SKRIPSI

Diajukan Untuk Menempuh Ujian Akhir Sarjana Program Strata I Jurusan Teknik Informatika

Fakultas Teknik dan Ilmu Komputer Universitas Komputer Indonesia

MARIO FLORENTINO MAKANG 10105202

JURUSAN TEKNIK INFORMATIKA

FAKULTAS TEKNIK DAN ILMU KOMPUTER

UNIVERSITAS KOMPUTER INDONESIA

BANDUNG

i

PERBANDINGAN METODE PENDETEKSIAN WORM

PADA KOMPUTER

FILE NAME SCANNING DAN STRING SCANNING

Oleh

MARIO FLORENTINO MAKANG

10105202

Banyaknya jenis malware (malicious software) yang terdapat pada komputer dan dampak yang ditimbulkan dari malware tersebut sangatlah merugikan bagi pengguna komputer. Salah satu jenis dari malware tersebut adalah worm.

Seperti layaknya malware yang lain virus atau Trojan dan sebagainya, worm memiliki daya rusak yang dapat sangat mnerugikan baik bagi pengguna pribadi maupun pengguna dalam kapasitas yang besar (jaringan sampai internet).

Untuk mengatasi hal tersebut terdapat dua metode yang dapat dilakukan untuk mendeteksi keberadaan worm pada suatu komputer. Yaitu metode scan File Name Scanning dan String Scanning. Dimana metode yang pertama berorientasi pada nama dari sebuah file dan kedua berorientasi pada sederetan string hexa dalam melakukan pendeteksian (scan) pada suatu file worm.

Tujuan dari tugas akhir ini adalah untuk mengimplementasikan kedua metode tersebut, dan juga untuk menguji dengan beberapa parameter uji, untuk mengetahui metode mana yang lebih optimal dalam melakukan pendeteksian file worm.

Tools yang digunakan untuk membangun aplikasi ini adalah MS. VB 6.0. Tools pembantu yang digunakan adalah HxDen (hexa decimal editor).

Hasil yang akan dicapai dari aplikasi ini adalah selain untuk dapat mendeteksi file worm yang nantinya akan diuji coba yaitu mengetahui waktu dan ketepatan dalam mendeteksi file worm yang diujikan.

ii antara kedua metode.

iii

COMPARISON OF TWO METHODS

FILE NAME SCANNING AND STRING SCANNING

ON COMPUTER WORM DETECTION

By

MARIO FLORENTINO MAKANG

10105202

The many types of malware (malicious software) that are on the computer and the impact of malware is very harmful for the computer user. One type of malware is a worm.

Like other malware or Trojan viruses and the like, the worm has a destructive force that can be very good for injure personal users and users in a large capacity (up to the internet network).

To overcome this there are two methods that can be done to detect the presence of a computer worm. The scan method File Name Scanning and String Scanning. Where the first method oriented to the name of a file-oriented and the second row in the hex string to the detection (scan) on a worm file.

The purpose of this final task is to implement both methods, and also to test with some test parameters, to determine which method is more optimal detection of doing the worm file.

Tools used to build this application is MS. VB 6.0. Helper tools used is HxDen (decimal hex editor).

Results to be achieved from this aplication is only to be able to detect the worm files which will be tested is to know thye time and accuracy in detecting the worm file.

This application has been successfully tested two methods above. In addition to detecting the presence of the worm files, can also be advantages and disadvantages of the test parameters. So that could be useful to the user in performing the detection and also can find out where the best method or the same between the two methods.

