirimkan salinan dirinya dengan menggunakan nama user kepada setiap nama yang ada pada daftar e-mail penerima, sehingga penerima percaya bahwa e-mail yang dikirimkan tersebut adalah benar dari user yang dikenal dan bersedia membukanya.
2. MORRIS
Pada tanggal 2 Nopember 1988, worm Morris yang terkenal pada waktu itu berhasil melumpuhkan 6.000 komputer dalam beberapa jam. Worm tersebut dibuat oleh seorang siswa Cornell, Robert Morris Jr. Kemudian diadakan penyelidikan, sampai akhirnya Morris dijatuhkan hukuman pada tahun 1990. Kesimpulan yang diperoleh adalah motivasi dalam menulis worm tersebut tidak diketahui dan worm tidak diprogram untuk sengaja melakukan pengrusakan, tetapi kerusakan yang ditimbulkan disebabkan oleh kecelakaan dan kesalahan pemrograman. Dibulan Oktober 1989, muncul sebuah worm bernama WANK (Worms Against Nuclear Killers) yang tampaknya belajar dari worm Morris dan melakukan penularan pada komputer VMS pada DECNet. Worm ini menyebar dengan memanfaatkan e-mail dan mengeksploitasi system untuk mendapatkan hak akses dengan berusaha mencari account user name dan password.
3. HAPPY99
Pada bulan Januari 1999, worm happy99 menyebar lewat e-mail dengan attachment sebuah file aplikasi bernama happy99.exe. Ketika file tersebut dieksekusi tampil gambar kembang api untuk memperingati tahun baru 1999, tetapi secara diam-diam memodifikasi file WSOCK32.DLL (file system untuk koneksi internet) dengan suatu program trojan horse yang mengijinkan worm tersebut menyisipkan dirinya pada proses komunikasi internet, sementara file WSOCK32.DLL yang asli diubah kembali namanya menjadi WSOCK32.SKA
4. MELISA
Di bulan Maret 1999, sebuah virus macro "Melisa" kembali meresahkan pengguna internet dengan menginfeksi 100.000 unit komputer hanya dalam waktu tiga hari. Virus tersebut memulai penyebarannya dengan pengiriman perdana ke Usenet Newsgroup "alt.sex" yang menjanjikan account name berikut password untuk dapat mengakses sebuah situs erotis. Sebuah perusahaan antivirus Norton menyebutkan bahwa virus ini adalah penggabungan antara worm dan virus. Mellisa menyertakan sebuah file attachment berupa file dokumen Word yang terinfeksi. Ironisnya saat itu masih banyak yang percaya bahwa dengan membuka sebuah e-mail tidak dapat menginfeksi sebuah komputer. Ketika macro tersebut tereksekusi oleh aplikasi Word. Pertama kali yang dilakukannya adalah melakukan pemeriksaan apakah versi aplikasi Word yang digunakan bisa diinfeksi, jika bisa maka virus akan mengurangi pengaturan keamanan pada aplikasi Word untuk mencegah aplikasi menampilkan pesan atau peringatan tentang adanya suatu macro, yang akan mencurigakan user. Virus kemudian mencari sebuah key pada registry yang mengandung kata "kwyjibo", apabila key tersebut tidak ditemukan, virus akan mengeksekusi aplikasi Outlook dan berusaha mengirimkan salinan dirinya kepada 50 penerima yang ada pada address book (buku alamat) aplikasi Outlook. Sebagai tambahan virus menulari file template aplikasi Word "normal.dot" menggunakan fitur VBA macro "Auto Execute", file dokumen yang berasal dari file template tersebut akan membawa serta virus tersebut.
5. PRETTY PARK
Sebuah worm lainnya menyebar luas dimusim panas tahun 1999. Worm yang dinamakan "Pretty- Park" ini menyertakan attachment berupa file "Pretty Park.exe". Tidak ada penjelasan pada attachment, hanya saja file tersebut menggunakan icon bergambar seekor beruang, yang merupakan sebuah karakter pada suatu pertunjukan televise "South Park". Jika dieksekusi, worm menginstal dirinya ke direktori System Windows dan memodifikasi registry yang membuat worm tersebut aktif saat file ber-ekstensi "exe" apa saja dieksekusi. Hal ini menjadi permasalahan bagi program antivirus, yang tentunya juga ber-ekstensi "exe".
Worm juga mengirimkan salinan dirinya pada alamat e-mail yang ada pada buku alamat Windows. Pretty Park kemudian berusaha mengirimkan beberapa data system dan password pada sebuah server IRC (internet relay chat) tertentu, terakhir dilaporkan bahwa worm ini memasang suatu backdoor.
6. EXPLORE ZIP
Pada bulan Juni tahun 1999, muncul sebuah worm bernama "ExploreZip" yang menyamar sebagai file zip (file terkompresi) dalam attachment sebuah e-mail yang jika dieksekusi akan menampilkan pesan kesalahan. ExploreZip secara diam-diam menyalin dirinya kedalam direktori System Windows dan memodifikasi registry.
