1 BAB I PENDAHULUAN 1.1 Latar Belakang Masalah Windows XP

1
BAB I
PENDAHULUAN
1.1 Latar Belakang Masalah
Windows XP merupakan salah satu sistem operasi yang banyak digunakan dengan
salah satu keunggulannya yaitu user-friendly. Namun salah satu kelemahan sistem
operasi ini yang banyak digunakan para cracker dan juga hacker adalah protokol RPC
(Remote Procedure Call). (Tanujaya, 2004)
RPC adalah suatu protokol yang menyediakan suatu mekanisme komunikasi
antar proses yang mengijinkan suatu program untuk berjalan pada suatu komputer
tanpa terasa adanya eksekusi kode pada sistem yang jauh. (Newmarch, 1995).
Protokol RPC digunakan untuk membangun aplikasi klien-server yang terdistribusi.
Protokol ini didasarkan pada memperluas konsep konvensional dari suatu prosedur
dimana nantinya prosedur ini dapat dipanggil dimana pemanggil tidak harus
mempunyai alamat yang sama dengan yang lokasi dimana prosedur ini dipanggil.
Dimana proses ini dapat dilakukan pada sistem yang sama atau sistem yang berbeda
namun terhubung pada jaringan. Namun terdapat kelemahan di dalam bagian dari
RPC yang berhubungan dengan pertukaran pesan melalui TCP/IP. Kegagalan terjadi
dikarenakan penanganan kesalahan pada pesan yang berisi informasi yang salah. Hasil
dari kelemahan ini berakibat pada bagian antar-muka RPC, yaitu bagian yang
mendengarkan port RPC yang di-enable. Bagian antar-muka ini menangani objek
aktivasi dari DCOM (Distributed Component Object Model) yang dikirimkan oleh
mesin klien ke server. Kelemahan ini umumnya dimanfaatkan oleh seorang penyerang
untuk dapat menjalankan suatu kode dengan kewenangan Administrator sistem lokal
pada sistem yang terinfeksi. Dengan demikian, maka sistem yang diserang dapat
Universitas Sumatera Utara
2
diubah-ubah termasuk pengkopian dan penghilangan data sampai pembuatan user
baru dengan hak tidak terbatas.
Seiring dengan pesatnya kemajuan teknologi informasi, khususnya di bidang
teknologi komputer dan jaringan, maka keamanan menjadi isu yang kerap kali
dibahas, mulai dari ancaman langsung para cracker (hacker jahat) hingga ancaman
yang dilakukan melalui suatu program yang disebut virus komputer. Suatu program
atau script apapun yang bersifat merusak atau merugikan dapat dikategorikan sebagai
virus komputer, worm maupun trojan horse. (Darmal, 2006)
Beberapa waktu lalu muncul virus yang dikenal sebagai “Conficker”. Virus
Conficker atau sering juga disebut Kido atau Downadup merupakan salah satu virus
yang cukup berbahaya, bahkan Microsoft sampai membuat sayembara dengan hadiah
3 milyar rupiah bagi yang bisa menangkap pembuatnya. Virus yang mampu
menginfeksi komputer jaringan ini antara lain mengakibatkan komputer menjadi
lambat, mengganggu aktivitas sharing folder dan printer, serta virus ini mampu
membuat sebuah file worm dengan extension .jpg, .gif, .png dan .bmp sehingga
pengguna mengira itu adalah file gambar, padahal aslinya adalah virus. (Tanujaya,
2008). Virus Conficker ini cukup cerdas dan memiliki kemampuan meng-update
dirinya sehingga sangat menyulitkan pembuat antivirus untuk membuat tools
membasmi dirinya.
Dampak yang ditimbulkan virus W32/Conficker (Sap, 2009):
1. Jika varian sebelumnya mematikan service “Workstation, Server dan
Windows Firewall/Internet Connection Sharing (ICS)”. Maka kali ini virus
berusaha untuk mematikan dan men-disable beberapa service, yaitu:
wscsvc: Security Center, wuauserv: Automatic Updates, BITS: Background
Intellegent Transfer Service, ERSvc: Error Reporting Service, WerSvc:
Windows Error Reporting Service, WinDefend: Windows Defender.