PADA KOMPUTER

FILE NAME SCANNING

_DAN

STRING SCANNING

MARIO FLORENTINO MAKANG

10105202

Pembimbing

Ir. Bambang Siswoyo, M.Si. NIP. 41277006010

Menyetujui,

Ketua Jurusan Teknik Informatika

Mira Kania Sabariah, S.T., M.T. NIP. 41277006008

PERBANDINGAN METODE PENDETEKSIAN

WORM

PADA KOMPUTER

FILE NAME SCANNING

_DAN

STRING SCANNING

MARIO FLORENTINO MAKANG

10105202

Penguji I Penguji II

Irfan Maliki, S.T. Ir. Bambang Siswoyo, M.Si. NIP. 41277006019 NIP. 41277006010

Penguji III

Tati Harihayati M., S.T., M.T. NIP. 41277006006

vi

LEMBAR PENGESAHAN

ABSTRAK _{... i}

ABSTRACT _{... iii}

KATA PENGANTAR ... iv

DAFTAR ISI ... vi

DAFTAR TABEL ... xii

DAFTAR GAMBAR ... xiii

DAFTAR SIMBOL ... xv

DAFTAR LAMPIRAN ... xvii

BAB I PENDAHULUAN 1.1. Latar Belakang Masalah ... 1

1.2. Identifikasi Masalah ... 2

1.3. Maksud dan Tujuan ... 3

1.4. Batasan Masalah ... 3

1.5. Metodologi Penelitian ... 4

1.6. Sistematika Penulisan ... 6

BAB II LANDASAN TEORI 2.1. Sejarah Worm Komputer ... 8

2.2. Perbedaan Worm Dan Virus ... 10

vii

2.2.1.2 Worm ... 12

2.2.2 Cara Penyebaran ... 13

2.2.2.1 Virus ... 13

2.2.2.2 Worm ... 13

2.3 Kemampuan dasar Worm ... 15

2.3.1 Kemampuan Reproduksi Dan Distribusi ... 16

2.3.2 Kemampuan Rekayasa Sosial ... 16

2.3.3 Kemampuan Menyembunyikan Diri ... 17

2.3.4 Kemampuan Mendapatkan Informasi ... 17

2.3.5 Kemampuan Mengadakan Manipulasi ... 17

2.4 Siklus Hidup Worm ... 17

2.4.1 Propagation Phase (Fase Penyebaran)... 18

2.4.2 Dormant Phase (Fase Istirahat/Tidur) ... 18

2.4.3 Trigerring Phase (Fase Aktif) ... 18

2.4.4 Execution Phase (Fase Eksekusi) ... 18

2.5 Metode File Name Scanning ... 18

2.6 Metode String Scanning ... 19

2.7 Perkembangan Worm Non Lokal ... 19

2.5.1 Christma Exec ... 19

2.5.2 Morris ... 20

2.5.3 Happy99 ... 20

viii

2.5.8 Love Letter ... 24

2.5.9 Hybris ... 25

2.5.10 Anna Kournikova ... 25

2.5.11 Sadmind ... 25

2.5.12 Code Red ... 26

2.5.13 Nimda ... 27

2.5.14 BadTrans.B ... 28

2.5.15 Slammer ... 29

2.5.16 Bagle ... 29

2.5.17 Netsky ... 30

2.8 Perkembangan Worm Lokal ... 31

2.6.1 I-Worm Perksa ... 31

2.6.2 Pesin ... 31

2.6.3 Tabaru ... 32

2.6.4 Kangen ... 32

2.6.5 Kumis ... 33

2.6.6 Decoil ... 33

2.6.7 Rontokbro ... 34

2.6.8 Nobron ... 34

ix

2.9 Diagram Arus Data (Data Flow Diagram) ... 36

2.10 Diagram Konteks ... 38

2.11 Data Flow Diagram Fisik ... 38

2.12 Data Flow Diagram Logika ... 39

2.13 Jaringan Semantik ... 39

2.14 MS. Visual Basic 6.0 ... 39

BAB III ANALISIS DAN PERANCANGAN 3.1. Analisis Masalah ... 43

3.2. Langkah-Langkah Penyelesaian Masalah ... 44

3.3. Analisis Metode ... 47

3.3.1 Analisis Metode File Name Scanning ... 47

3.3.2 Analisis Metode String Scanning ... 48

3.4 Analisis Karateristik Worm ... 49

3.5 Analisis Pengenalan File Worm ... 51

3.5.1 File Name Scanning ... 51

3.5.2 String Scanning ... 52

3.6 Analisis Kerugian ... 53

3.6.1 Spionase Dan Pengumpulan Data ... 53

3.6.2 Pengrusakan Data ... 53

3.6.2 Pengrusakan Hardware ... 53

3.7 Analisis Keakuratan Metode ... 54

x

3.9.3 Analisis Kebutuhan Pengguna ... 55

3.10 Analisis Basis Data ... 55

3.11 Analisis Kebutuhan Fungsional ... 56

3.11.1 Diagram Konteks ... 56

3.11.1.1 DFD Level 0 ... 57

3.11.1.2 DFD Level 1 Proses 2 ... 58

3.11.1.3 DFD Level 2 Proses 2.1 ... 58

3.11.1.4 DFD Level 3 Proses 2.1.1 ... 59

3.11.1.5 DFD Level 3 Proses 2.1.2 ... 59

3.11.1.6 DFD Level 4 Proses 2.1.1.2... 60

3.11.1.7 DFD Level 4 Proses 2.1.2.2... 60

3.12 Spesifikasi Proses ... 61

3.13 Perancangan Struktur Menu ... 69

3.14 Perancangan Antar Muka ... 70

3.15 Perancangan Pesan ... 73

3.16 Jaringan Semantik ... 74

BAB IV IMPLEMENTASI DAN PENGUJIAN 4.1 Implementasi ... 76

4.1.1 Perangkat Lunak Pembangun ... 76

xi

4.1.3.1 Antarmuka Menu Utama ... 77

4.1.3.2 Antarmuka Sub Menu File ... 77

4.1.3.3 Antarmuka Menu Scan ... 78

4.1.3.4 Antarmuka Info Worm ... 78

4.1.3.5 Antarmuka Chart ... 79

4.1.3.6 Antarmuka Profile ... 79

4.2 Pengujian ... 80

4.2.1 Rencana Pengujian ... 80

4.2.2 Kasus Dan Hasil Pengujian Alpha... 82

4.2.2.1 Pengujian File Name Scanning ... 82

4.2.2.2 _... Pengujian String Scanning... 83

4.3 Pengujian Waktu File Name Scanning ... 84

4.4 Pengujian Waktu String Scanning ... 85

4.5 Kesimpulan Hasil Uji ... 88

4.6 Kasus dan Hasil Pengujian Betha ... 88

4.7 Kesimpulan Hasil Pengujian Betha ... 93

BAB V KESIMPULAN DAN SARAN 5.1 Kesimpulan ... 94

5.2 Saran ... 94

xiii

Gambar 2.2 Cara Penyebaran Virus ... 13

Gambar 2.3 Cara Penyebaran Worm... 14

Gambar 3.1 Proses Scanning Dengan Metode File Name Scanning... 44

Gambar 3.2 Proses Scanning Dengan Metode String Scanning ... 45

Gambar 3.3 Sample Nama File yang diambil ... 48

Gambar 3.4 Sample String yang diambil ... 49

Gambar 3.5 File Teks Untuk Name ... 56

Gambar 3.6 File Teks Untuk String ... 56

Gambar 3.7 Diagram Konteks Aplikasi Pendeteksian Worm ... 57

Gambar 3.8 DFD Level 0 ... 57

Gambar 3.9 DFD Level 1 Pemilihan Menu Deteksi... 58

Gambar 3.10 DFD Level 2 Pemilihan Menu Metode Scan ... 58

Gambar 3.11 DFD Level 3 Pemilihan Menu File Name Scanning ... 59

Gambar 3.12 DFD Level 3 Pemilihan Menu String Scanning ... 59

Gambar 3.13 DFD Level 4 Pemilihan Tombol Scan ... 60

Gambar 3.14 DFD Level 4 Pemilihan Tombol Scan ... 60

Gambar 3.15 Struktur Menu Aplikasi ... 70

Gambar 3.16 Tampilan Menu Utama ... 70

Gambar 3.17 Tampilan Menu File ... 71

xiv

Gambar 3.20 Tampilan Menu About ... 72

Gambar 3.21 Tampilan Menu Browse ... 73

Gambar 2.22 Tampilan Pesan M01 ... 73

Gambar 3.23 Tampilan Pesan M02 ... 73

Gambar 3.24 Tampilan Pesan M03 ... 74

Gambar 3.25 Jaringan Semantik ... 75

Gambar 4.1 Tampilan Menu Awal ... 77

Gambar 4.2 Tampilan Sub Menu File ... 78

Gambar 4.3 Tampilan Menu Scan ... 78

Gambar 4.4 Tampilan Menu Info Worm ... 79

Gambar 4.5 Tampilan Sub Menu Chart ... 79

Gambar 4.6 Tampilan Menu About ... 80

Gambar 4.7 File worm yang terdeteksi ... 86

xii

Table 3.4 Spesifikasi Proses DFD Level 1 Proses 2 ... 62

Table 3.5 Spesifikasi Proses DFD Level 2 Proses 2.1 ... 63

Table 3.6 Spesifikasi Proses DFD Level 3 Proses 2.1.1 ... 63

Table 3.7 Spesifikasi Proses DFD Level 3 Proses 2.1.2 ... 65

Table 3.8 Spesifikasi Proses DFD Level 4 Proses 2.1.1.2 ... 66

Table 3.9 Spesifikasi Proses DFD Level 4 Proses 2.1.2.2 ... 68

Tabel 4.1 Rencana Pengujian ... 80

Tabel 4.2 Rencana Pengujian ... 81

Tabel 4.2 Pengujian File Name Scanning ... 82

Tabel 4.3 Pengujian String Scanning ... 83

Tabel 4.4 Pengujian Chart ... 84

Tabel 4.4 Pengujian Info Worm ... 84

Tabel 4.5 Pengujian Waktu File Name Scanning ... 85

Tabel 4.6 Pengujian Waktu String Scanning ... 86

xv Data Flow Diagram (DFD)

Entitas Luar / Terminator

Proses

Aliran data

Penyimpanan data

Flow Map Diagram / Sistem Prosedur

Proses oleh komputer

Stored data

Kondisi

Penyimpanan internal

xvi

Penghubung

Terminator

xvii

Lampiran A Listing Program ... A-1 Lampiran B Hasil Kuesioner ... B-1

1 BAB I PENDAHULUAN 1.1Latar Belakang Masalah

Seiring dengan berkembangnya kemajuan teknologi informasi yang cukup pesat,

dipicu pula oleh banyaknya kebutuhan akan data dan informasi oleh pengguna baik itu

secara individual, organisasi atau lembaga maupun kelompok tertentu, maka

diperlukan pengolahan informasi yang berkualitas maksudnya adalah informasi yang

akurat, tepat waktu dan relevan atau tepat guna. Informasi yang yang berkualitas hanya

bisa dihasilkan dari sebuah sistem informasi yang juga berkualitas.

Komputer adalah mesin yang perkembangannya dari masa ke masa telah

mengalami kemajuan yang sangat pesat. Fungsi dari komputer itu sendiri ialah untuk

mengolah data, dimana data disini adalah sesuatu yang belum mempunyai arti bagi

penerimanya dan masih memerlukan adanya suatu pengolahan. Data bisa berwujud

suatu keadaan, gambar, suara, huruf, angka, bahasa ataupun simbol-simbol lainnya

yang bisa kita gunakan sebagai bahan untuk melihat suatu keadaan.