Seperti worm lainnya, ExploreZip juga melakukan penyebaran lewat e-mail dengan memanfaatkan aplikasi Outlook atau Exchange, dengan mengawasi e-mail yang masuk dan membalas e-mail tersebut dengan salinan dirinya. pada tanggal 9 Januari 2003 ExploreZip kemudian dilaporkan menghasilkan varian baru. Varian ini bernama ExploreZip.N varian dan cukup merepotkan pengguna komputer di Indonesia. Salah satu metode penyebarannya menggunakan e-mail yang memiliki attachment berupa file ZIPPED_FILES.EXE saat file ini dieksekusi maka worm menginstal dirinya sendiri pada system Windows. Worm ini meng-overwrite (menimpa) file dokumen dengan ekstensi DOC (Microsoft Word), XLS (Microsoft Excel), PPT (Microsoft Powerpoint), ASM (Assembler), CPP (C++), C (File C), H (Header C) sehingga file-file tersebut sulit untuk diselamatkan.
7. BUBBLE BOY
Awal tahun 2000, muncul sebuah virus yang membawa sebuah konsep baru "BubbleBoy". Virus ini menunjukkan bahwa sebuah computer dapat tertular hanya dengan melihat e-mail, tanpa harus membuka pesannya. Virus ini mengambil keuntungan dengan adanya celah keamanan pada aplikasi Internet Explorer, yang secara otomatis mengeksekusi script Visual Basic yang terdapat pada body e-mail. Virus akan datang sebagai sebuah e-mail dengan subjek "BubbleBoy is back", pesan berbentuk file HTML dan mengandung script virus dalam bahasa Visual Basic. Jika menggunakan aplikasi Outlook, script tersebut akan dijalankan walaupun yang dilakukan hanya preview. File tersebut akan ditambahkan pada direktori StartUp Windows, sehingga apabila computer dihidupkan virus akan berusaha mengirimkan dirinya pada setiap alamat yang ada pada address book aplikasi Outlook. Diwaktu yang hampir bersamaan, worm "KAK" tersebar dengan cara yang serupa.
8. LOVE LETTER
Dibulan Mei 2000, lajunya penyebaran worm "LoveLetter" menunjukkan efektifitas serangan dengan metode social engineering, yang hingga saat ini sudah menjadi suatu kebiasaan suatu worm dalam penyebarannya. E-mail yang berisi worm ini memiliki subjek "I Love You" yang berarti "Saya Cinta Kamu" dan berisi pesan-pesan yang mendorong user untuk mengeksekusi attachment yang merupakan worm tersebut. File attachment berupa Visual Basic Script yang bisa dieksekusi dengan Windows Script Host (bagian dari Windows98, Windows2000, Internet Explorer 5, atau Outlook 5). Ketika dieksekusi, LoveLetter menginstal dirinya kedalam direktori System Windows dan memodifikasi registry untuk memastikan bahwa worm akan aktif saat komputer dihidupkan. Ketika komputer lainnya terinfeksi, dan jika aplikasi Outlook terinstal pada komputer tersebut,
maka worm akan mengirimkan salinannya pada siapa saja yang ada pada address book aplikasi Outlook. Sebagai tambahan worm akan membuat koneksi IRC dan mengirimkan salinan dirinya pada siapa saja yang bergabung pada saluran IRC tersebut. LoveLetter juga memiliki kemampuan untuk mencuri password. Dengan mengubah home page (alamat url yang akan diakses pertama kalinya) pada Internet Explorer ke suatu website di Asia, worm akan mengusahakan agar suatu trojan horse di download dari website tersebut, dimana trojan horse tersebut akan mengumpulkan password e-mail dan mengirimkannya ke suatu alamat di Asia.
9. HYBRIS
Dibulan Oktober 2000, worm Hybris menyebar dengan e-mail berattachment. Jika dieksekusi akan memodifikasi file WSOCK32.DLL dalam rangka menjejaki semua lalu lintas ber-internet. Untuk setiap e-mail yang terkirim worm akan mengirimkan salinan dirinya ke alamat penerima yang sama. Yang menarik dari worm ini yaitu; bisa men-download file update untuk dirinya sendiri dari newsgroup "alt. comp.virus" metode yang digunakan termasuk canggih dan sangat berbahaya karena payload worm tersebut bisa diubah kapan saja.
10. ANNA KOURNIKOVA
Pada bulan Februari 2001, kembali sebuah worm mencemaskan para pengguna internet, yang memanfaatkan kepopuleran seorang petenis asal Rusia "Anna Kournikova". Worm ini dibawa dalam suatu attachment e-mail yang menyatakan bahwa lampiran tersebut adalah file gambar dalam bentuk file jpg yang memuat foto pemain tenis tersebut. Apabila file tersebut dieksekusi maka akan mengirimkan salinan dirinya kepada setiap nama yang terdaftar pada buku alamat Microsoft Outlook.
11. SADMIND
Pada bulan Mei 2001, worm Sadmind menyebar dengan mentargetkan
2 vulnerability (kelemahan) pada 2 sistem operasi yang berbeda, dan
menjadi teladan untuk worm berikutnya yang bisa melakukan serangan
dengan berbagai kombinasi. Pertama kali yang dilakukannya adalah
meng-eksploitasi vulnerability buffer overflow pada sistem operasi
Sun Solaris, dan menginstal suatu program agar bisa melakukan
komunikasi dengan IIS webserver guna melakukan suatu serangan.
Vulnerability ini kemudian diumumkan pada tanggal 18 Juni 2001,
yang menunjuk sebagai vulnerability pada Index Server ISAPI.
