1. Morris worm - Availability – 1988
Worm ini menerobos masuk melalui lubang di debug mode milik sendmail Unix yang berjalan dalam sistem dan menunggu sistem lain terkoneksi lalu mengirimkan email. Para ahli di University of California, Berkeley dan MIT mendapatkan salinan dari program dan mencoba untuk membuka source code Morris worm untuk menganalisa cara kerjanya.
Sumber : http://en.wikipedia.org/wiki/Morris_worm
2. Melissa macro virus - Availability – 1999
Cara kerja virus Macro yang akan dibahas adalah virus Microsoft Word. Virus akan menginfeksi file Microsoft Word dengan ekstension DOT (Document Template) dan DOC (Document), dimana apabila kita menggunakan Microsoft Word untuk memanggil file-file tersebut maka macro dari virus akan dijalankan, didalam macro inilah terdapat instruksi-instruksi untuk menyebar virus maupun melakukan manipulasi lainnya. Biasanya virus akan menulari/memodifikasi file NORMAL.DOT yang memang ada pada setiap komputer yang menggunakan Microsoft Word, sebab file tersebut adalah file yang dijadikan standar awal pengetikan dan juga merupakan file yang pertama kali dibuka oleh Microsoft Word ketika dieksekusi. Tetapi ada juga virus yang tidak melakukan manipulasi pada file ini tetapi membuat file DOT baru yang mengandung virus dan merubah program Microsoft Word untuk menggantikan file NORMAL.DOT itu dengan file buatan virus.
Sebagai contoh virus Melissa yang sangat terkenal itu merupakan virus macro Microsoft Word yang media penyebarannya Konsep Perlindungan Komputer Terhadap Viruz dapat melalui internet, mengirim dirinya sendiri lewat e-mail sebagai attachment.Sumber: http://id.shvoong.com/internet-and-technologies/2123531-viruz-macro-dan-penanggulangannya/#ixzz1bFpyDXcM
3. W32.SirCam worm - Confidentiality - 2001
Sircam ini adalah salah satu jenis virus yang paling banyak menyerang sampai saat ini. Worm ini menyerang melalui email dan ini tergolong ganas dan destruktif, jenis virus worm dulu pada dasaranya bukan type virus perusak, tapi sekarang batas antara virus dengan worm tidak kelihatan lagi, dahulu suatu virus murni menyerang, dan worm murni melakukan copy diri sendiri, sehingga mengakibatkan banyaknya worm, dan effek sampingnya, komputer akan hang, dan melambatkan kinerja dari komputer.
Lain halnya jika sekarang, virus dan worm sudah tidak terlihat lagi batasnya, type dari worm sekarang sudah banyak yang bersifat menghancurkan. Worm ini menginfeksi system dengan 2 cara :• Ketika email dibuka dari attachment maka code worm dijalankan
• Dengan mengkopikan dirinya ke dalam network share yang tidak terproteksi.
----------penyebaran melalui email.------------
Worm atau virus ini menggunakan dua bahasa pada text bodynya, yaitu Bahasa Ingris dan Bahasa Spanyol.
contoh Bahasa Inggris
Hi! How are you? (variasi)
See you later. Thanks
Isi dari variasi dapat berupa :
I send you this file in order to have your advice
I hope you like the file that I sendo you
I hope you can help me with this file that I send
This is the file with the information you ask for
Contoh dalam Bahasa Spanyol :
Hola como estas ?
(variasi)
Nos vemos pronto, gracias.
Isi dari variasinya adalah sebagai berikut :
Te mando este archivo para que me des tu punto de vista
Espero te guste este archivo que te mando
Espero me puedas ayudar con el archivo que te mando
Este es el archivo con la informacion que me pediste
Sircam akan mengirim file dengan 2 ekstensi. Contoh filenya adalah sebagai berikut :
"setup.exe.pif"
------penyebaran melalui network sharring yang tidak terprotect.-----------
Sircam akan mengkopikan dirinya sendiri ke network sharring dengan menggunakan perintah sebagai berikut :
• Copies itself to \\[share]\Recycled\SirC32.EXE
• Appends "@ win\Recycled\SirC32.exe" to AUTOEXEC.BAT.