Informasi merupakan hasil pengolahan dari sebuah model, formasi, organisasi,

ataupun suatu perubahan bentuk dari data yang memiliki nilai tertentu, dan bisa

digunakan untuk menambah pengetahuan bagi yang menerimanya. Dalam hal ini, data

bisa dianggap sebagai objek dan informasi adalah suatu subjek yang bermanfaat bagi

penerimanya. Informasi juga bisa disebut sebagai hasil pengolahan ataupun

Sehingga kita bisa melihat bahwa fungsi utama dari sebuah komputer adalah

mengolah suatu data yang telah disebutkan diatas menjadi sebuah informasi yang

berguna atau bermanfaat bagi penerimanya.

Namun dalam perkembangannya komputer tidak lepas dari suatu tindak kejahatan

terhadap suatu program komputer. Salah satu tindak kejahatan dalam program yaitu

worm. Worm komputer dapat menimbulkan dampak yang sangat fatal dan merugikan. Contohnya komputer yang menjadi lambat, disk drive terakses secara berkala,

konfigurasi komputer berubah dan lain sebagainya.

Berdasarkan hal di atas, untuk mengantisipasi perkembangan dan makin

banyaknya worm, maka diperlukan suatu program yang dapat mendeteksi dan

menghapus program-program berbahaya tersebut. serta perbandingan diantara kedua

metode tersebut.

1.2 Identifikasi Masalah

Dalam rangka mengetahui keberadaan suatu worm pada komputer diperlukan

beberapa metode untuk mendeteksinya. Ada berbagai macam metode dalam

melakukan scanning untuk mengetahui keberadaan suatu worm, namun salah satunya ialah FILE NAME SCANNING dan STRING SCANNING. Kedua metode tersebut melakukan scanning berdasarkan file name suatu file dan string suatu file. File name scanning pencarian yang dilakukan dengan melalukan pencocokan nama file dengan data signature. Data signature bisa berupa nama file lengkap maupun berupa suatu pola

yang diperoleh dari nama file worm tersebut. String scanning pencarian yang dilakukan dengan pencocokan suatu kumpulan karakter pada data signature dengan isi file.

Selanjutnya perumusan masalah dapat dirumuskan dalam pertanyaan sebagai

berikut, yaitu bagaimana membangun PERBANDINGAN METODE PENDETEKSIAN WORM PADA KOMPUTER FILE NAME SCANNING DAN STRING SCANNING.

1.3Maksud dan Tujuan

Dari latar belakang yang telah diuraikan maka penulis bermaksud membangun

program aplikasi Pembuatan Aplikasi Pendeteksian Worm Komputer Dengan Metode File Name Scanning Dan String Scanning.

Sedangkan tujuan yang akan dicapai dalam penelitian ini adalah :

1 Mengimplementasikan metode File Name Scanning dan String Scanning pada aplikasi infector file removal.

2 Mendeteksi file infector worm pada komputer. 3 Menghapus file infector worm dari sistem komputer.

4 Mengatahui performa berdasarkan waktu yang ditempuh oleh masing-masing

metode.

5 Mengetahui keakuratan dari masing-masing metode dalam hal pencarian file

worm.

6 Dapat mengetahui metode mana yang baik dari segi waktu dan hasil pencarian file worm.

1.4Batasan Masalah

Luasnya bidang atau masalah dalam hal mengenai malware ini, maka diperlukannya suatu batasan-batasan yang dimaksudkan agar pembahasan dan

penyusunan tugas akhir dapat dilakukan dengan terarah dan tidak menyimpang serta

sesuai dengan apa yang diharapkan. Batasan-batasan masalah adalah sebagai berikut:

1. Aplikasi ini hanya digunakan untuk mendeteksi worm pada sistem komputer.

2. Perangkat lunak yang akan dibangun dapat digunakan oleh semua user.

3. Tool yang digunakan untuk membangun aplikasi ini adalah Ms. Visual Basic 6.0 Enterprise Edition.

4. Pemodelan analisis menggunakan Model Aliran Data atau Struktur yang salah

satu tools-nya adalah Data Flow Diagram (DFD).

5. Data proses yaitu masukan dari user sebagai pemakai aplikasi untuk mendeteksi

keberadaan worm.

6. Keluaran yang diperoleh yaitu ada atau tidak adanya worm yang terdeteksi di

dalam sistem komputer.

7. Aplikasi ini hanya mendeteksi keberadaan worm yang sudah diketahui

sebelumnya (known worm).

8. Metode yang digunakan adalah File Name Scanning dan String Scanning. 1.5Metodologi Penelitian

Metodologi yang digunakan dalam penulisan tugas akhir ini adalah sebagai

berikut:

1. Tahap pengumpulan data

Metode pengumpulan data yang digunakan dalam penelitian ini adalah sebagai

a. Studi Literatur.

Pengumpulan data dengan cara mengumpulkan literatur, jurnal, paper dan bacaan-bacaan yang ada kaitannya dengan judul penelitian.

b. Observasi.

Teknik pengumpulan data dengan mengadakan penelitian dan peninjauan langsung

terhadap permasalahan yang diambil.

2. Tahap pembuatan perangkat lunak

Teknik analisis data dalam pembuatan perangkat lunak menggunakan paradigma

perangkat lunak secara waterfall, yang meliputi beberapa proses diantaranya: a. System / Information Engineering

Merupakan bagian dari sistem yang terbesar dalam pengerjaan suatu proyek,

dimulai dengan menetapkan berbagai kebutuhan dari semua elemen yang

diperlukan sistem dan mengalokasikannya kedalam pembentukan perangkat lunak.

b. Analisis

Merupakan tahap menganalisis hal-hal yang diperlukan dalam pelaksanaan proyek

pembuatan perangkat lunak.

c. Design

Tahap penerjemahan dari data yang dianalisis kedalam bentuk yang mudah

dimengerti oleh user.

d. Coding

Tahap penerjemahan data atau pemecahan masalah yang telah dirancang keadalam

e. Pengujian

Merupakan tahap pengujian terhadap perangkat lunak yang dibangun.

f. Maintenance

Tahap akhir dimana suatu perangkat lunak yang sudah selesai dapat mengalami

perubahan–perubahan atau penambahan sesuai dengan permintaan user. 1.6Sistematika Penulisan

Sistematika penulisan proposal penelitian ini disusun untuk memberikan gambaran

umum tentang penelitian yang dijalankan. Sistematika penulisan tugas akhir ini

adalah sebagai berikut :

BAB I PENDAHULUAN

Menguraikan tentang latar belakang permasalahan, mencoba merumuskan inti

permasalahan yang dihadapi, menentukan tujuan dan kegunaan penelitian, yang

kemudian diikuti dengan pembatasan masalah, asumsi, serta sistematika penulisan.

BAB II. LANDASAN TEORI

Membahas berbagai konsep dasar dan teori-teori yang berkaitan dengan topik

penelitian yang dilakukan dan hal-hal yang berguna dalam proses analisis

permasalahan serta tinjauan terhadap penelitian-penelitian serupa yang telah

pernah dilakukan sebelumnya termasuk sintesisnya.

BAB III. ANALISIS MASALAH

Menganalisis masalah dari model penelitian untuk memperlihatkan keterkaitan

BAB IV. PERANCANGAN DAN IMPLEMENTASI

Merupakan tahapan yang dilakukan dalam penelitian secara garis besar sejak dari

tahap persiapan sampai penarikan kesimpulan, metode dan kaidah yang diterapkan

dalam penelitian. Termasuk menentukan variabel penelitian, identifikasi data yang

diperlukan dan cara pengumpulannya, penentuan sampel penelitian dan teknik

pengambilannya, serta metode/teknik analisis yang akan dipergunakan dan

perangkat lunak yang akan dibangun jika ada.