12. CODE RED
Memanfaatkan vulnerability pada Index Server ISAPI tersebut, pada tanggal 12 Juli 2001 muncul sebuah worm dengan nama "Code Red" yang menyerang semua IIS webserver, dengan aksi mengubah tampilan awal website pada server yang tertular. Pertama kali worm menginstal dirinya pada system, membaca IP system dan dari IP tersebut worm menyusun 99 IP baru, kemudian melakukan pemeriksaan sistem operasi pada IP yang berhasil disusun- Jika worm menemukan sebuah IP target menggunakan sistem operasi Microsoft Windows maka worm akan meng-eksploitasi server target tersebut, dan melakukan deface (mengubah halaman awal suatu website) dengan tampilan "Welcome to the http://www.worm.com ! hacked by Chinese!." Berikutnya worm mencari file c:\notworm. Worm tidak akan menghentikan serangannya jika file tersebut tidak ditemukan. Pada tanggal
20 Juli worm akan melakukan serangan DOS (denial of service) pada server http://www.whitehouse.gov, kemudian pada tanggal 27 worm membuat dirinya dalam kondisi dormant (fase saat worm menjadi tidak aktif) secara permanen. Tidak begitu lama pada tanggal 19 Juli 2001, muncul Code Red I yang merupakan versi kedua dari worm Code Red dengan penyebaran yang lebih cepat. Banyak perbaikan pada program worm sehingga mampu menginfeksi 359.000 unit komputer hanya dalam waktu 14 jam, seperti versi pertama worm ini juga membuat dirinya dalam kondisi dormant pada tanggal 20 Juli secara permanen.
Di bulan Agustus 2001, kembali Code Red muncul dengan versi berbeda "Code Red II", muncul dengan payload yang sangat berbahaya. Worm ini masih memanfaatkan vulnerability yang sama dengan versi sebelumnya, sedikit perubahan pada program, worm ini akan membuat suatu trojan "explorer.exe" dan ditempatkan pada direktori root.
13. NIMDA
Tanggal 18 September 2001, worm Nimda adalah worm yang termasuk paling banyak menginfeksi komputer di Indonesia, muncul dengan memuat payload yang sangat berbahaya dan menggunakan beragam cara dalam penyebarannya, pada 12 jam pertama saja worm ini sudah berhasil menginfeksi 450.000 unit komputer, dan dalam dua hari Nimda berhasil menginfeksi 2,2 juta komputer serta menyebabkan kerugian sebesar US $ 370 juta. Walaupun worm ini tidak menggunakan metode baru dalam penyebarannya, tetapi dengan penggabungan beberapa metode dalam suatu worm, menunjukkan adanya tingkatan baru atas kompleksitas yang tidak terlihat sebelumnya. Nimda melakukan penyebaran dengan mengirimkan salinan dirinya melalui e-mail dengan subjek random (acak) dan sebuah file attachment "readme.exe". Nimda memanfaatkan celah keamanan pada Internet Explorer dan
Outlook Express 5.01 dan 5.5 Service Pack 1, dimana e-mail yang dikirimkan Nimda berupa halaman html yang memiliki body script tertentu dengan tujuan akan secara otomatis mengaktifkan file attachment walaupun e-mail tersebut hanya dilihat pada preview pane saja. Bila komputer terinfeksi berada dalam suatu jaringan maka secara otomatis Nimda mencari direktori yang di sharing dari komputer lain dan memberikan hak tulis penuh (full access) kemudian membuat salinan dirinya ke dalam direktori-direktori tersebut, dengan mengambil nama
file secara random pada daftar file yang ada pada komputer terinfeksi, dengan menggunakan ekstensi EML atau NWS. Pada server yang terinfeksi, file-file halaman web akan disisipkan script baru yang secara otomatis mengakses file readme.eml saat halaman web tersebut dibuka. Dalam penyebarannya, Nimda juga memanfaatkan backdoor pada server yang terinfeksi CodeRed2 atau Sadmind.
Banyaknya perubahan pada file system dan registry membuat worm ini sulit untuk dibersihkan.
14. BADTRANS.B
Pada bulan November 2001, BadTrans kembali beraksi setelah kemunculan perdananya pada tanggal 12 April 2001 dengan teknik yang lebih canggih dan bisa dikatakan sebagai era baru dalam social engineering. BadTrans.B memeriksa direktori inbox pada aplikasi Outlook dengan mencari e-mail yang belum dibuka oleh user, kemudian membalas e-mail tersebut dengan file attachment berupa salinan dirinya sendiri. Seperti Nimda, e-mail yang dikirimkan berupa halaman html dan secara otomatis mengaktifkan file attachment walaupun e-mail tersebut
hanya dilihat pada preview pane saja. Pada proses pengiriman e-mail BadTrans.B menambahkan underscore (tanda garis bawah) "_" disetiap awal alamat pengirim, sehingga apabila e-mail tersebut di-reply (balas) maka e-mail balasan tersebut tidak akan sampai pada alamatnya. BadTrans.B akan menginstal suatu program trojan yang akan mencuri user name dan password kemudian mengirimkannya pada suatu alamat e-mail tertentu, dilaporkan worm ini mengakibatkan kerugian
sebesar US $ 210 juta.
