masih ingat dengan
postingan yang lalu tentang trojan?oke..kita lanjut dengan pembahasan
seanjutnya tentang cara kerja dari trojan itu sendiri. trojan masuk melalui 2
bagian yaitu client dan server
ketika korban menjalankan komputer, kemudian penyerang akan menggunakan client untuk koneksi dengan server dan mulai menggunakan trojan.
ketika korban menjalankan komputer, kemudian penyerang akan menggunakan client untuk koneksi dengan server dan mulai menggunakan trojan.
Protokol TCP/IP
adalah jenis protokol yang umum digunakan untuk komunikasi. Trojan dapat
bekerja dengan baik dengan jenis protokol ini, tetapi beberapa trojan juga
dapat menggunakan protokol UDP dengan baik. Ketika server mulai dijalankan
(pada komputer korban), Trojan umumnya mencoba untuk menyembunyikan diri di
suatu tempat dalam sistem komputer tersebut, kemudian mulai “mendengarkan” di
beberapa port untuk melakukan koneksi, memodifikasi registry dan atau
menggunakan metode lain yaitu metode autostarting
Hal yang penting
untuk diketahui oleh penyerang adalah mengetahui IP address korban untuk
menghubungkan komputernya ke komputer korban. Banyak varian Trojan mempunyai
kemampuan mengirimkan IP address korban ke penyerangnya, misalnya media ICQ
maupun IRC. Hal ini digunakan bagi korban yang mempunyai IP address dinamis,
yang berarti setiap kali menghubungkan ke Internet didapatkan IP address yang
berbeda. Untuk pemakai yang memanfaatkan Asymmetric Digital Suscriber Line
(ADSL) berarti selalu memakai IP address yang tetap (statis) sehingga mudah
diketahui dan mudah untuk dikoneksikan dengan komputer penyerang
Sebagian besar Trojan
menggunakan metode auto-starting, yaitu Trojan akan secara otomatis aktif saat
komputer dihidupkan. Walaupun komputer dimatikan dan kemudian dihidupkan lagi,
Trojan mampu bekerja kembali dan penyerang mengakses kembali ke komputer korban
Metode baru
auto-starting dan trik lain telah ditemukan sejak semula. Jenis Trojan ini
bekerja mulai dari koneksi trojan ke dalam beberapa file executable yang sering
digunakan misalnya explorer.exe dan kemudian memodifikasi file sistem atau
Windows Registry. File sistem ditempatkan di direktori Windows. Dari direktori
ini penyerang melaksanakan penyerangan atau penyalahgunaan. Penyalahgunaan
penyerang melewati file sistem adalah sebagai berikut:
Autostart Folder.
Autostart folder
berada di lokasi C:\Windows\Start
Menu\Programs\Startup dan
sesuai dengan namanya akan bekerja secara otomatis bagia file sistem yang
ditempatkan di folder tersebut.
Win.Ini.
File sistem Windows
menggunakan load=trojan.exe dan run=trojan.exe untuk menjalankan Trojan.
System.Ini.
Menggunakan
shell=explorer.exe trojan.exe. Hal ini diakibatkan oleh eksekusi setiap file
setelah menjalankan explorer.exe.
Wininit.Ini.
Sebagian besar setup
program menggunakan file ini. Sekali dijalankan maka menjadi auto-delete,
akibatnya Trojan sangat cekatan atau cepat untuk bekerja kembali.
Winstart.Bat.
Bertindak seperti
batch file yang normal, ketika ditambahkan@ trojan.exe mampu menyembunyikan
korbannya.
Autoexec.Bat.
Autoexec.Bat adalah
file auto-starting Disk Operating System (DOS). File tersebut digunakan sebagai
metode auto-starting, yaitu dengan memasang c:\trojan.exe.
Config.Sys.
Config.Sys juga dapat
digunakan sebagai suatu metode auto-starting untuk Trojan.
Explorer Startup.
Explorer Startup
adalah suatu metode auto-starting untuk Windows95, 98, ME dan jika c:\explorer.exe ada, hal itu akan
dimulai maka akan menggantikan yang umum, yaitu c:\Windows\Explorer.exe.
Registry
sering digunakan dalam berbagai metode auto-starting. Registry sebagai jalan
untuk auto-starting yang diketahui antara lain:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\Run]
"Info"="c:\directory\Trojan.exe"
• [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RunOnce]
"Info"="c:\directory\Trojan.exe"
• [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RunServices]
"Info"="c:\directory\Trojan.exe"
• [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RunServicesOnce]
"Info="c:\directory\Trojan.exe"
• [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Run]
"Info"="c:\directory\Trojan.exe"
• [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\RunOnce]
"Info"="c:\directory\Trojan.exe"
Registry Shell Open [HKEY_CLASSES_ROOT\exefile\shell\open\command]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open
\command]
Suatu kunci dengan
nilai "% 1%*" harus ditempatkan disana dan jika terdapat beberapa
file yang executable. Setiap kali file dieksekusi maka akan membuka suatu
binary file. Jika di registry ini terdapat trojan.exe "% 1%*", maka
akan digunakan sebagai auto-starting untuk Trojan.
• Metode Deteksi ICQ
Net
[HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps\]
Kunci dari metode ini
adalah semua file akan dieksekusi jika ICQ mendeteksi koneksi Internet. Perlu
diketahui, bahwa cara kerja dari ICQ adalah sangat mudah dan sering digunakan
pemakai, sehingga ICQ dimanfaatkan oleh penyerang medianya.
• ActiveX Component
[HKEY_LOCAL_MACHINE\Software\Microsoft\Active
Setup
\Installed
Components\KeyName]
StubPath=C:\directory\Trojan.exe
0 komentar:
Posting Komentar