BAB V. KESIMPULAN DAN SARAN

8

LANDASAN TEORI

2.1 Sejarah Worm Komputer

Gagasan worm dan virus berawal pada tahun 1949, saat seorang founder Electronic Discrete Automatic Computer (EDVAC), John Von Newman, memaparkan dalam sebuah papernya yang berjudul “Theory and Organization of Complicated Automata”, dibahas suatu kemungkinan bahwa suatu program dapat melakukan penyebaran dengan sendirinya.

Kemudian pada tahun 1960-an, para peneliti AT&T Bell Laboratory membuat semacam permainan dengan menciptakan suatu program yang dapat memusnakan program ciptaan lawan, dan mampu bertahan terhadap serangan program lawan lainnya.

Pada akhirnya si-pemenang adalah pemilik program yang tersisa paling banyak. Para peneliti sadar akan bahaya program tersebut, maka setiaop selesai permainan program tersebut selalu dimusnakan.

Cikal bakal program worm pertama kali dibuat oleh Bob Thomas pada tahun 1971. Program ini merupakan solusi dari kebutuhan sistem kendali lalu lintas udara.

Program ini akan membantu mengingatkan operator apabila pengendali suatu pesawat udara berpindah dari satu komputer ke komputer lainnya. Sesungguhnya program yang disebut “creeper” ini hanya berpindah dari layar ke layar pada jaringan, dengan menampilkan pesan “I’m creeper! Catch me if you

can!”. Tetapi program creeper tidak mereproduksi dirinya sendiri, hingga beberapa programmer lain mencoba membuat program serupa, tetapi gagasan tersebut berangsur-angsur hilang dalam beberapa bulan kemudian.

Istilah “virus” mungkin sudah tidak asing lagi terdengar, dapat dikatakan hampir setiap orang yang megenal komputer juga mengenal istilah ini, sementara istilah “worm” tidak begitu dikenal, padahal istilah ini diciptakan oleh John Shoch dan Jon Hupp di Xerox PARC (palo Alto Research Centre) pda tahun 1979 sebelum istilah virus komputer dipublikasikan.

Istilah worm ini ternyata diilhami oleh suatu program “tapeworm” (cacing pita) dalam sebuah novel fiksi ilmiah karangan John Brunner yang berjudul “The Shockwave Rider”, yang mengisahkan suatu pemerintahan totaliter yang mengendalikan warga negaranya melalui suatu jaringan komputer.

Untuk memerangi hal itu akhirnya seorang pahlawan dalam novel tersebut kemudian memenuhi jaringan dengan suatu program yang disebut “tapeworm” sehingga memaksa mematikan jaringan komputer yang secara otomatis juga menghilangkan kendali pemerintah terhadap warga negaranya.

Kemudian diawal tahun 1980 John Shoch dan Jon Hupp mengadakan sebuah penelitian dengan mengembangkan lima buah program worm, masing-masing worm dibuat dengan tujuan tertentu yang membantu jaringan disekitarnya. Beberapa worm terlihat sederhana, seperti worm “town crier” yang bertugas memasuki jaringan hanya untuk menampilkan pengumuman. Worm lainnya terlihat lebih kompleks dan pintar, seperti “vampire”.

Worm ini tidak akan melakukan kegiatan pada siang harinya, tetapi saat malam hari worm akan melakukan suatu kegiatan tertentu yang telah terprogram sebelumnya, ini berguna untuk memanfaatkan komputer yang tidak bekerja pada malam hari dengan memebrikan tugas yang kompleks dan memerlukan daya proses yang lebih. Saat fajar, worm akan menghentikan pekerjaannya dengan terlebih dahulu menyimpan seluruh pekerjaan yang dilakukannnya malam itu dan menunggu sore berikutnya.

Walau bagaimanapun, walaupun program ini berguna tapi disadari bahwa program ini juga akan sangat berbahaya apabila asalah digunakan. Hal ini terbukti saat sebuah worm mengalami malfungsi pada suatu malam dan keesokan harinya para pekerja menemukan seluruh komputer yang ada pada jaringan tersebut mengalami crash (suatu kerusakan dimana sistem output dan input tidak berfungsi).

Lebih dari itu saat komputer dihidupkan kembali, worm malfungsi tersebut kembali membuat komputer crash. Pada akhirnya dibuatsemacam vaksin untuk mencegah worm tersebut, dan mulai saat itu penelitian terhadap worm tersebut ditutupu umum.

2.2 Perbedaan Worm dan Virus

Perkembangan teknologi komputer yang pesat, ternyata tidak hanya membawa manfaat yang besar bagi penggunanya tetapi juga menimbulkan dampak negatif dengan dibuatnya kode program yang berbahaya. Program-program berbahaya itu sering disebut juga dengan Malicious Code/Malicious

perangkat lunak yang didesain untuk melakukan infiltrasi atau merusak suatu sistem komputer, tanpa seijin pemiliknya.

Beberapa usaha untuk membuat pengklasifikasian malware secara tepat tidak mudah dilakukan, tumpang tindih antara spesifikasi teknis tiap kelas dan sub kelasnya selalu ditemukan pada klasifikasi tersebut. Namun secara umum, menurut Peter Szor malware dapat diklasifikasikan seperti gambar berikut ini:

Gambar 2.1 Klasifikasi Malware

Dari klasifikasi di atas, karena memiliki aksi yang hampir serupa, terdapat dua tipe malware yang agak sulit dibedakan yaitu, virus dan worms. Untuk mempermudah melihat perbedaan kedua malware tersebut dapat ditinjau dari:

2.2.1 Definisi

Berikut akan dijelaskan mengenai virus dan worm. 2.2.1.1 Virus

Pada awalnya virus didefinisikan oleh Frederick B. Cohen sebagai suatu program yang dapat menginfeksi program lain dengan memodifikasinya, termasuk kemungkinan untuk berevolusi dengan menggandakan dirinya sendiri. Seiring dengan perkembangan teknik pemrogramannya, terdapat beberapa bentuk virus yang tidak sesuai dengan definisi tersebut. Sebagai contoh, suatu virus yang sering disebut companion virus memiliki kemampuan menggandakan diri tanpa mengubah program yang diinfeksinya. Sehingga menurut Peter Szor, definisi yang lebih akurat untuk virus pada saat ini adalah, suatu program yang secara berulang (recursively) dan dengan tegas (explicitly) menggandakan suatu versi dirinya sebagai kemungkinan untuk berevolusi.

2.2.1.2 Worm

Sedangkan definisi formal untuk worm menurut Robert T. Morris adalah suatu program yang berpindah dari satu komputer ke komputer yang lain tanpa mengikatkan dirinya (attach itselft) pada sistem operasi komputer yang diinfeksinya. Sejalan dengan perkembangannya, definsi worm tersebut sudah tidak begitu tepat. Beberapa worm sering menggunakan teknik untuk menyembunyikan kehadirannya dengan melakukan instalasi atau memodifikasi sistem. Sehingga definisi yang lebih tepat menurut Jose Nazario adalah suatu agen penginfeksi yang otonom dan independen dalam bereplikasi, serta memiliki kemampuan dalam menginfeksi sistem host baru melalui fasilitas jaringan.

2.2.2 Cara Penyebaran 2.2.2.1 Virus

Virus memerlukan campur tangan pengguna dalam penyebarannya, misalnya dalam proses download, klik ganda pada file yang terinfeksi, dan lain-lain.

2.2.2.2 Worm

Sedangkan worm dapat secara otomatis menyebar dengan tanpa atau sedikit campur tangan dari penggunannya. Misalnya dengan satu kali klik pada file lampiran e-mail yang terinfeksi worm, maka satu atau beberapa sistem yang terkoneksi melalui e-mail tersebut akan segera terinfeksi.

