Keamanan  Jaringan  dari beberapa virus
Upcoming SlideShare
Loading in...5
×
 

Keamanan Jaringan dari beberapa virus

on

  • 517 views

keamanan jaringan dari Virus Stuxnet dan Virut

keamanan jaringan dari Virus Stuxnet dan Virut

Statistics

Views

Total Views
517
Views on SlideShare
517
Embed Views
0

Actions

Likes
0
Downloads
8
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Keamanan  Jaringan  dari beberapa virus Keamanan Jaringan dari beberapa virus Presentation Transcript

  • Mengenal Virus Komputer STUXNET Created By : Ilham Ramadhan Al Barkah VIRUT XI TKJ 3 EXIT
  • STUXNET   Kalau ditanya, virus apa yang bisa menandingi “petasan hijau” alias tabung gas 3 kg yang sering meleduk dan memakan korban jiwa yang banyak sekali dalam beberapa bulan terakhir ini. Jawabannya adalah satu virus yang bernama Stuxnet. Mungkin pembaca tidak terlalu mengerti kalau dibilang Stuxnet, tetapi kalau di bilang Winsta, kemungkinan besar para administrator IT pernah mendengar tentang hal ini, walaupun tidak sampai mengalami luka bakar tetapi setidaknya pernah lembur gara-gara virus Winsta ini. Lalu apa hebatnya siWinsta ini ? Salah satu sebabnya adalah aksinya yang spektakuler menggelembungkan ukuran dirinya sehingga harddisk sebesar apapun kapasitasnya akan penuh sehingga pengguna komputer kebingungan, kok harddisknya penuh yah. Dan hebatnya lagi, proses Stuxnet ini menggunakan file dll sehingga di load sebagai driver yang sah dari Realtek. Sehingga proses mendeteksi dan membasmi virus ini menjadi cukup sulit ... lha... harus menonaktifkan driver. Indonesia termasuk negara dengan infeksi Winsta terbesar, sehingga para pengguna komputer yang “mendadak” mendapatkan message “Low Disk Space” janga buru-buru beli harddisk dulu, tetapi periksa dulu apakah komputer anda terinfeksi virus Winsta atau tidak. Virus ini termasuk ke dalam klasifikasi virus yaitu TROJAN
  • STUXNET FILE VIRUS METODE PENYEBARAN VIRUS GEJALA & EFEK VIRUS MODIFIKASI REGISTRI WINDOWS SARAN PENCEGAHAN (bukan mengobati)
  • FILE VIRUS   Bagi anda pengguna internet, sebaiknya cukup waspada jika mengunjungi alamat website yang mengindikasi konten porno atau pengguna yang mengunduh software crack, karena bisa saja ternyata file tersebut justru memiliki script trojan “Stuxnet”. Jika anda sudah terlanjur menjalankan file tersebut, maka “Stuxnet” telah berhasil menginfeksi komputer, dan akan membuat beberapa file sebagai berikut :      ü C:WINDOWSsystem32winsta.exe ü C:WINDOWSsystem32driversmrxcls.sys ü C:WINDOWSsystem32driversmrxnet.sys File “winsta.exe” yang dibuat akan membengkak sebesar sisa ruang harddisk yang ada, sehingga menyebabkan harddisk menjadi penuh (biasa-nya drive C atau system dari OS). Sedangkan filemrxcls.sys dan mrxnet.sys merupakan file aktif yang digunakan untuk menginfeksi komputer dan perangkat lain yang terkoneksi (seperti USB Flash/removable drive). Winsta.exe sendiri sebenarnya adalah file asli Windows yang berguna. WinStation Monitor, yaitu salah satu tools dari Microsoft yang digunakan pada Windows 2000 untuk melakukan monitoring Terminal Service pada sesi client. Lokasi file tersebut juga seharusnya berada pada C:ProgramFilesResourceswinsta.exe.
  • GEJALA & EFEK VIRUS Beberapa gejala dan efek yang terjadi jika anda terinfeksi trojan “Stuxnet” adalah sebagai berikut :  Harddisk komputer-komputer di jaringan kompak mendadak penuh dan mendapatkan peringatan “Low Disk Space”. File winsta.exe yang bertambah besar menyesuaikan sisa ruang harddisk yang anda miliki (drive C atau system OS). 1 . File Winsta bertambah besar, menyesuaikan sisa ruang harddisk yang ada