15. KLEZ
Worm Klez muncul di bulan Oktober 2001, seperti worm lainnya worm ini pun menggunakan kelemahan IE dan OE sehingga worm tereksekusi dengan sendirinya walau hanya dilihat pada preview pane saja. Klez hanya menggunakan sarana e-mail dalam penyebarannya. Klez menyatukan suatu keunikan dengan pendekatan sosial yang inovatif, dengan memilih salah satu alamat e-mail yang ada pada computer terinfeksi dan menggunakan alamat tersebut sebagai alamat pengirim,
kemudian mengirimkan salinan dirinya ke seluruh alamat e-mail yang lain. Dengan cara ini terlihat, seolah-olah e-mail dikirim oleh seseorang yang benar-benar dikenal oleh penerima. Tanggal 11 Nopember 2001, dilaporkan kembali varian lain dari worm tersebut. Klez.d memiliki rutin baru yang akan memeriksa database
alamat e-mail dari pengguna ICQ sebagai target pengiriman. Saat dieksekusi worm menginstal dirinya kedalam direktori System Windows dengan nama file "WinSvc.exe" dan melakukan modifikasi pada registry sehingga worm akan aktif saat komputer dihidupkan. Varian lainnya muncul dengan nama Klez.e dan dilaporkan pada tanggal 17 Januari 2002. Saat dieksekusi worm akan menginstal dirinya kedalam direktori System Windows dengan nama file "WINK???.EXE",
dimana ??? adalah variabel random berupa angka 2 dan 3. Seperti Klez. d worm ini juga memodifikasi registry dengan alasan yang sama, Selain itu worm ini juga telah dipersenjatai dengan pembunuh program antivirus yang bisa mendeteksi Nimda, Code Red, Sircam dan Fun Love. Pada varian selanjutnya, e-mail tidak hanya terlihat berasal dari seorang teman tetapi klez menyisipkan sebuah tool "imunitas" sebagai attachment dan penerima diajarkan untuk menon-aktifkan antivirus mereka agar bisa menjalankan tool tersebut, dengan mengikuti petunjuk tersebut, dan saat attachment tersebut dieksekusi maka sebenarnya user malah menginstal Klez serta virus ElKern pada komputer mereka. Klez merupakan salah satu worm yang memiliki siklus hidup terpanjang, yang pernah mengacaukan dunia internet. Pertama kali dilaporkan pada bulan Oktober 2001, dan mendominasi pada tahun 2002 sebagai worm yang paling lazim di internet. Akhir tahun 2003 kembali dilaporkan varian Klez.H sebagai ancaman, walaupun sukar menentukan besar kerugian yang ditimbulkan, tetapi diperkirakan Klez dan varian-nya menimbulkan kerugian sebesar US $ 9 milyar.
16. SLAMMER
Serangan worm Slammer dimulai pada tanggal 23 Januari 2003, worm yang hanya berukuran 369 byte ini menjadikan Slammer sebagai worm dengan ukuran terkecil yang pernah ada. Cara kerja worm ini hamper sama dengan CodeRed, dan tidak memodifikasi registry. Slammer memanfaatkan vulnerability yang ditemukan oleh Next Generation Security Software Limited pada bulan Juli 2002 dimana dengan memanfaatkan vulnerability ini, penyerang dapat menguasai SQL Server dan kode pemrograman yang berhasil dimasukkan akan berjalan sebagai system karena hak dari MS SQL Server di dalam komputer adalah system. Worm ini bukan merupakan mass mailer dan hanya menyebarkan dirinya melalui scanning port 1434.
17. BAGLE
Di minggu ketiga Januari 2004, sebuah worm yang disinyalir berasal dari Jerman ternyata sukses meraih peringkat pertama sebagai worm yang paling banyak dihentikan. Worm yang kemudian diketahui bernama Bagle ini memiliki siklus hidup yang tergolong singkat, Bagle memasuki fase dormant secara permanen pada tanggal 28 Januari 2004dan berusaha untuk menghapus file launcher-nya. Bagle memiliki ukuran file sebesar 15 Kb, dan melakukan penyebaran dengan cara mengirimkan file infector melalui e-mail ber-attachment, dengan tujuan pengiriman yang dikoleksi dari file-file berekstensi txt, htm, html dan wab pada sistem lokal. Saat file infector dieksekusi, Bagle membuat salinan file worm pada
direktori System Windows, kemudian memanipulasi registry agar worm tereksekusi setiap kali Windows startup.
18. NETSKY
Tidak begitu lama setelah kemunculan worm Bagle, sebuah worm lainnya menyebar dengan kecepatan yang lebih tinggi. Worm Netsky melakukan penyebaran dengan cara yang sama seperti yang dilakukan worm Bagle, hanya saja Netsky memiliki beberapa rutin yang memungkinkan dirinya dapat melakukan penyebaran dengan menggunakan media aplikasi peer to peer. Netsky mengirimkan salinan dirinya melalui sebuah e-mail ber-attachment dan dalam bentuk file terkompresi. File worm berukuran sebesar 22 Kb dan menggunakan icon yang disamarkan sehingga terlihat sebagai sebuah file dokumen Microsoft Word. Saat file infector dieksekusi Netsky membuat salinan file worm pada
direktori Windows dengan nama file 'services.exe’, kemudian memanipulasi beberapa nilai registry yang bertujuan agar worm dapat tereksekusi setiap kali Windows startup.
1. CHRISTMA EXEC
Pada tanggal 9 Desember 1987, worm "Christma Exec" menjadi worm pertama yang mampu menyebar dengan menggunakan media e-mail diantara komputer mainframe IBM. Worm ini juga menjadi contoh penggunaan social engineering, dengan mengajak user untuk mengeksekusi worm tersebut dengan dalih akan menampilkan gambar pohon natal.