Untuk lebih jelas, dapat dilihat dari dua contoh gambar berikut:

Gambar 2.3 Cara Penyebaran Worm

Istilah “virus” selalu digunakan sebagai suatu acuan umum untukn setiap malcode (program atau script yang dibuat dengan tujuan membahayakan atau merugikan sebuah sistem komputer), seperti worm, trojan bahkan hoax yang sesungguhnya bukan sebuah virus komputer, berikut adalah beberapa jenis malcode tersebut:

1. Virus Komputer: merujuk pada program yang memiliki kemampuan untuk ber-reproduksi, menularin program lain dan menjadikan file-file program tertular sebagai file infector.

2. Worm Komputer: merujuk pada program independen yang memiliki kemampuan untuk ber-reproduksi, menulari sistem komputer dan walaupun

mampu untuk menularin program lain namun tidak bertujuan untuk menjadikan file tertular tersebut sebagai suatu file infector.

3. Trojan Horse: merujuk pada program independen yang tampaknya berguna, dan ketika dieksekusi, tanpa sepengetahuan pengguna, juga melaksanakan fungsi-fungsi yang bersifat destruktif dan merugikan.

4. Malicious Toolkits: merujuk pada program yang didesain untuk membantu menciptakan program-program yang dapat membahayakan sebuah sistem komputer. Contoh dari program jenis ini adalah toll pembuat virus dan program yang dibuat untuk membantun proses cracking atau hacking.

Dari beberapan keterangan di atas dapat diperjelas bahwa worm adalah suatu algoritma atau program yang mereproduksi diri sendiri dari sistem ke sistem dengan menggunakan media penyimpanan atau atau suatu jaringan.

Worm tidak menginfeksi file program lain dengan tujuan menjadikan file terinfeksi tersebut sebagai file infector. Worm mampu bekerja tanpa interaksi user, bisa merusak sebuah data secara langsung atau menurunkan kinerja sistem dengan “mengikat” sumber daya sistem komputer dan bahkan bisa mematikan sebuah jaringan. Berbeda dengan virus yang melakukan infeksi dengan “menumpang” pada file program lain, menunggu interaksi user dan menjadikan file terinfeksi sebagai file infector.

2.3 Kemampuan Dasar Worm

2.3.1 Kemampuan Reproduksi dan Distribusi

Yaitu kemampuan yang mutlak dimiliki suatu worm untuk membuat salinan dirinya, sekaligus mendistribusikan salinan tersebut pada sistem yang lain baik melalui media penyimpanan seperti disket, USB flash disk maupun melalui suatu jaringan komputer. Walaupun memiliki rutin untuk menginfeksi program lain namun tidak bertujuan menjadikan file program terinfeksi menjadi suatu file infector.

Pada awalnya worm dibuat dengan aksi memenuhi harddisk dan jaringan, namun seiring dengan perkembangan teknologi informasi hal ini akhirnya banyak ditinggalkan worm writer karena malah akan mengurangai kemampuannya untuk menyembunyikan diri, yang akan berakibat worm tersebut cepat “terendus” oleh

advanced user atau bahkan perusahaan-perusahaan antivirus.

2.3.2 Kemampuan Rekayasa Sosial

Karena file infectorworm akan aktif saat user mengeksekusinya maka social

engineering atau rekayasa sosial menjadi hal yang sangat penting bagi suatu

worm.

Layaknya seorang penjual yang mati-matian merayu calon pembeli maka worm akan “merias” programnya dengan icon dan nama yang sangat memikat agar user mengeksekusinya. Suatu worm bisa saja membuat salinan dirinya dengan nama file “porno” dan dengan gambar icon yang sangat tidak mencurigakan.

2.3.3 Kemampuan Menyembunyikan Diri

Menjaga tetap tidak diketahui adalah penting untuk worm jaman sekarang agar tetap bertahan pada suatu sistem. Hal ini biasanya dilakukan dengan cara tidak menampilkan sesuatu dari worm baik berupa suara maupun tampilan visual, menyembunyikan program worm dari taskbar bahkan dari jendela tasklist. 2.3.4 Kemampuan Mendapatkan Informasi

Suatu worm harus bisa mendapatkan informasi yang ia butuhkan, seperti jenis sistem operasi yang digunakan, direktori root, direktori sistem windows bahkan worm umumnya memerikasa suatu sistem apakah telah terpasang antivirus atau tidak, lebih jauh lagi worm akan berusaha mengenali jenis antivirus yang terpasang.

2.3.5 Kemampuan Mengadakan Manipulasi

Umumnya manipulasi dilakukan oleh worm untuk bertahan hidup. Worm cenderung mengadakan manipulasi pada registry agar worm bisa tetap aktif saat komputer dihidupkan, bahkan manipulasi registry milik suatu antivirus agar tidak mengganggu worm tersebut. Tapi worm bisa saja mengadakan manipulasi yang terlepas dari tujuan tadi, seperti mengubah volume label pada harddisk atau disket.

2.4 Siklus Hidup Worm

2.4.1 Propagation Phase (Fase Penyebaran)

Pada fase ini worm akan membuat salinan dirinya ke suatu tempat, baik pada media penyimpanan fix disk (tetap) atau removable disk (dapat dipindahkan), adapaun penyebarannya dapat dilakukan pda sistem lokal, jaringan atau internet. 2.4.2 Dormant Phase (Fase Istirahat/Tidur)

Pada fase ini worm tidaklah aktif. Wrom akan diaktifkan oleh suatu kondisi tertentu, semisal: tanggal yang ditentukan, kehadiran program lain/dieksekusinya program lain, dan sebagainya. Tidak semua worm melalui fase ini.

2.4.3 Trigerring Phase (Fase Aktif)

Di fase ini worm tersebut akan aktif dan menetap pada memori, hal ini dipicu oleh metode launcher yang digunakan worm tersebut.

2.4.4 Execution Phase (Fase Eksekusi)

Pada fase inilah worm yang telah aktif tadi akan melakukan fungsinya. Seperti menghapus file, menampilkan pesan-pesan dan sebagainya.

2.5 Metode File Name Scanning

Metode ini didasarkan pada file-file worm yang sudah diketahui sebelumnya. Data-data yang diperiksa dari trik tersebut disebut dengan istilah signature. Dalam metode ini sebuah file name (nama berkas) sangatlah penting diketahui dalam rangka mendeteksi suatu file yang berbahaya atau mengancam sistem komputer. Lebih jauh lagi dalam hal pencarian file worm, selain nama yang sudah diketahui diperlukan suatu validasi tambahan, yaitu extension dan besar kapasitas dari suatu file. Hal ini diperlukan agar metode tidak salah mendeteksi berkas-berkas karena

kemiripan yang dilihat dari nama file saja. Satu hal lagi, metode ini juga mendeteksi berkas-berkas yang sifatnya hidden (tersembunyi).

2.6 Metode String Scanning

Metode ini pada dasaranya sama dengan metode file name scanning. Hal yang perlu diketahui dalam metode ini adalah mendeteksi bukan berdasarkan nama berkas, tetapi berdasarkan string (dalam hal ini sederetan angka hexa). Dalam pengaplikasiannya, metode ini mengambil sample string hexa dengan bantuan tool yang bernama “hxd”, sebuah tool yang dapat meng-generate atau melihat struktur bilangan hexa yang terkandung di dalam file atau berkas.

2.7 Perkembangan Worm Non Lokal

Berikut ini beberapa catatan singkat tentang worm yang pernah ada dan membuat banyak kerugian bagi para pengguna komputer.