  • GEJALA & EFEK VIRUS Karena sisa ruang harddisk yang kosong, tentunya akan menimbulkan notifikasi dari system windows yang menginformasikan bahwa sisa ruang harddisk anda sudah kosong. 2. Peringatan Low Disk Space yang disebabkan oleh membengkaknya Winsta sehingga menghabiskan sisa ruang harddisk
  • GEJALA & EFEK VIRUS  Karena ruang harddisk yang sudah kosong, maka anda tidak bisa menyimpan data atau menjalankan program tertentu yang membutuhkan sisa ruang harddisk / menggunakan cache.  Komputer akan terasa hang/lambat dan bahkan jika anda terkoneksi jaringan akan terputus, hal ini dikarenakan “Stuxnet” yang menginfeksi komputer dan menginjeksi file system. Beberapa file system windows yang menjadi korban infeksi adalah : 1. 2. 3. Svchost : file yang berhubungan dengan koneksi jaringan, dengan menginfeksi file ini maka jaringan akan terputus. Lsass : membuat komputer hang dan lambat serta restart sendiri, dilakukan dengan menginfeksi file ini. Spoolsv : tidak bisa mencetak data lewat printer, hal ini dilakukan dengan menginfeksi file ini.
  • METODE PENYEBARAN VIRUS  Trojan “Stuxnet” memanfaatkan dengan baik penggunaan usb atau pun share jaringan yang full akses. Trojan akan melakukan infeksi komputer secara otomatis, karena dengan membuat 2 file yang akan ter-eksekusi dengan baik yaitu : Ø ~WTR[angka_acak].tmp Ø ~WTR[angka_acak].tmp
  • MODIFIKASI REGISTRY WINDOWS Beberapa modifikasi registry yang dilakukan oleh virus “bekol” antara lain sebagai berikut :  Menambah Registry 1) HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMRxCls 2) HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMRxNet 3) HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesMRxNet 4) HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesMRxCls 5) HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_ MRXCLS 6) HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY _MRXNET 7) HKEY_LOCAL_MACHINESYSTEMControlSet001EnumRootLEGACY_MR XCLS 8) HKEY_LOCAL_MACHINESYSTEMControlSet001EnumRootLEGACY_MR XNET
  • Saran Pencegahan Saran Untuk mencegah (bukan mengobati) : Perbaiki AV and security kalian dengan anti virus yang handal, seperti : KIS 2011 FREE 3700 DAY  Nih virus stuxnet dari flashdisk yang kedelete otomatis sama KIS 2011 FREE 3700 DAY. (baru dimasukan USBnya, stuxnet langsung kedelete, "belum discan".) 
  • VIRUT Beberapa hari yang lalu kena virus, akhirnya merelakan beberapa data dan tugas yang sangat penting harus hilang dan harus format harddisk atau install ulang, sialnya adalah kompie yang telah diinstall ulang kembali terjangkit virus. seperti pada judul, nama virus yang menyerang adalah virut.  virut menyerang hampir semua exe, dll, dan file-file lain yang bersifat executable. yang paling menyesakkan, virut menyerang logonui.exe. file logonui.exe adalah file yang dipergunakan windows untuk menjalankan aplikasi login saat start up, atau saat log off, atau switch user.  aplikasi logon ui akan mengeluarkan error memory refference, dan sebetulnya bisa diatasi dengan menset Data Execution Prevention. penanganan ini meskipun memungkinkan kita masuk ke windows, tapi tidak menghentikan penyebaran virus.  saya sendiri menyadari kalau terjangkit virut beberapa hari yang lalu. terlanjur rusak sistem operasi, maka langsung saja diformat ulang untuk yang kedua kali. langkah kali ini sedikit berbeda, yakni :  1. hapus semua file di system restore pada harddrive  2. install ulang windows,  3. install antivirus (saya menggunakan AVAST free),  4. scan virus. Untuk lebih lanjut KLIK tombol NEXT.....
