jump to navigation

Part 1, Komputer atau Koneksi Internet mendadak lambat?, mungkin terinfeksi Trojan/Worm! January 2, 2009

Posted by ZoeL in Desktop PC, Security.
Tags: ,
trackback

06-trojanhorse

-Trojan is a general term for malicious software that is installed under false or deceptive pretenses or is installed without the user’s full knowledge and consent. Most Trojans exhibit some form of malicious, hostile, or harmful functionality or behavior. (research.sunbelt-software.com)

-Trojan, definisi luas untuk program yang cendrung melakukan kejahatan atau diselubungi penipuan atau pemberian informasi yang menyesatkan dan terpasang tanpa sepengetahuan, izin, dan pemahaman penuh dari pengguna. Kebanyakan Trojan melakukan pencurian data, perusakan yang berbahaya dan menunjukkan perilaku yang merugikan. (research.sunbelt-software.com)

Kali ini saya coba membahas sedikit bagaimana melakukan analisa dan ‘self-assessment’. Tujuannya untuk memastikan apakah komputer kesayangan kita memang terinfeksi Trojan atau ternyata problem OS Windows.

  1. Pertama, pastikan komputer anda tidak sedang menjalankan 2 atau lebih Antivirus / Firewall / Antispyware secara bersamaan. Penggunaan lebih dari 1 jenis secara bersamaan otomatis menyebabkan degradasi performa sistem yang signifikan. Biasanya Antivirus, Antispyware dan Firewall mempunyai fitur real time scanning yang memeriksa setiap file yang sedang di akses oleh Operating System atau aplikasi – asplikasi yang berjalan. Bisa dibayangkan apa yang terjadi kalau satu file di periksa secara bersamaan oleh lebih dari 1 Antivirus. Demikian juga dengan Firewall, dan bisa dibayangkan juga bagaimana delay yang terjadi di komputer anda apabila setiap paket yang masuk dari LAN / Internet di periksa lebih dari 1 Firewall.
  2. Kondisi trafik penuh

    Kondisi trafik penuh

    Kondisi tidak menggunakan internet

    Kondisi idle

    Suatu Hari, mendadak koneksi internet anda mendadak lambat padahal beberapa hari terakhir masih baik baik saja. Langkah pertama pastikan tidak ada masalah dengan Provider Internet. Hubungi customer service ISP anda, lalu informasikan kepada ISP anda bahwa anda mengalami lambat koneksi internet. Biasanya ISP akan memeriksa profile anda lalu menginformasikan apakah ada kemungkinan sedang dilakukan maintenance network di area rumah anda, loss power, re-route network atau ada masalah lainnya. Tetapi kalau pihak ISP menyatakan tidak ada masalah, kita lanjutkan dengan analisa ke Operating Sistem Windows.

    Langkah selanjutnya kita periksa aktifitas mencurigakan yang menuju LAN / Internet dengan mematikan semua aplikasi yang mengakses internet. Pada beberapa Trojan/Worm, mereka melakukan akses ke internet / LAN untuk berkomunikasi dengan server induk atau komputer lain yang juga terinfeksi. Akses ke internet/LAN tanpa izin ini bisa dilakukan secara terus menerus atau secara berkala.  Untuk memeriksa dan melihat situasi trafik yang melalui interface (Ethernet / USB Modem), bisa menggunakan aplikasi  Bandwidth Monitor. Aplikasi ini free dan bebas digunakan asalkan tidak untuk komersil. Bandwidth monitor menampilkan data trafik upload dan download dari/ke Internet yang melalui interface Ethernet/USB Modem.

    Setelah instalasi, perhatikan dengan seksama besaran upstream dan downstream yang hilir mudik. Idealnya kalau sudah mematikan semua aplikasi, mungkin masih tetap ada paket yang lewat, tetapi ukurannya kecil dan tidak signifikan. Berada di kisaran kira-kira 10-15 Kbps (bit) atau 1-5 KBps (byte). Untuk satuan ukur, saya lebih suka menggunakan KiloByte (KB). Tetapi kalau besar paket yang menuju internet terlihat tinggi, bisa dicurigai bahwa komputer anda sudah terinfeksi. Selain itu, juga perhatikan lampu send/receive di modem / router. Biasanya kalau paket sedang lewat, lampu LED  send/receive pasti menyala dan berkelip cepat.

    Dari analisa ini, bisa diambil kesimpulan, apakah komputer mungkin sedang atau tidak terinfeksi. Karena kalau tidak ada aplikasi ke internet yang dijalankan, seharusnya tidak banyak paket yang lewat dan lampu send receive modem tidak menyala terus menerus.