2. Virus mampu melakukan blok terhadap program aplikasi yang berjalan saat
mengakses website yang mengandung string berikut. Hal ini dilakukan
Universitas Sumatera Utara
3
tanpa melakukan perubahan pada host file yang ada. Dengan melakukan
blok, dapat mencegah program anti-malware untuk melakukan update
antivirus dan mencegah user saat mencoba akses ke website keamanan.
Seperti Ccert, sans, bit9, windowsupdate, wilderssecurity, threatexpert,
castlecops,
spamhaus,
cpsecure,
arcabit,
emsisoft,
sunbelt,
securecomputing, rising, prevx, pctools, norman, k7computing, ikarus,
hauri, hacksoft, gdata, fortinet, ewido, clamav, comodo, quickheal, avira,
avast, esafe, ahnlab, centralcommand, drweb, grisoft, nod32, f’prot, jotti,
kaspersky, f’secure, computerassociates, networkassociates, etrust, panda,
sophos, trendmicro, mcafee, norton, symantec, microsoft, defender, rootkit,
malware, spyware virus.
3. Virus
berusaha
melakukan
perubahan
pada
sistem
Windows
XP/Vista/Server 2008 dengan menggunakan perintah: ”netsh interface tcp
set global autotuning= disabled“. Dengan perintah ini, maka Windows Auto
Tuning akan di-disable. Windows Auto Tuning merupakan salah satu fitur
dari Windows Vista dan Server 2008 yang berguna untuk meningkatkan
performa ketika mencoba akses jaringan.
4. Virus berusaha men-download dan mengeksekusi file (bmp, gif, jpeg, png)
yang kemudian masuk pada temporari internet. Virus melakukan download
pada beberapa website berikut: aaidhe.net, aamkn.cn, abivbwbea.info,
aiiflkgcw.cc,
alfglesj.info,
amcfussyags.net,
amzohx.ws,
apaix.ws,
argvss.info, arolseqnu.ws, asoidakm.cn, atnsoiuf.cc, dan lain-lain.
5. Virus akan mengecek koneksi internet dan men-download file dengan
menyesuaikan tanggal setelah 1 Januari 2009. Untuk itu virus mengecek
pada beberapa website berikut:
baidu.com, google.com, yahoo.com,
msn.com, ask.com, w3.org, aol.com, cnn.com, ebay.com, msn.com,
myspace.com.
Universitas Sumatera Utara
4
6.
Virus akan membuat rule firewall pada gateway jaringan lokal yang
membuat serangan dari luar terkoneksi dan mendapatkan alamat external IP
Address yang terinfeksi melalui berbagai macam port (1024 hingga 10000).
7. Virus akan membuat service dengan karakteristik berikut, agar dapat
berjalan otomatis saat start-up Windows: Service name: “[%nama
acak%].dll“ Path to executable: %System32%–k netsvcs. Serta dengan
menggunakan kombinasi dari beberapa string berikut yang muncul pada
deskripsi service (biasanya gabungan 2 string semisal “Security Windows”):
Boot, Center, Config, Driver, Helper, Image, Installer, Manager, Microsoft,
Monitor, Network, Security, Server, Shell, Support, System, Task, Time,
Universal, Update, Windows.
8. Virus
membuat
HTTP
Server
pada
port
yang
acak:
Http://%ExternalIPAddress%:%PortAcak(1024-10000)%. Virus melakukan
koneksi ke beberapa website untuk mendapatkan alamat IP Address
External
yang
sudah
diinfeksi:
http://www.whatsmyipaddress.com,
http://checkip.dyndns.org.
Virus
http://www.getmyip.org,
http://getmyip.co.uk,
membuat
scheduled
task
untuk
menjalankan file virus yang sudah di copy dengan perintah: “rundll32.exe
.[%ekstensi acak%], [%acak]“.