  • VIRUS VIRUT  Virus akan melakukan serangan SPAM kepada IP-IP yang terdapat pada data komputer pada server zombie. Secara khusus, virus menyerang IP yang menggunakan MX (Mail Exchanger) dengan memiliki account user pada beberapa alamat e-mail, yaitu : 1. 2. 3. 4. 5. yahoo.com web.de hotmail.com gmail.com aol.com
  • VIRUS VIRUT FILE VIRUS Replace/injectn etwork driver Fungsi yang dimatikan MODIFIKASI REGISTRI WINDOWS Cara Pembersihan virus
  • File Virus Varian W32/Virut.DG memiliki beberapa file virus yang diantaranya sebagai berikut :  C:Documents and Settings%user%reader_s.exe  C:Documents and Settings%user%%user%.exe  C:WINDOWSfontsservices.exe  C:WINDOWSSoftwareDistributionDownload[random_folder][nama_rand om].tmp  C:WINDOWSsystem32reader_s.exe  C:WINDOWSsystem32servises.exe  C:WINDOWSsystem32regedit.exe  C:WINDOWSsystem32[angka_random].tmp (beberapa file)  C:WINDOWSTempVRT[angka_random].tmp (beberapa file)  C:WINDOWSTemp~TM[angka_random].tmp (beberapa file)  C:WINDOWSTemp[angka_random].exe (beberapa file)  C:WINDOWSTemp[nama_acak].dll (beberapa file) Salah satu file virus menyamarkan dirinya sebagai “PE Explorer”, PE Explorer merupakan salah satu tools yang dibuat oleh perusahaan Heaven Tools.
  • Mengubah Registry Windows  Agar dapat aktif pada saat menjalankan Windows, virus membuat string registry pada : HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 22951 = C:WINDOWSsystem32[nama_random].tmp.exe reader_s = C:WINDOWSsystem32reader_s.exe Regedit32 = C:WINDOWSsystem32regedit.exe servises = C:WINDOWSsystem32servises.exe HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion PoliciesExplorerRun servises = C:WINDOWSsystem32servises.exe exec = C:WINDOWSfontsservices.exe HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun reader_s = C:Documents and Settingsklasnichreader_s.exe servises = C:WINDOWSsystem32servises.exe HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPolicies ExplorerRun servises = C:WINDOWSsystem32servises.exe HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersion Windows load = C:WINDOWSsystem32servises.exe run = C:WINDOWSsystem32servises.exe Agar tidak mudah diidentifikasi oleh user, virus membuat string registry pada : HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion ExplorerAdvancedFolderHiddenSHOWALL CheckedValue = 0 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion ExplorerAdvancedFolderHiddenNOHIDORSYS CheckedValue = 0
  • Mengubah Registry Windows  Selain itu, virus menambahkan dan mengubah string registry pada firewall: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccess ParametersFirewallPolicyStandarProfileAuthorizedApplicationsList ??C:WINDOWSsystem32winlogon.exe = ??C:WINDOWSsystem32winlogon.exe:*:enabled:@shell32.dll,-1 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccess ParametersFirewallPolicyStandardProfile EnableFirewall = 0 HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsFirewall StandardProfile EnableFirewall = 0
  • Cara Pembersihan Virus  Matikan System Restore (XP/ME) (pada saat digunakan) Hapus dan matikan proses virus yang aktif. Gunakan Norman Malware Cleaner untuk mematikan sekaligus menghapus virus. Anda dapat mendownload pada link berikut: http://normanasa.vo.llnwd.net/o29/public/Norman_Malware_Cleaner.exe Sebaiknya anda men-download pada komputer yang masih bersih atau simpan file tersebut dengan extension file executable lain seperti com atau cmd. Sebelum anda menjalankan file Norman Malware Cleaner, sebaiknya ubah terlebih dahulu extension file tersebut menjadi com atau cmd, atau anda kompress file tersebut menjadi zip. Jalankan file yang berada dalam zip atau yang sudah berubah menjadi com atau cmd. Norman Malware Cleaner mampu menghapus virus, membersihkan file yang terinfeksi virus, serta memperbaiki driver yang terinfeksi. Setelah selesai proses pembersihan, disarankan segera restart komputer. Hapus string registry yang telah dibuat oleh virus. Untuk mempermudah dapat menggunakan script registry dibawah ini. [Version] Signature="$Chicago$" Provider=Vaksincom Gendong Virut Oyee [DefaultInstall] AddReg=UnhookRegKey DelReg=del