2.7.1 Christma Exec

Pada tanggal 9 Desember 1987, worm “Christma Exec” menjadi worm pertama yang mampu menyebar dengan menggunakan media e-mail diantara komputer mainframe IBM. Wrom ini juga menjadi contoh penggunaan social

engineering, dengan mengajak user untuk mengeksekusi worm tersebut dengan

dalih akan menampilkan gambar pohon natal.

Worm tersebut memang menghasilkan gambar pohon natal pada layar monitor (digambar dengan menggunakan bahasa script yang disebut Rexx), tetapi worm tersebut juga mengirimkan salinan dirinya dengan menggunakan nama user kepada setiap nama yang ada pada daftar e-mail penerima, sehingga penerima

percaya bahwa e-mail yang dikirimkan tersebut adalah benar dari user yang dikenal dan bersedia membukanya.

2.7.2 Morris

Pada tanggal 2 Nopember 1988, worm Morris yang terkenal pada waktu itu berhasil melumpuhkan 6000 komputer dalam beberapa jam. Worm tersebut dibuat oleh seorang siswa Cornell, Robert Morris Jr. Kemudian diadakan penyelidikan, sampai akhirnya Morris dijatuhkan hukuman pada tahun 1990.

Kesimpulan yang diperoleh adalah motivasi dalam menulis worm tersebut tidak diketahui dan worm tidak diprogram untuk sengaja melakukan pengrusakan, tetapi kerusakan yang ditimbulkan disebabkan oleh kecelakaan dan kesalahan pemrograman.

Dibulan Oktober 1989, muncul sebuah worm bernama WANK (Worms Against Nuclear Killers) yang tampaknya belajar dari worm Morris dan melakukan penularan pada komputer VMS pada DECNet. Worm ini menyebar dengan memanfaatkan e-mail dan mengekploitasi sistem untuk mendapat hak akses dengan berusaha mencari accountuser name dan password.

2.7.3 Happy99

Pada bulan Januari 1999, worm happy99 menyebar lewat e-mail dengan

attachment sebuah file aplikasi bernama happy99.exe. Ketika file tersebut

dieksekusi tampil gambar kembang api untuk memperingati tahun baru 1999, tetapi secara diam-diam memodifikasi file WSOCK32.DLL (file sistem untuk koneksi internet) dengan suatu program trojan horse yang mengijinkan worm

tersebut menyisipkan dirinya pada proses komunikasi internet, sementara file WSOCK32.DLL yang asli diubah kembali namanya menjadi WSOCK32.SKA. 2.7.4 Melisa

Di bulan Maret 1999, sebuah virus macro “Melisa” kembali meresahkan pengguna internet dengan menginfeksi 100.000 unit komputer hanya dalam waktu tiga hari.

Virus tersebut memulai penyebarannya dengan pengiriman perdana ke Usenet Newsgroup “alt.sex” yang menjanjikan account name berikut password untuk dapat mengakses sebuah situs erotis. Sebuah perusahaan antivirus Norton menyebutkan bahwa virus ini adalah penggabungan antara worm dan virus.

Melisa menyertakan sebuah file attachment berupa file dokumen Word yang terinfeksi. Ironisnya saat itu masih banyak yang percaya bahwa dengan membuka sebuah e-mail tidak dapat menginfeksi sebuah komputer.

Ketika macro tersebut tereksekusi oleh aplikasi Word. Pertama kali yang dilakukannya adalah melakukan pemeriksaan apakah versi aplikasi Word yang digunakan bisa diinfeksi, jika bisa maka virus akan mengurangi pengaturan keamanan pada aplikasi Word untuk mencegah aplikasi menampilkan pesan atau peringatan tentang adanya suatu macro, yang akan mencurigakan user.

Virus kemudian mencari sebuah key pada registry yang mengandung kata “kwyjibo”, apabila key tersebut tidak ditemukan, virus akan mengeksekusi aplikasi Outlook dan berusaha mengirimkan salinan dirinya kepada 50 penerima yang ada pada address book (buku alamat) aplikasi Outlook. Sebagai tambahan virus menulari file template aplikasi Word “normal.dot” menggunakan fitur VBA

macro “Auto Execute”, file dokumen yang berasal dari file template tersebut akan membawa serta virus tersebut.

2.7.5 Pretty Park

Sebuah worm lainnya menyebar luas dimusim panas tahun 1999. Worm yang dinamakan “Pretty Park” ini menyertakan attachment berupa file “Pretty Park.exe”. tidak ada penjelasan pada attachment, hanya saja file tersebut menggunakan icon bergambar seekor beruang, yang merupakan sebuah karakter pada suatu pertunjukan televisi “South Park”.

Jika dieksekusi, worm menginstal dirinya ke direktori Sistem Windows dan memodifikasi registry yang membuat worm tersebut aktif saat file ber-ekstensi “exe” apa saja dieksekusi. Hal ini menjadi permasalahan bagi program antivirus, yang tentunya juga ber-ekstensi “exe”.

Worm juga mengirimkan salinan dirinya pada alamat e-mail yang ada pada buku alamat Windows. Pretty Park kemudian berusaha mengirimkan beberapa data sistem dan password pada sebuah server IRC (internet relay chat) tertentu, terakhir dilaporkan bahwa worm ini memasang suatu backdoor.

2.7.6 Explore Zip

Pada bulan Juni tahun 1999, muncul sebuah worm bernama “ExploreZip” yang menyamar sebagai file zip (file terkompresi) dalam attachment sebuah e-mail yang jika dieksekusi akan menampilkan pesan kesalahan. exploreZip secara diam-diam menyalin dirinya kedalam direktori sistem Windows dan memodifikasi registry.

Seperti worm lainnya, ExploreZip juga melakukan penyebaran lewat e-mail dengan memanfaatkan aplikasi Outlook atau Exchange, dengan mengawasi e-mail yang masuk dan membalas e-mail tersebut dengan salinan dirinya.

Pada tanggal 9 Januari 2003 ExploreZip kemudian dilaporkan menghasilkan varian baru. Varian ini bernama ExploreZip.N varian dan cukup merepotkan pengguna komputer di Indonesia. Salah satu metode penyebarannya menggunakan

e-mail yang memiliki attachment berupa file ZIPPED_FILES.EXE saat file ini

dieksekusi maka worm menginstal dirinya sendiri pada sistem Windows.

Worm ini meng-overwrite (menimpa) file dokumen dengan ekstensi DOC (Microsoft Word), XLS (Microsoft Excel), PPT (Microsoft PowerPoint), ASM (Assembler), CPP (C++), H (Header C) sehingga berkas-berkas tersebut sulit untuk diselamatkan.

2.7.7 Bubble Boy

Awal tahun 2000, muncul sebuah virus yang membawa sebuah konsep baru “BubbleBoy”. Virus ini menunjukan bahwa sebuah komputer dapat tertular hanya dengan melihat e-mail, tanpa harus membuka pesannya.

Virus ini mengambil keuntungan dengan adanya selah keamanan pada aplikasi Internet Explorer, yang secara otomatis mengeksekusi script Visual Basic yang terdapat pada body e-mail. Virus akan datang sebagai sebuah e-mail dengan subjek “bubbleBoy is back”, pesan berbentuk file HTML dan mengandung script virus dalam bahasa Visual Basic.

Jika menggunakan aplikasi Outlook, script tersebut akan dijalankan walaupun yang dilakukan hanya preview. File tersebut akan ditambahkan pada direktori

StartUp Windows, sehingga apabila komputer dihidupkan virus akan berusaha mengirimkan dirinya pada setiap alamat yang ada pada address book aplikasi Outlook. Diwaktu yang hampir bersamaan, worm “KAK” tersebar dengan cara yang serupa.