Worm tersebut memang menghasilkan gambar pohon natal pada layar monitor (digambar dengan menggunakan bahasa script yang disebut Rexx), tetapi worm tersebut juga mengirimkan salinan dirinya dengan menggunakan nama user kepada setiap nama yang ada pada daftar e-mail penerima, sehingga penerima percaya bahwa e-mail yang dikirimkan tersebut adalah benar dari user yang dikenal dan bersedia membukanya.
2. MORRIS
Pada tanggal 2 Nopember 1988, worm Morris yang terkenal pada waktu itu berhasil melumpuhkan 6.000 komputer dalam beberapa jam. Worm tersebut dibuat oleh seorang siswa Cornell, Robert Morris Jr. Kemudian diadakan penyelidikan, sampai akhirnya Morris dijatuhkan hukuman pada tahun 1990. Kesimpulan yang diperoleh adalah motivasi dalam menulis worm tersebut tidak diketahui dan worm tidak diprogram untuk sengaja melakukan pengrusakan, tetapi kerusakan yang ditimbulkan disebabkan oleh kecelakaan dan kesalahan pemrograman. Dibulan Oktober 1989, muncul sebuah worm bernama WANK (Worms Against Nuclear Killers) yang tampaknya belajar dari worm Morris dan melakukan penularan pada komputer VMS pada DECNet. Worm ini menyebar dengan memanfaatkan e-mail dan mengeksploitasi system untuk mendapatkan hak akses dengan berusaha mencari account user name dan password.
3. HAPPY99
Pada bulan Januari 1999, worm happy99 menyebar lewat e-mail dengan attachment sebuah file aplikasi bernama happy99.exe. Ketika file tersebut dieksekusi tampil gambar kembang api untuk memperingati tahun baru 1999, tetapi secara diam-diam memodifikasi file WSOCK32.DLL (file system untuk koneksi internet) dengan suatu program trojan horse yang mengijinkan worm tersebut menyisipkan dirinya pada proses komunikasi internet, sementara file WSOCK32.DLL yang asli diubah kembali namanya menjadi WSOCK32.SKA
4. MELISA
Di bulan Maret 1999, sebuah virus macro "Melisa" kembali meresahkan pengguna internet dengan menginfeksi 100.000 unit komputer hanya dalam waktu tiga hari. Virus tersebut memulai penyebarannya dengan pengiriman perdana ke Usenet Newsgroup "alt.sex" yang menjanjikan account name berikut password untuk dapat mengakses sebuah situs erotis. Sebuah perusahaan antivirus Norton menyebutkan bahwa virus ini adalah penggabungan antara worm dan virus. Mellisa menyertakan sebuah file attachment berupa file dokumen Word yang terinfeksi. Ironisnya saat itu masih banyak yang percaya bahwa dengan membuka sebuah e-mail tidak dapat menginfeksi sebuah komputer. Ketika macro tersebut tereksekusi oleh aplikasi Word. Pertama kali yang dilakukannya adalah melakukan pemeriksaan apakah versi aplikasi Word yang digunakan bisa diinfeksi, jika bisa maka virus akan mengurangi pengaturan keamanan pada aplikasi Word untuk mencegah aplikasi menampilkan pesan atau peringatan tentang adanya suatu macro, yang akan mencurigakan user. Virus kemudian mencari sebuah key pada registry yang mengandung kata "kwyjibo", apabila key tersebut tidak ditemukan, virus akan mengeksekusi aplikasi Outlook dan berusaha mengirimkan salinan dirinya kepada 50 penerima yang ada pada address book (buku alamat) aplikasi Outlook. Sebagai tambahan virus menulari file template aplikasi Word "normal.dot" menggunakan fitur VBA macro "Auto Execute", file dokumen yang berasal dari file template tersebut akan membawa serta virus tersebut.
5. PRETTY PARK
Sebuah worm lainnya menyebar luas dimusim panas tahun 1999. Worm yang dinamakan "Pretty- Park" ini menyertakan attachment berupa file "Pretty Park.exe". Tidak ada penjelasan pada attachment, hanya saja file tersebut menggunakan icon bergambar seekor beruang, yang merupakan sebuah karakter pada suatu pertunjukan televise "South Park". Jika dieksekusi, worm menginstal dirinya ke direktori System Windows dan memodifikasi registry yang membuat worm tersebut aktif saat file ber-ekstensi "exe" apa saja dieksekusi. Hal ini menjadi permasalahan bagi program antivirus, yang tentunya juga ber-ekstensi "exe".
Worm juga mengirimkan salinan dirinya pada alamat e-mail yang ada pada buku alamat Windows. Pretty Park kemudian berusaha mengirimkan beberapa data system dan password pada sebuah server IRC (internet relay chat) tertentu, terakhir dilaporkan bahwa worm ini memasang suatu backdoor.
6. EXPLORE ZIP
Pada bulan Juni tahun 1999, muncul sebuah worm bernama "ExploreZip" yang menyamar sebagai file zip (file terkompresi) dalam attachment sebuah e-mail yang jika dieksekusi akan menampilkan pesan kesalahan. ExploreZip secara diam-diam menyalin dirinya kedalam direktori System Windows dan memodifikasi registry.