  • Cara Pembersihan Virus  [UnhookRegKey] HKLM, SOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHidden SHOWALL, CheckedValue, 0x00010001, 1 HKLM, SYSTEMCurrentControlSetServicesSharedAccessParametersFirewallPolicyStand ardProfile, EnableFirewall, 0x00010001, 1 [del] HKCU, SoftwareMicrosoftWindowsCurrentVersionRun, reader_s HKCU, SoftwareMicrosoftWindowsCurrentVersionRun, servises HKCU, SoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun HKCU, SoftwareMicrosoftWindows NTCurrentVersionWindows, load HKCU, SoftwareMicrosoftWindows NTCurrentVersionWindows, run HKLM, SOFTWAREMicrosoftWindowsCurrentVersionRun, reader_s HKLM, SOFTWAREMicrosoftWindowsCurrentVersionRun, servises HKLM, SOFTWAREMicrosoftWindowsCurrentVersionRun, 22951 HKLM, SOFTWAREMicrosoftWindowsCurrentVersionRun, Regedit32 HKLM, SOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorerRun HKLM, SOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHidden NOHIDORSYS HKLM, SYSTEMCurrentControlSetServicesSharedAccessParametersFirewallPolicyStand arProfileAuthorizedApplicationsList, ??C:WINDOWSsystem32winlogon.exe HKLM, SOFTWAREPoliciesMicrosoftWindowsFirewall Gunakan notepad, kemudian simpan dengan nama “Repair.inf” (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan).
  • Cara Pembersihan Virus  Sebagai antisipasi jika masih belum bisa terkoneksi dalam jaringan atau network drive masih error, sebaiknya replace driver network yaitu file “ndis.sys” (berukuran 179 kb) dan “TCPIP.SYS” (berukuran 351 kb) dari komputer yang belum terinfeksi. Biasanya file tersebut berada pada C:WINDOWSsystem32driver dan C:WINDOWSsystem32dllcache Kembalikan hosts file yang sudah terinfeksi. Replace file “hosts” (berukuran 1 kb) dari komputer yang belum terinfeksi. Biasanya berada pada C:WINDOWSsystem32driveretc. Anda bisa juga menggunakan tools perubah hosts file yaitu “HostsXpert”. Anda dapat mendownload pada link berikut: http://www.funkytoad.com/download/HostsXpert.zip Pada hostsxpert anda dapat me-restore kembali hosts file seperti semula. Untuk pembersihan yang optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang ter-update dan dapat mendeteksi dan membasmi virus ini dengan baik.
  • Replace/Inject Network Driver  Salah satu akibat yang ditimbulkan oleh virus ini adalah berusaha menggantikan file network ataupun menginjeksi file tersebut. Driver network yang berusaha digantikan adalah : 1) 2) ndis.sys TCPIP.sys Akibat yang ditimbulkan adalah rusaknya driver network walaupun sudah anda re-install driver sehingga komputer tersebut tidak dapat terkoneksi pada jaringan.
  • Fungsi Yang Dimatikan    Windows Firewall dimatikan dan diproteksi. Hal ini dilakukan untuk mencegah akses pengguna komputer mengaktifkan kembali Firewall. File aplikasi/executable tidak bisa dijalankan, baik karena ukuran sudah berubah maupun karena telah terinfeksi virus. Biasanya jika anda ingin menjalankan suatu program baik program antivirus ataupun program aplikasi lainnya, akan muncul error saat dijalankan. Tidak bisa melakukan share folder ataupun share drive. Hal ini dilakukan untuk mencegah akses share dari komputer lain.