  3. Apakah beberapa saat yang lalu, anda pernah mengakses website berbahaya (unsecured website). Kemudian anda mendapat warning berupa pop-up windows atau icon system tray di bawah kanan yang kira-kira berbunyi cukup gawat misal “Your computer is infected! Windows has detected spyware infection.” . Lalu dengan lugu-nya anda me-click warning palsu tersebut. Ketika anda melakukan click, website palsu itu mengirimkan program Antitrojan palsu dan menginstal dirinya ke dalam komputer anda. Berbahaya karena justru AntiTrojan itu sendiri adalah Trojan yang kemudian membuka koneksi ke beberapa situs-situs hacker jahat di beberapa negara (Umumnya Russia *.ru). Ketika anda melakukan full scan dengan menggunakan AntiTrojan palsu, perangkat palsu ini memperlambat kinerja komputer, mematikan satu atau lebih service windows, bahkan memberikan informasi-informasi hasil scan yang palsu dan menyesatkan. Bahkan ada sebagian orang yang tertipu akhirnya karena merasa puas, lalu membayar / membeli program tipuan itu.
    Jika anda ingin informasi lebih lanjut, silahkan kunjungi link berikut :
    http://en.wikipedia.org/wiki/Spyware
    http://en.wikipedia.org/wiki/Rogue_software
    http://www.spywarewarrior.com/rogue_anti-spyware.htm#products
    .
  4. regedit / msconfig tidak bisa diakses

    task manager tidak bisa diakses

    Perhatikan keanehan – keanehan yang mungkin terjadi pada Windows anda. Beberapa Trojan yang licik, mereka mematikan fasilitas msconfig atau task manager milik Windows dan bahkan membuat kita tidak bisa melakukan editing registry.
    .
    Didalam msconfig terdapat fasilitas windows yang fungsinya untuk disable / enable service atau aplikasi ketika windows start-up. Task Manager yang bisa melakukan end-task process juga tak luput dari keganasana Trojan.Kebanyakan Trojan/Worm selalu meletakkan dirinya di dalam windows startup dan registry. Tujuannya supaya ketika windows direstart, virus dan mekanisme infeksi nya masih tetap aktif. Ada juga Trojan / Worm yang menipu windows explorer dengan menyembunyikan tipe ekstensi aseli sebuah file dan menampilkan dirinya seakan2 sebuah file dokument penting. misal .DOC (Microsoft Word) menjadi .EXE . Pengguna tidak bisa melihat .EXE karena pilihan folder option tidak bisa diakses. Didalam folder option ada pilihan untuk menampilkan file extension. Karena default windows explorer tidak menampilkan file extension dan hidden files kecuali kita rubah lewat menu Folder Option.

    Folder Option

    Folder Option

    Selain itu tampilan icon yang digunakan persis sama dengan icon untuk file .DOC dari Microsoft. Pengguna tidak tahu kalau komputernya sudah terinfeksi. Dan begitu file .EXE itu di ‘click’, script langsung dijalankan. Melakukan infeksi ulang, mencari file .DOC lain, menyembunyikan atau menghapus file .DOC aseli dan membuat file .DOC tiruan. Tipe Trojan seperti ini paling mudah penyebarannya melalui USB Flash disk. Tapi untungnya sudah dikenali banyak antivirus. Selalu pastikan flashdisk yang masuk ke port USB anda di scan penuh, dan rubah option windows explorer anda ke mode ‘show hidden files’ dan matikan option ‘Hide extension for known file types’. Diharapkan kita bisa lebih awas dengan file-file yang akan di ‘click’.

    Banyak Malware yang mengarahkan aktifitas serangan menggunakan Browser IE menuju ke website tertentu. Ditambah dengan merubah Default Page, membelokan Windows Dialer (Windows Dialer adalah koneksi Dial-up untuk akses Internet yang melalui Mode Dialing Telephone seperti Telkomnet Instan) dan menyebabkan komputer selalu terkoneksi dan membuka halaman Website yang umumnya xxx, porn atau website komersil lainnya. Tujuannya untuk meningkatkan trafik ke web tersebut. Sangat mengganggu karena komputer kita akan selalu membuka IE walau sudah ditutup. Apalagi kalau koneksi internet anda menggunakan sistem bayar hitung volume (misal kalau di Indonesia Speedy volume based atau HSDPA 3G volume based Telkomsel). Uang anda akan terbuang percuma untuk membayar paket-paket Trojan. Sering kejadian seorang pelanggan ISP merasa tidak banyak menggunakan internet, tapi kok tagihan internet membengkak. Tidak menutup kemungkinan kalau ditelusuri, sebagian besar trafik tersebut adalah milik Trojan/Worm.