Seperti worm lainnya, ExploreZip juga melakukan penyebaran lewat e-mail dengan memanfaatkan aplikasi Outlook atau Exchange, dengan mengawasi e-mail yang masuk dan membalas e-mail tersebut dengan salinan dirinya. pada tanggal 9 Januari 2003 ExploreZip kemudian dilaporkan menghasilkan varian baru. Varian ini bernama ExploreZip.N varian dan cukup merepotkan pengguna komputer di Indonesia. Salah satu metode penyebarannya menggunakan e-mail yang memiliki attachment berupa file ZIPPED_FILES.EXE saat file ini dieksekusi maka worm menginstal dirinya sendiri pada system Windows. Worm ini meng-overwrite (menimpa) file dokumen dengan ekstensi DOC (Microsoft Word), XLS (Microsoft Excel), PPT (Microsoft Powerpoint), ASM (Assembler), CPP (C++), C (File C), H (Header C) sehingga file-file tersebut sulit untuk diselamatkan.
7. BUBBLE BOY
Awal tahun 2000, muncul sebuah virus yang membawa sebuah konsep baru "BubbleBoy". Virus ini menunjukkan bahwa sebuah computer dapat tertular hanya dengan melihat e-mail, tanpa harus membuka pesannya. Virus ini mengambil keuntungan dengan adanya celah keamanan pada aplikasi Internet Explorer, yang secara otomatis mengeksekusi script Visual Basic yang terdapat pada body e-mail. Virus akan datang sebagai sebuah e-mail dengan subjek "BubbleBoy is back", pesan berbentuk file HTML dan mengandung script virus dalam bahasa Visual Basic. Jika menggunakan aplikasi Outlook, script tersebut akan dijalankan walaupun yang dilakukan hanya preview. File tersebut akan ditambahkan pada direktori StartUp Windows, sehingga apabila computer dihidupkan virus akan berusaha mengirimkan dirinya pada setiap alamat yang ada pada address book aplikasi Outlook. Diwaktu yang hampir bersamaan, worm "KAK" tersebar dengan cara yang serupa.
8. LOVE LETTER
Dibulan Mei 2000, lajunya penyebaran worm "LoveLetter" menunjukkan efektifitas serangan dengan metode social engineering, yang hingga saat ini sudah menjadi suatu kebiasaan suatu worm dalam penyebarannya. E-mail yang berisi worm ini memiliki subjek "I Love You" yang berarti "Saya Cinta Kamu" dan berisi pesan-pesan yang mendorong user untuk mengeksekusi attachment yang merupakan worm tersebut. File attachment berupa Visual Basic Script yang bisa dieksekusi dengan Windows Script Host (bagian dari Windows98, Windows2000, Internet Explorer 5, atau Outlook 5). Ketika dieksekusi, LoveLetter menginstal dirinya kedalam direktori System Windows dan memodifikasi registry untuk memastikan bahwa worm akan aktif saat komputer dihidupkan. Ketika komputer lainnya terinfeksi, dan jika aplikasi Outlook terinstal pada komputer tersebut,
maka worm akan mengirimkan salinannya pada siapa saja yang ada pada address book aplikasi Outlook. Sebagai tambahan worm akan membuat koneksi IRC dan mengirimkan salinan dirinya pada siapa saja yang bergabung pada saluran IRC tersebut. LoveLetter juga memiliki kemampuan untuk mencuri password. Dengan mengubah home page (alamat url yang akan diakses pertama kalinya) pada Internet Explorer ke suatu website di Asia, worm akan mengusahakan agar suatu trojan horse di download dari website tersebut, dimana trojan horse tersebut akan mengumpulkan password e-mail dan mengirimkannya ke suatu alamat di Asia.
9. HYBRIS
Dibulan Oktober 2000, worm Hybris menyebar dengan e-mail berattachment. Jika dieksekusi akan memodifikasi file WSOCK32.DLL dalam rangka menjejaki semua lalu lintas ber-internet. Untuk setiap e-mail yang terkirim worm akan mengirimkan salinan dirinya ke alamat penerima yang sama. Yang menarik dari worm ini yaitu; bisa men-download file update untuk dirinya sendiri dari newsgroup "alt. comp.virus" metode yang digunakan termasuk canggih dan sangat berbahaya karena payload worm tersebut bisa diubah kapan saja.
10. ANNA KOURNIKOVA
Pada bulan Februari 2001, kembali sebuah worm mencemaskan para pengguna internet, yang memanfaatkan kepopuleran seorang petenis asal Rusia "Anna Kournikova". Worm ini dibawa dalam suatu attachment e-mail yang menyatakan bahwa lampiran tersebut adalah file gambar dalam bentuk file jpg yang memuat foto pemain tenis tersebut. Apabila file tersebut dieksekusi maka akan mengirimkan salinan dirinya kepada setiap nama yang terdaftar pada buku alamat Microsoft Outlook.
11. SADMIND
Pada bulan Mei 2001, worm Sadmind menyebar dengan mentargetkan
2 vulnerability (kelemahan) pada 2 sistem operasi yang berbeda, dan
menjadi teladan untuk worm berikutnya yang bisa melakukan serangan
dengan berbagai kombinasi. Pertama kali yang dilakukannya adalah
meng-eksploitasi vulnerability buffer overflow pada sistem operasi
Sun Solaris, dan menginstal suatu program agar bisa melakukan
komunikasi dengan IIS webserver guna melakukan suatu serangan.