2.7.8 Love Letter

Dibulan Mei 2000, lajunya penyebaran worm “LoveLetter” menunjukkan efektifitas serangan dengan metode social engineering, yang hingga saat ini sudah menjadi suatu kebiasaan suatu worm dalam penyebarannya.

E-mail yang berisi worm ini memiliki subjek “I Love You” yang berarti

“Saya Cinta Kamu” dan berisi pesan-pesan yang mendorong user untuk mengeksekusi attachment yang merupakan worm tersebut. File attachment berupa

Visual Basic Script yang bisa dieksekusi dengan Windows Script Host (bagian

dari Windows 98, Windows 2000, Internet Explorer 5, atau Outlook 5).

Ketika dieksekusi, LoveLetter menginstal dirinya ke dalam direktori Sistem Windows dan memodifikasi registry untuk memastikan bahwa worm akan aktif saat kompuer dihidupkan. Ketika komputer lainnya terinfeksi, dan jika aplikasi Outlook terinstal pada komputer tersebut, maka worm akan mengirimkan salinannya pada siapa saja yang ada pada address book aplikasi Outlook.

Sebagai tambahan worm akan membuat koneksi IRC dan mengirimkan salinan dirinya pada siapa saja yang brgabung pada saluran IRC tersebut. LoveLetter juga memilki kemampuan untuk mencuri password.

Dengan mengubah home page (alamat url yang akan diakses pertama kalinya) pada Internet Explorer ke suatu website di Asia, worm akan mengusahakan agar

suatu trojan horse di download dari website tersebut, dimana trojan horse tersebut akan mengumpulkan password e-mail dan mengirimkannya ke suatu alamat di Asia.

2.7.9 Hybris

Dibulan Oktober 2000, worm Hybris menyebar dengan e-mail

ber-attachment. Jika dieksekusi akan memodifikasi file WSOCK32.DLL dalam

rangka menjejaki semua lalu lintas ber-internet. Untuk setiap e-mail yang terkirim worm akan mengirimkan salinan dirinya ke alamat penerima yang sama. Yang menarik dari worm ini yaitu; bisa men-download file update untuk dirinya sendiri dari newsgroup “alt.comp.virus” metode yang digunakan termasuk canggih dan sangat berbahaya karena payloadworm tersebut bisa diubah kapan saja.

2.7.10 Anna Kournikova

Pada bulan Februari 2001, kembali sebuah worm mencemaskan para pengguna internet, yang memanfaatkan kepopuleran seorang petenis asal Rusia “Anna Kournikova”. Worm ini dibawa dalam suatu attachment e-mail yang menyatakan bahwa lampiran tersebut adalah file gambar dalam bentuk file jpg yang memuat foto pemain tenis tersebut. Apabila file tersebut dieksekusi maka akan mengirimkan salinan dirinya kepada setiap nama yang terdaftar pada buku alamat Microsoft Outlook.

2.7.11 Sadmind

Pada bulan Mei 2001, worm Sadmind menyebar dengan mentargetkan 2

vulnerability (kelemahan) pada 2 sistem operasi yang berbeda, dan menjadi

kombinasi. Pertama kali yang dilakukannya adalah meng-eksploitasi vulnerability

buffer overflow pada sistem operasi Sun Solaris, dan menginstal suatu program

agar bisa malakukan komunikasi dengan IIS webserver guna melakukan suatu serangan. Vulnerability ini kemudian diumumkan pada tanggal 18 Juni 2001, yang menunjuk sebagai vulnerability pada Index Server ISAPI.

2.7.12 Code Red

Memanfaatkan vulnerability pada Index Server ISAPI tersebut, pada tanggal 12 Juli 2001 muncul sebuah worm dengan nama “Code Red” yang menyerang semua IIS webserver, dengan aksi mengubah tampilan awal website pada server yang tertular.

Pertama kali worm menginstall dirinya pada sistem, membaca IP sistem dan dari IP tersebut worm menyusun 99 IP baru, kemudian melakukan pemeriksaan sistem operasi pada IP yang berhasil disusun. Jika worm menemukan sebuah IP target menggunakan sistem operasi Microsoft Windows maka worm akan meng-eksploitasi server target tersebut, dan melakukan deface (mengubah halaman awal suatu website) dengan tampilan “Welcome to the www.worm.com ! hacked by Chinese!.”

Berikutnya worm mencari file c:\notworm. Worm tidak akan menghentikan serangannya jika file tersebut tidak ditemukan. Pada tanggal 20 Juli worm akan melakukan serangan DOS (denial of service) pada server www.whitehouse.gov, kemudian pada tanggal 27 worm membuat dirinya dalam kondisi dormant (fase saat worm menjadi tidak aktif) secara permanent.

Tidak begitu lama pada tanggal 19 Juli 2001, muncul Code Red 1 yang merupakan versi kedua dari worm Code Red dengan penyebaran yang lebih cepat. Banyak perbaikan pada program worm sehingga mampu menginfeksi 359.000 unit komputer hanya dalam waktu 14 jam, seperti versi pertama worm ini juga membuat dirinya dalam kondisi dormant pada tanggal 20 Juli secara permanent.

Di bulan Agustus 2001, kembali Code Red muncul dengan versi berbeda “Code Red II”, muncul dengan payload yang sangat berbahaya. Worm ini masih memanfaatkan vulnerability yang sama dengan versi sebelumnya, sedikit perubahan pada program, worm ini akan membuat suatu trojan “explorer.exe” dan ditempatkan pada direktori root.

2.7.13 Nimda

Tanggal 18 September 2001, worm Nimda adalah worm yang termasuk paling banyak menginfeksi komputer di Indonesia, muncul dengan memuat payload yang sangat berbahaya dan menggunakan beragam cara dalam penyebarannya, pada 12 jam pertama saja worm ini sudah berhasil menginfeksi 450.000 unit komputer, dan dalam dua hari Nimda berhasil menginfeksi 2,2 juta komputer serta menyebabkan kerugian sebesar US$370 juta.

Walaupun worm ini tidak menggunakan metode baru dalam penyebarannya, tetapi dengan penggabungan beberapa metode dalam suatu worm, menunjukan adanya tingkatan baru atas kompleksitas yang tidak terlihat sebelumnya. Nimda melakukan penyebaran dengan mengirimkan salinan dirinya melalui e-mail dengan subjek random (acak) dan sebuah file attachment “readme.exe”.

Nimda memanfaatkan celah keamanan pada Internet Explorer dan Outlook Express 5.01 dan 5.5 Service Pack 1, dimana e-mail yang dikirimkan Nimda berupa halaman html yang memiliki body script tertentu dengan tujuan akan secara otomatis mengaktifkan file attachment walaupun e-mail tersebut hanya dilihat pada preview pane saja.

Bila komputer terinfeksi berada dalam suatu jaringan maka secara otomatis Nimda mencari direktori yang di sharing dari komputer lain dan memberikan hak tulis penuh (full access) kemudian membuat salinan dirinya ke dalam direktori-direktori tersebut, dengan mengambil nama file secara random pada daftar file yang ada pada komputer terinfeksi, dengan menggunkan eksensi EML atau NWS. Pada server yang terinfeksi, file-file halaman web akan disisipkan script baru yang secara otomatis mengakses file readme.eml saat halaman web tersebut terbuka. Dalam penyebarannya, Nimda juga memanfaatkan backdoor pada server yang terinfeksi Code Red 2 atau Sadmind. Banyaknya perubahan pada file sistem

dan registry membuat worm ini sulit untuk dibersihkan.

