ARI BOX OFFICE: sistem kerja trojan

Jumat, 20 April 2012

sistem kerja trojan

Published : Jumat, April 20, 2012 Author : ari box office

masih ingat dengan postingan yang lalu tentang trojan?oke..kita lanjut dengan pembahasan seanjutnya tentang cara kerja dari trojan itu sendiri. trojan masuk melalui 2 bagian yaitu client dan server
ketika korban menjalankan komputer, kemudian penyerang akan menggunakan client untuk koneksi dengan server dan mulai menggunakan trojan.

Protokol TCP/IP adalah jenis protokol yang umum digunakan untuk komunikasi. Trojan dapat bekerja dengan baik dengan jenis protokol ini, tetapi beberapa trojan juga dapat menggunakan protokol UDP dengan baik. Ketika server mulai dijalankan (pada komputer korban), Trojan umumnya mencoba untuk menyembunyikan diri di suatu tempat dalam sistem komputer tersebut, kemudian mulai “mendengarkan” di beberapa port untuk melakukan koneksi, memodifikasi registry dan atau menggunakan metode lain yaitu metode autostarting

Hal yang penting untuk diketahui oleh penyerang adalah mengetahui IP address korban untuk menghubungkan komputernya ke komputer korban. Banyak varian Trojan mempunyai kemampuan mengirimkan IP address korban ke penyerangnya, misalnya media ICQ maupun IRC. Hal ini digunakan bagi korban yang mempunyai IP address dinamis, yang berarti setiap kali menghubungkan ke Internet didapatkan IP address yang berbeda. Untuk pemakai yang memanfaatkan Asymmetric Digital Suscriber Line (ADSL) berarti selalu memakai IP address yang tetap (statis) sehingga mudah diketahui dan mudah untuk dikoneksikan dengan komputer penyerang

Sebagian besar Trojan menggunakan metode auto-starting, yaitu Trojan akan secara otomatis aktif saat komputer dihidupkan. Walaupun komputer dimatikan dan kemudian dihidupkan lagi, Trojan mampu bekerja kembali dan penyerang mengakses kembali ke komputer korban

Metode baru auto-starting dan trik lain telah ditemukan sejak semula. Jenis Trojan ini bekerja mulai dari koneksi trojan ke dalam beberapa file executable yang sering digunakan misalnya explorer.exe dan kemudian memodifikasi file sistem atau Windows Registry. File sistem ditempatkan di direktori Windows. Dari direktori ini penyerang melaksanakan penyerangan atau penyalahgunaan. Penyalahgunaan penyerang melewati file sistem adalah sebagai berikut:

Autostart Folder.

Autostart folder berada di lokasi C:\Windows\Start Menu\Programs\Startup dan sesuai dengan namanya akan bekerja secara otomatis bagia file sistem yang ditempatkan di folder tersebut.

Win.Ini.

File sistem Windows menggunakan load=trojan.exe dan run=trojan.exe untuk menjalankan Trojan.

System.Ini.

Menggunakan shell=explorer.exe trojan.exe. Hal ini diakibatkan oleh eksekusi setiap file setelah menjalankan explorer.exe.

Wininit.Ini.

Sebagian besar setup program menggunakan file ini. Sekali dijalankan maka menjadi auto-delete, akibatnya Trojan sangat cekatan atau cepat untuk bekerja kembali.

Winstart.Bat.

Bertindak seperti batch file yang normal, ketika ditambahkan@ trojan.exe mampu menyembunyikan korbannya.

Autoexec.Bat.

Autoexec.Bat adalah file auto-starting Disk Operating System (DOS). File tersebut digunakan sebagai metode auto-starting, yaitu dengan memasang c:\trojan.exe.

Config.Sys.

Config.Sys juga dapat digunakan sebagai suatu metode auto-starting untuk Trojan.

Explorer Startup.

Explorer Startup adalah suatu metode auto-starting untuk Windows95, 98, ME dan jika c:\explorer.exe ada, hal itu akan dimulai maka akan menggantikan yang umum, yaitu c:\Windows\Explorer.exe.

Registry sering digunakan dalam berbagai metode auto-starting. Registry sebagai jalan untuk auto-starting yang diketahui antara lain:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion

\Run]