Vulnerability ini kemudian diumumkan pada tanggal 18 Juni 2001,
yang menunjuk sebagai vulnerability pada Index Server ISAPI.
12. CODE RED
Memanfaatkan vulnerability pada Index Server ISAPI tersebut, pada tanggal 12 Juli 2001 muncul sebuah worm dengan nama "Code Red" yang menyerang semua IIS webserver, dengan aksi mengubah tampilan awal website pada server yang tertular. Pertama kali worm menginstal dirinya pada system, membaca IP system dan dari IP tersebut worm menyusun 99 IP baru, kemudian melakukan pemeriksaan sistem operasi pada IP yang berhasil disusun- Jika worm menemukan sebuah IP target menggunakan sistem operasi Microsoft Windows maka worm akan meng-eksploitasi server target tersebut, dan melakukan deface (mengubah halaman awal suatu website) dengan tampilan "Welcome to the http://www.worm.com ! hacked by Chinese!." Berikutnya worm mencari file c:\notworm. Worm tidak akan menghentikan serangannya jika file tersebut tidak ditemukan. Pada tanggal
20 Juli worm akan melakukan serangan DOS (denial of service) pada server http://www.whitehouse.gov, kemudian pada tanggal 27 worm membuat dirinya dalam kondisi dormant (fase saat worm menjadi tidak aktif) secara permanen. Tidak begitu lama pada tanggal 19 Juli 2001, muncul Code Red I yang merupakan versi kedua dari worm Code Red dengan penyebaran yang lebih cepat. Banyak perbaikan pada program worm sehingga mampu menginfeksi 359.000 unit komputer hanya dalam waktu 14 jam, seperti versi pertama worm ini juga membuat dirinya dalam kondisi dormant pada tanggal 20 Juli secara permanen.
Di bulan Agustus 2001, kembali Code Red muncul dengan versi berbeda "Code Red II", muncul dengan payload yang sangat berbahaya. Worm ini masih memanfaatkan vulnerability yang sama dengan versi sebelumnya, sedikit perubahan pada program, worm ini akan membuat suatu trojan "explorer.exe" dan ditempatkan pada direktori root.
13. NIMDA
Tanggal 18 September 2001, worm Nimda adalah worm yang termasuk paling banyak menginfeksi komputer di Indonesia, muncul dengan memuat payload yang sangat berbahaya dan menggunakan beragam cara dalam penyebarannya, pada 12 jam pertama saja worm ini sudah berhasil menginfeksi 450.000 unit komputer, dan dalam dua hari Nimda berhasil menginfeksi 2,2 juta komputer serta menyebabkan kerugian sebesar US $ 370 juta. Walaupun worm ini tidak menggunakan metode baru dalam penyebarannya, tetapi dengan penggabungan beberapa metode dalam suatu worm, menunjukkan adanya tingkatan baru atas kompleksitas yang tidak terlihat sebelumnya. Nimda melakukan penyebaran dengan mengirimkan salinan dirinya melalui e-mail dengan subjek random (acak) dan sebuah file attachment "readme.exe". Nimda memanfaatkan celah keamanan pada Internet Explorer dan
Outlook Express 5.01 dan 5.5 Service Pack 1, dimana e-mail yang dikirimkan Nimda berupa halaman html yang memiliki body script tertentu dengan tujuan akan secara otomatis mengaktifkan file attachment walaupun e-mail tersebut hanya dilihat pada preview pane saja. Bila komputer terinfeksi berada dalam suatu jaringan maka secara otomatis Nimda mencari direktori yang di sharing dari komputer lain dan memberikan hak tulis penuh (full access) kemudian membuat salinan dirinya ke dalam direktori-direktori tersebut, dengan mengambil nama
file secara random pada daftar file yang ada pada komputer terinfeksi, dengan menggunakan ekstensi EML atau NWS. Pada server yang terinfeksi, file-file halaman web akan disisipkan script baru yang secara otomatis mengakses file readme.eml saat halaman web tersebut dibuka. Dalam penyebarannya, Nimda juga memanfaatkan backdoor pada server yang terinfeksi CodeRed2 atau Sadmind.
Banyaknya perubahan pada file system dan registry membuat worm ini sulit untuk dibersihkan.
14. BADTRANS.B
Pada bulan November 2001, BadTrans kembali beraksi setelah kemunculan perdananya pada tanggal 12 April 2001 dengan teknik yang lebih canggih dan bisa dikatakan sebagai era baru dalam social engineering. BadTrans.B memeriksa direktori inbox pada aplikasi Outlook dengan mencari e-mail yang belum dibuka oleh user, kemudian membalas e-mail tersebut dengan file attachment berupa salinan dirinya sendiri. Seperti Nimda, e-mail yang dikirimkan berupa halaman html dan secara otomatis mengaktifkan file attachment walaupun e-mail tersebut
hanya dilihat pada preview pane saja. Pada proses pengiriman e-mail BadTrans.B menambahkan underscore (tanda garis bawah) "_" disetiap awal alamat pengirim, sehingga apabila e-mail tersebut di-reply (balas) maka e-mail balasan tersebut tidak akan sampai pada alamatnya. BadTrans.B akan menginstal suatu program trojan yang akan mencuri user name dan password kemudian mengirimkannya pada suatu alamat e-mail tertentu, dilaporkan worm ini mengakibatkan kerugian
sebesar US $ 210 juta.