  5. Tapi, komputer saya sudah dipasangkan antivirus? kok masih bisa terinfeksi Trojan?.
    Antivirus mendeteksi file-file yang dicurigai sebagai virus dan virus yang menginap di resident memory. File yang terinfeksi virus biasanya menjadi tidak bisa digunakan atau berubah ukuran filenya. Beberapa virus ada yang hanya merubah ekstensi file. Sedikit berbeda dengan Trojan, melakukan infeksi dengan melakukan perubahan pada registry windows, system operasi windows, file – file pendukung Windows dan melakukan pertahanan (defense) dengan merubah beberapa setting pada Windows Explorer, msconfig, taskmanager agar eksistensi virus bisa bertahan lama dan pengguna windows tidak bisa berbuat banyak untuk memperbaiki. Banyak pengguna Komputer yang merasa penggunaan Antivirus saja sudah cukup untuk bertahan dari serangan Virus dan Trojan/Worm. Tetapi untungnya sekarang sudah banyak Developer antivirus yang menyertakan scanner/remover untuk Trojan/Worm. Misalkan AVG yang mulai dari versi 8 yang memang sudah bisa mendeteksi Trojan, juga sudah menyertakan feature link scanner yang menginformasikan browser kita aman atau tidak untuk di ‘click’. Lalu McAfee juga punya anti trojan/worm/spyware yang terintegrasi satu sistem dengan firewall dan antivirus (bahkan mungkin juga punya spam-blocker).
  6. HijackThis

    HijackThis

    Periksa program / aplikasi yang sedang berjalan di belakang layar (background process). Biasanya kita cukup menggunakan fasilitas task manager dari windows. Tapi ternyata ada process yang tidak bisa ditampilkan kalau menggunakan fasilitas windows ini. Karena itu dibutuhkan third-party yang bisa melakukan scanning mendetail dan menginformasikan semua background process yang sedang berjalan seperti misalnya HijackThis. Kalau ada proses yang tidak diinginkan, anda bisa langsung buang (termination). Dengan tools HijackThis, hasil scan bisa di kirimkan ke notepad. Atau kalau anda bingung dan tidak begitu paham dengan output yang diperoleh dari HijackThis, output bisa di copy-paste ke forum-forum yang mungkin bisa membantu anda. Di blog bagian 2, saya sertakan daftar forum yang mungkin bisa membantu.

    Atau lebih bagus lagi, cari satu persatu di Google. Saya sarankan cara ini, lebih puas dan yakin dengan hasilnya.  Bukankah lebih seru mencari sendiri dari pada bertanya ke orang lain.🙂
    misal kalau isi HJT anda ada baris ini didalamnya ‘C:\Windows\system32\igfxsrvc.exe‘, coba search di google, dan anda akan mendapat informasi kira kira seperti ini :
    .

    ” – igfxsrvc.exe is a process associated with Intel(R) Common User Interface from Intel Corporation. It is installed with graphic card drivers with Intel chipsets. This program is important for the stable and secure running of your computer and should not be terminated – ”
    .

    note : mungkin tidak semua isi HJT bisa kita analisa, tetapi yang penting adalah mengetahui apa saja program yang sedang berjalan dan berusaha sebanyak mungkin bisa dikenali.

  7. Terakhir, periksa koneksi TCP / UDP (koneksi ke arah LAN/Internet) dan periksa koneksi yang established. Malware/Spyware yang tidak terdeteksi pengguna biasanya baru kelihatan aktifitasnya dari koneksi yang di buat ke black sites di luar negri (tidak menutup kemungkinan ada juga di dalam negri). Aktifitas Malware/Spyware yang seperti ini justru lebih berbahaya karena user tidak merasa sedang terinfeksi. Bahkan tidak merasakan apa-apa. Tetapi padahal dalam kondisi di curi paket2 data nya yang menuju Internet.
    .
    Ketik command netstat -a atau netstat -n untuk melihat tabel berdasarkan IP. Untuk melihat statistik detail ethernet gunakan command netstat -e -s. Kunjungi situs microsoft untuk melihat detail informasi mengenai command netstat. Google untuk mengetahui IP Number atau tujuan koneksi menuju ke situs apa. Kalau anda bingung dengan hasil output netstat kirimkan juga hasil netscan ke forum-forum.

Bear in minds, step diatas hanya untuk meyakinkan anda sendiri apakah memang benar komputer terkena Malware/Trojan/Worm. Kalau anda sudah mendapat kesimpulan dan bukti-bukti yang cukup bahwa komputer anda memang terinfeksi Trojan/Worm, maka kita lanjutkan ke bagian lain dari blog saya. Part 2, Membersihkan Komputer dari Trojan / Worm.

.end.

Comments»

1. sawanganpunggelan - March 20, 2014

Reblogged this on Sawangan Punggelan .

2. yoshi - March 28, 2009

sangat bermanfaat buat saya informasi yang anda berikan..
nanti kalo udh di coba dan terlihat hasilnya..
saya akan merefrensikan situs anda ke teman” saya di seluruh jagat raya..
hahhaha..
trimakasih..

3. firdaus - January 26, 2009

maksh semuanya ,manfaat bungat bagiku.
mohon klu ada info yg kren kirimi ya . mksh


Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: