Cara Kerja Trojan :
Trojan berbeda dengan perangkat lunak mencurigakan lain nya seperti virus komputer atau worm karena dua hal berikut :
- Trojan bersifat "stealth" (siluman dan tidak terlihat) dalam operasi nya dan seringkali berbentuk seolah - olah program tersebut merupakan program baik-baik, sementara virus komputer atau worm bertindak lebih agresif dengan merusak sistem atau membuat sistem menjadi crash.
- Trojan di kendalikan dari komputer lain (komputer attacker).
Penggunaan istilah Trojan di maksud kan untuk menyusupkan kode-kode mencurigakan dan merusak di dalam sebuah program baik-baik dan berguna, seperti hal nya dalam Perang Trojan, para prajurit Sparta bersembunyi di dalam Kuda Troya yang di tujukan sebagai pengabdian kepada Poseidon. Kuda troya tersebut menurut para petinggi di anggap tidak berbahaya, dan di izinkan masuk ke dalam benteng troya yang tidak dapat di tembus oleh para prajurit Yunani selama kurang lebih 10 tahun Perang Troya bergejolak.
Kebanyakan Trojan saat ini berupa sebuah berkas yang dapat di eksekusi (*.EXE atau *.COM dalam sistem operasi Windows dan DOS atau program dengan nama yang sering di eksekusi dalam sistem operasi UNX, seperti Is, Cat dan lain-lain) yang di masukkan ke dalam sistem yang di tembus oleh seorang cracker untuk mencuri data yang penting bagi pengguna. Trojan juga dapat menginfeksi sistem ketika pengguna mengunduh aplikasi dari sumber yang tidak dapat di percaya dalam jaringan internet. Aplikasi-aplikasi tersebut dapat memiliki kode Trojan yang di integrasikan di dalam diri nya dan mengizinkan seorang cracker untuk dapat mengacak-acak sistem yang bersangkutan.
Jenis - jenis Trojan :
- Pencuri Password : Jenis Trojan ini dapat mencari password yang di simpan di dalam sistem operasi (etc/passwwd atau etc/shadow dalam keluarga sistem operasi Windows NT) dan akan mengirimkan nya kepada si penyerang yang asli. Selain itu, jenis Trojan ini juga dapat menipu penguna dengan membuat tampilan seolah-olah diri nya adalah layar login serta menunggu pengguna untuk memasukkan password nya dan mengirimkan nya kepada penyerang.
- Pencatatan Penekanan Tombol (Keystroke logger/keylogger) : Jenis Trojan ini akan memantau semua yang di ketikkan oleh pengguna dan akan mengirimkan nya kepada penyerang. Jenis ini berbeda dengan Spyware, meski dua hal tersebut melakukan hal yang serupa (memata-matai pengguna).
- Tool Administrasi Jarak Jauh (Remote Administration Tools/RAT) : Jenis Trojan ini mengizinkan para penyerang untuk mengambil alih kontrol secara penuh terhadap sistem dan melakukan apapun yang mereka mau dari jarak jauh, seperti memformat hard disk, mencuri atau menghapus data dll. Contoh dari Trojan ini adalah Back Orifice, Back Orifice 2000, dan Subseven.
Memeriksa Listening Port
Mendeteksi Keadaan Trojan merupakan sebuah tindakan yang agak sulit di lakukan. Cara termudah adalah dengan melihat port-port mana yang terbuka dan sedang berada dalam keadaan "Listening", dengan menggunakan utilitas tertentu semacam Netstat. Hal ini di karenakan banyak trojan berjalan sebagai sebuah layanan sistem, dan bekerja di latar belakang sehingga trojan-trojan tersebut dapat menerima perintah dari penyerang dari jarak jauh. Ketika sebuah transmisi UDP atau TCP dilakukan, tapi transmisi tersebut dari port atau alamat yang tidak di kenali, maka hal tersebut bisa di jadikan pedoman bahwa sistem yang bersangkutan telah terinfeksi oleh Trojan Horse.
C:\>netstat -a -b
Active Connections
Proto Local Address Foreign Address State PID
TCP windows-xp:epmap 0.0.0.0:0 LISTENING 956
c:\windows\system32\WS2_32.dll
C:\WINDOWS\system32\RPCRT4.dll
c:\windows\system32\rpcss.dll
C:\WINDOWS\system32\svchost.exe
-- unknown component(s) --
[svchost.exe]
TCP windows-xp:microsoft-ds 0.0.0.0:0 LISTENING 4
[System]
TCP windows-xp:50300 0.0.0.0:0 LISTENING 1908
[oodag.exe]
TCP windows-xp:1025 0.0.0.0:0 LISTENING 496
[alg.exe]
TCP windows-xp:1030 0.0.0.0:0 LISTENING 1252
[ccApp.exe]
UDP windows-xp:microsoft-ds *:* 4
[System]
UDP windows-xp:4500 *:* 724
[lsass.exe]
UDP windows-xp:isakmp *:* 724
[lsass.exe]
UDP windows-xp:1900 *:* 1192
c:\windows\system32\WS2_32.dll
c:\windows\system32\ssdpsrv.dll
C:\WINDOWS\system32\ADVAPI32.dll
C:\WINDOWS\system32\kernel32.dll
[svchost.exe]
UDP windows-xp:ntp *:* 1036
c:\windows\system32\WS2_32.dll
c:\windows\system32\w32time.dll
ntdll.dll
C:\WINDOWS\system32\kernel32.dll
[svchost.exe]
Membuat Snapshot
Cara lain nya yang dapat di gunakan adalah dengan membuat sebuah "Snapshot" terhadap semua berkas program (*.EXE, *.DLL, *.COM, *.VXD, dll) dan membandingkan nya seiring dengan waktu dengan versi-versi terdahulu nya, dalam kondisi komputer tidak terkoneksi ke jaringan. Hal ini dapat di lakukan dengan membuat sebuah checksum terhadap semua berkas progaram (dengan CRC atau MD5 atau mekanisme lain nya). Karena sering nya Trojan di masukkan ke dalam direktori di mana sistem operasi berada (\WINDOWS atau \WINNT untuk Windows atau \bin, \usr\bin, \sbin, \usr\sbin dalam keluarga Unix) maka yang patutu di curigai adalah berkas-berkas yang berada dalam direktori tersebut.
Anti Virus
Cara terakhir adalah dengan menggunakan sebuah perangkat lunak anti virus, yang di lengkapi kemampuan untuk mendeteksi Trojan yang di padukan dengan Firewall yang memonitor setiap transmisi yang masuk dan keluar. Cara ini lebih efisien, tapi lebih mahal karena pada umum nya perangkat lunak anti virus yang di padukan dengan firewall memiliki harga yang lebih mahal di bandingkan dengan dua cara di atas. Memang ada beberapa perangkat yang gratis, tetapi tetap saja dibutuhkan waktu, tenaga dan uang untuk mendapatkan nya (mengunduh dari internet).
Tidak ada komentar:
Posting Komentar