15. KLEZ
Worm Klez muncul di bulan Oktober 2001, seperti worm lainnya worm ini pun menggunakan kelemahan IE dan OE sehingga worm tereksekusi dengan sendirinya walau hanya dilihat pada preview pane saja. Klez hanya menggunakan sarana e-mail dalam penyebarannya. Klez menyatukan suatu keunikan dengan pendekatan sosial yang inovatif, dengan memilih salah satu alamat e-mail yang ada pada computer terinfeksi dan menggunakan alamat tersebut sebagai alamat pengirim,
kemudian mengirimkan salinan dirinya ke seluruh alamat e-mail yang lain. Dengan cara ini terlihat, seolah-olah e-mail dikirim oleh seseorang yang benar-benar dikenal oleh penerima. Tanggal 11 Nopember 2001, dilaporkan kembali varian lain dari worm tersebut. Klez.d memiliki rutin baru yang akan memeriksa database
alamat e-mail dari pengguna ICQ sebagai target pengiriman. Saat dieksekusi worm menginstal dirinya kedalam direktori System Windows dengan nama file "WinSvc.exe" dan melakukan modifikasi pada registry sehingga worm akan aktif saat komputer dihidupkan. Varian lainnya muncul dengan nama Klez.e dan dilaporkan pada tanggal 17 Januari 2002. Saat dieksekusi worm akan menginstal dirinya kedalam direktori System Windows dengan nama file "WINK???.EXE",
dimana ??? adalah variabel random berupa angka 2 dan 3. Seperti Klez. d worm ini juga memodifikasi registry dengan alasan yang sama, Selain itu worm ini juga telah dipersenjatai dengan pembunuh program antivirus yang bisa mendeteksi Nimda, Code Red, Sircam dan Fun Love. Pada varian selanjutnya, e-mail tidak hanya terlihat berasal dari seorang teman tetapi klez menyisipkan sebuah tool "imunitas" sebagai attachment dan penerima diajarkan untuk menon-aktifkan antivirus mereka agar bisa menjalankan tool tersebut, dengan mengikuti petunjuk tersebut, dan saat attachment tersebut dieksekusi maka sebenarnya user malah menginstal Klez serta virus ElKern pada komputer mereka. Klez merupakan salah satu worm yang memiliki siklus hidup terpanjang, yang pernah mengacaukan dunia internet. Pertama kali dilaporkan pada bulan Oktober 2001, dan mendominasi pada tahun 2002 sebagai worm yang paling lazim di internet. Akhir tahun 2003 kembali dilaporkan varian Klez.H sebagai ancaman, walaupun sukar menentukan besar kerugian yang ditimbulkan, tetapi diperkirakan Klez dan varian-nya menimbulkan kerugian sebesar US $ 9 milyar.
16. SLAMMER
Serangan worm Slammer dimulai pada tanggal 23 Januari 2003, worm yang hanya berukuran 369 byte ini menjadikan Slammer sebagai worm dengan ukuran terkecil yang pernah ada. Cara kerja worm ini hamper sama dengan CodeRed, dan tidak memodifikasi registry. Slammer memanfaatkan vulnerability yang ditemukan oleh Next Generation Security Software Limited pada bulan Juli 2002 dimana dengan memanfaatkan vulnerability ini, penyerang dapat menguasai SQL Server dan kode pemrograman yang berhasil dimasukkan akan berjalan sebagai system karena hak dari MS SQL Server di dalam komputer adalah system. Worm ini bukan merupakan mass mailer dan hanya menyebarkan dirinya melalui scanning port 1434.
17. BAGLE
Di minggu ketiga Januari 2004, sebuah worm yang disinyalir berasal dari Jerman ternyata sukses meraih peringkat pertama sebagai worm yang paling banyak dihentikan. Worm yang kemudian diketahui bernama Bagle ini memiliki siklus hidup yang tergolong singkat, Bagle memasuki fase dormant secara permanen pada tanggal 28 Januari 2004dan berusaha untuk menghapus file launcher-nya. Bagle memiliki ukuran file sebesar 15 Kb, dan melakukan penyebaran dengan cara mengirimkan file infector melalui e-mail ber-attachment, dengan tujuan pengiriman yang dikoleksi dari file-file berekstensi txt, htm, html dan wab pada sistem lokal. Saat file infector dieksekusi, Bagle membuat salinan file worm pada
direktori System Windows, kemudian memanipulasi registry agar worm tereksekusi setiap kali Windows startup.
18. NETSKY
Tidak begitu lama setelah kemunculan worm Bagle, sebuah worm lainnya menyebar dengan kecepatan yang lebih tinggi. Worm Netsky melakukan penyebaran dengan cara yang sama seperti yang dilakukan worm Bagle, hanya saja Netsky memiliki beberapa rutin yang memungkinkan dirinya dapat melakukan penyebaran dengan menggunakan media aplikasi peer to peer. Netsky mengirimkan salinan dirinya melalui sebuah e-mail ber-attachment dan dalam bentuk file terkompresi. File worm berukuran sebesar 22 Kb dan menggunakan icon yang disamarkan sehingga terlihat sebagai sebuah file dokumen Microsoft Word. Saat file infector dieksekusi Netsky membuat salinan file worm pada
direktori Windows dengan nama file 'services.exe’, kemudian memanipulasi beberapa nilai registry yang bertujuan agar worm dapat tereksekusi setiap kali Windows startup.
0 Response to "Virus dan Worm"