Jika network sharing di temukan maka dia akan membuat windows folder share seperti berikut :
• Copies \\[share]\Windows\rundll32.exe to \\[share]\Windows\run32.exe
• Copies itself to \\[share]\Windows\rundll32.exe
• Ketika virus dijalankan dari rundll32.exe, ia akan menjalankan run32.exe
4. Code Red II worm - Integrity – 2001
Memanfaatkan vulnerability pada Index Server ISAPI tersebut, pada tanggal 12 Juli 2001 muncul sebuah worm dengan nama "Code Red" yang menyerang semua IIS webserver, dengan aksi mengubah tampilan awal website pada server yang tertular. Pertama kali worm menginstal dirinya pada system, membaca IP system dan dari IP tersebut worm menyusun 99 IP baru, kemudian melakukan pemeriksaan sistem operasi pada IP yang berhasil disusun- Jika worm menemukan sebuah IP target menggunakan sistem operasi Microsoft Windows maka worm akan meng-eksploitasi server target tersebut, dan melakukan deface (mengubah halaman awal suatu website) dengan tampilan "Welcome to the http://www.worm.com ! hacked by Chinese!." Berikutnya worm mencari file c:\notworm. Worm tidak akan menghentikan serangannya jika file tersebut tidak ditemukan. Pada tanggal20 Juli worm akan melakukan serangan DOS (denial of service) pada server http://www.whitehouse.gov, kemudian pada tanggal 27 worm membuat dirinya dalam kondisi dormant (fase saat worm menjadi tidak aktif) secara permanen. Tidak begitu lama pada tanggal 19 Juli 2001, muncul Code Red I yang merupakan versi kedua dari worm Code Red dengan penyebaran yang lebih cepat. Banyak perbaikan pada program worm sehingga mampu menginfeksi 359.000 unit komputer hanya dalam waktu 14 jam, seperti versi pertama worm ini juga membuat dirinya dalam kondisi dormant pada tanggal 20 Juli secara permanen.
Di bulan Agustus 2001, kembali Code Red muncul dengan versi berbeda "Code Red II", muncul dengan payload yang sangat berbahaya. Worm ini masih memanfaatkan vulnerability yang sama dengan versi sebelumnya, sedikit perubahan pada program, worm ini akan membuat suatu trojan "explorer.exe" dan ditempatkan pada direktori root.
5. Blaster worm - Availability and Integrity – 2003
Pertama-tama virus ini akan memindai seluruh subnet untuk membuka port 135, kemudian ia akan memindai secara random dan yang dipilih pertama kali adalah class B subnets (255.255.0.0). Jika sebuah port 135 terbuka ditemukan, seorang penysup akan menggunakan celah keamanan yang ada untuk melakukan segala sesuatu pada komputer yang terinfeksi seperti komputer miliknya pribadi. Jika semuanya diasumsikan sukses dapat dijalankan dan ia mencoba untuk mengubungkan (connect) port 4444 dari komputer yang terinfeksi. Ini dilakukan setelah virus ini membuat file Cmd.exe sebagai remote shell yang disembunyikan sehingga dapat memantau pada TCP port 4444.
Cara kerja dari worm ini cukup unik. Setelah dijalankan virus ini akan membuat sebuah value dalam file registry sehingga akan selalu dijalankan jika komputer booting.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
windows auto update="msblast.exe"
Kemudian ia akan menscan dengan menggunakan metode algorithm dalam pencarian sebuah alamat IP. Ini dilakukan secara random untuk nilai-nilai angka yang akan didapatkan. Yang kita ketahui struktur dari sebuah IP address adalah A.B.C.D dimana nilai-nilai yang digunakan adalah :
A dari 1 sampai 254
B dari 0 sampai 253
C dari 0 sampai 253
D selalu 0
Sumber : http://tech.groups.yahoo.com/group/vaksin/message/332
Tidak ada komentar:
Posting Komentar