Karena itulah penulis membuat tugas akhir yang berjudul “Analisis
Penyerangan Virus Conficker pada Sistem Operasi Windows XP di Celah Keamanan
RPC DCOM 3”.
Universitas Sumatera Utara
5
1.2 Rumusan Masalah
Rumusan masalah dari sistem ini adalah:
1. Bagaimana virus Conficker dapat menginfeksi sistem operasi Windows XP
di celah keamanan RPC DCOM 3.
2. Bagaimana cara mengetahui komputer anda terinfeksi virus Conficker.
3. Bagaimana cara pencegahan agar komputer tidak terinfeksi virus Conficker.
1.3 Batasan Masalah
Batasan masalah dari sistem ini adalah:
1. Virus yang akan dianalisa adalah virus Conficker secara umum.
2. Hubungan antara RPC, DCOM dan infeksi virus Conficker.
3. Tidak membahas detail cara kerja service RPC dan DCOM.
4. Gejala dan efek yg ditimbulkan virus Conficker.
5. Skripsi ini tidak membangun sebuah anti virus untuk virus Conficker.
1.4 Tujuan Penelitian
Tujuan dari penelitian ini adalah:
1. Melakukan simulasi untuk mengetahui traffic network pada sebuah
komputer yang terinfeksi Conficker.
2. Melakukan suatu perbandingan tools anti virus atau removal tools untuk
mengetahui tools yang terbaik untuk mengatasi Conficker.
1.5 Manfaat Penelitian
Manfaat dari sistem ini adalah:
1. Bisa digunakan untuk alat bantu pembelajaran bagi Network Administrator
dan Programmer.
Universitas Sumatera Utara
6
2. Bisa digunakan untuk menganalisis keberadaan virus Conficker.
1.6 Metodologi Penelitian
Dalam menyusun skripsi ini penulis melakukan beberapa penerapan metode penelitian
untuk menyelesaikan permasalahan. Adapun metode penelitian yang dilakukan adalah
dengan cara:
1. Penelitian Kepustakaan
Penelitian
ini
bertujuan
untuk
mengumpulkan,
mempelajari
serta
menyeleksi bahan-bahan yang diperlukan untuk penulisan skripsi ini.
2. Analisis dan Perancangan Sistem
Menganalisis virus Conficker yang menginfeksi sistem operasi Windows
XP di celah keamanan RPC DCOM 3 dimulai dari tahap perencanaan yang
akan digunakan sebagai sarana untuk membantu pembelajaran agar lebih
mudah dipahami.
3. Implementasi Sistem dan Pengujian
Menyusun sistem yang akan digunakan untuk memproses data dan
informasi virus Conficker.
1.7 Sistematika Penulisan
Dalam penuisan skripsi ini, sistematika penuisan di bagi menjadi lima bab, yaitu:
Bab I
PENDAHULUAN
Bab ini berisikan penjelasan mengenai latar belakang masalah,
rumusan masalah, tujuan, batasan masalah, metodologi, serta
sistematika penulisan yang digunakan untuk menyusun laporan.
Universitas Sumatera Utara
7
Bab II
LANDASAN TEORI
Bab ini berisikan dasar teori yang digunakan dalam analisis,
perancangan dan implementasi skripsi.
Bab III
ANALISIS
Bab ini membahas tentang konsep, serta pembahasan cara kerja dari
Conficker.
Bab IV
IMPLEMENTASI DAN PENGUJIAN
Bab ini menjelaskan tentang pengujian terhadap komputer Client yang
sudah terinfeksi Conficker dengan menggunakan Wireshark untuk
melihat trafik network pada komputer Client, serta membandingkan
tools yang efektif untuk menanggulangi Conficker dan pencegahan
agar komputer tidak kembali terinfeksi dengan Conficker.
Bab V
KESIMPULAN DAN SARAN
Pada bab ini akan diuraikan kesimpulan dari penjelasan bab-bab
sebelumnya, sehingga dari kesimpulan tersebut penulis mencoba
memberi saran yang berguna untuk mengatasi dan mencegah agar
komputer tidak terinfeksi kembali dengan Conficker.
Universitas Sumatera Utara