2.7.14 BadTrans.B

Pada bulan November 2001, BadTrans kembali beraksi setelah kemunculan perdananya pada tanggal 12 April 2001 dengan teknik yang lebih canggih dan bisa dikatakan sebagai era baru dalam social engineering.

BadTrans.B memeriksa direktori inbox pada aplikasi Outlook dengan mencari

e-mail yang belum dibuka oleh user, kemudian membalas e-mail tersebut dengan

Seperti Nimda, e-mail yang dikirimkan berupa halaman html dan secara otomatis mengaktifkan file attachment walaupun e-mail tersebut hanya dilihat pada preview pane saja. Pada proses pengiriman e-mail BadTrans.B menambahkan underscore (tanda garis bawah, “_”) disetiap awal alamat pengirim, sehingga apabila e-mail tersebut di-reply (balas) maka e-mail balasan tersebut tidak akan sampai pada alamatnya.

BadTrans.B akan menginstal suatu program trojan yang akan mencuri user name dan password kemudian mengirimkannya pada suatu alamat e-mail tertentu, dilaporkan worm ini mengakibatkan kerugian sebesar US$210 juta.

2.7.15 Slammer

Serangan worm Slammer dimulai pada tanggal 23 Januari 2003, worm yang hanya berukuran 369 byte ini menjadikan Slammer sebagai worm dengan ukuran terkecil yang pernah ada. Cara kerja worm ini hampir sama dengan CodeRed, dan tidak memodifikasi registry.

Slammer memanfaatkan vulnerability yang ditemukan oleh Next Generation Security Software limited pada bulan juli 2002 dimana dengan memanfaatkan vulnerability ini, penyerang dapat menguasai SQL Server dan kode pemrograman yang brhasil dimasukan akan berjalan sebagai sistem karena hak dari MS SQL Serer di dalam komputer adalah sistem. Worm ini bukan merupakan mass mailer dan hanya menyebarkan dirinya melalui scanning port 1434.

2.7.16 Bagle

Di minggu ketiga Januari 2004, sebuah worm yang disinyalir berasal dari Jerman ternyata sukses meraih peringkat pertama sebagai worm yang paling

banyak dihentikan. Worm yang kemudian diketahui bernama Bagle ini memiliki siklus hidup yang tergolong singkat, Bagle memasuki fase dormant secara permanent pada tanggal 28 Januari 2004 dan berusaha untuk menghapus file

launcher-nya.

Bagle memiliki ukuran file sebesar 15 KB, dan malakukan penyebaran dengan cara mengirimkan file infector melalui e-mail ber-attachment, dengan tujuan pengiriman yang dikoleksi dari file-file berekstensi txt, htm, dan wab pada sistem lokal.

Saat file infector dieksekusi, Bagle membuat salinan fileworm pada direktori sistem Windows, kemudian memanipulasi registry agar worm tereksekusi setiap kali Windows starup.

2.7.17 Netsky

Tidak begitu lama setelah kemunculan worm Bagle, sebuah worm lainnya menyebar dengan kecepatan yang lebih tinggi. Worm Netsky melakukan penyebaran dengan cara yang sama seperti yang dilakukan worm Bagle, hanya saja Netsky memiliki beberapa rutin yang memungkinkan dirinya dapat melakukan penyebaran dengan menggunakan media aplikasi peer to peer.

Netsky mengirimkan salinan dirinya melalui sebuah e-mail ber-attachment dan dalam bentuk file terkompresi. File worm berukuran sebesar 22 KB dan menggunakan icon yang disamarkan sehingga terlihat sebagai sebuah file dokomen Microsoft Word.

Saat file infector dieksekusi Netsky membuat salinan fileworm pada direktori Windows dengan nama file ‘services.exe’, kemudian memanipulasi beberapa nilai

registry yang bertujuan agar worm dapat tereksekusi setiap kali Windows startup.

2.8 Perkembangan Worm Lokal

Berikut ini beberapa catatan singkat tenatang worm lokal yang pernah ada dan dibuat oleh wormwriter asal Indonesia.

2.8.1 I-Worm Perkasa

Pada tanggal 6 Desember 2001 muncul sebuah worm lokal. Worm yang terkompresi dengan UPX ini memiliki ukuran sebesar 12,288 KB dan dibuat dengan menggunakan program Visual Basic.

Worm yang juga disebut dengan nama I-Worm.Imelda atau I-Worm Updater ini menggunakan media Microsoft Outlook dalam penyebarannya, saat file

infector dieksekusi, worm ini meng-copy dirinya ke direktori Windows dengan

nama ‘UPDATE.EXE’, kemudian menambahkan suatu nilai registry pada sub key ‘Run’ agar worm ini tetap aktif saat Windows Startup.

2.8.2 Pesin

Worm lokal lainnya muncul dipertengahan bulan September 2003 dengan menggunakan icon Microsoft Word. Worm yang terkompresi dengan ASPack ini juga sering dipanggil dengan sebutan Kenangan, Puisi Cinta, Halo, Mistery atau Myheart. Hal ini disebabkan karena worm Pesin menggunakan nama-nama tersebut sebagai nama dari file infector.

Worm Pesin menggunakan media disket dalam proses penyebaran, hal ini sangat efektif mengingat penggunaan disket masih sangat diminati oleh pengguna komputer di Indonesia.

Saat file infector dieksekusi, worm ini meng-copy dirinya ke direktori Windows dengan nama ‘Systask.exe’. Pesin juga membuat salinan pada direktori My Documents dengan nama file ‘MyHeart.exe’ kemudian menambahkan suatu nilai registry pada sub key ‘Run’ agar worm ini tetap aktif saat Windows startup, yang menarik dari worm ini adalah worm akan menonaktifkan program Registry Editor jika user berusaha untuk menjalankannya.

2.8.3 Tabaru

Pada awal Januari 2005 kembali diketahui sebuah worm lokal yang membawa-bawa nama pembawa acara Jejak Petualang di TV7 yaitu Riyanni Djangkaru. Worm ini memiliki ukuran file sebesar 40 KB dengan icon yang disamarkan sehingga terlihat seperti file jpg.

Saat file infector dieksekusi, worm membuat dua file, yaitu file ‘xpshare.exe’ pada direktori ‘C:\!submit’ dan file ‘riyani_jangkaru.exe’ pada root direktori ‘C:\’, kemudian menambahkan value ‘winloader’ pada registry Run yang akan mengaktifkan worm setiap Windows startup. Hanya saja worm ini baru banyak dikenal pada pertengahan Juli 2005.

2.8.4 Kangen

Pada pertengahan April 2005, suatu worm lokal kembali meresahkan pengguna komputer, dengan berbekal refrain lagu Kangen (Dewa 19) worm ini sukses menginfeksi ratusan komputer di Indonesia. Seperti worm lokal terdahulu,

Kangen juga dibuat dengan Visual Basic, menggunakan icon Microsoft Word dan melakukan penyebaran lewat disket, anehnya worm satu ini sama sekali tidak dikompresi.

Saat file infector dieksekusi worm ini meng-copy dirinya ke direktori sistem Windows dengan nama ‘CCAPPS.EXE’ dengan ukuran file sebesar 64 KB, yang menarik dari worm ini adalah worm akan berusaha menonaktifkan program Task Manager, MS Config dan Registry Editor. Saat buku ini ditulis worm Kangen sudah mencapai varian M.

2.8.5 Kumis

Diawal bulan Juli 2005, seorang worm writer yang konon terinpirasi oleh seorang dosennya yang berkumis tebal membuat worm yang kemudian disebut dengan worm Kumis. Worm ini berukuran sebesar 76 KB dan dikhususkan untuk sistem operasi Windows XP dan Windows Server 2003.

Saat file infector dieksekusi worm ini membuat salinan dirinya ke direktori sistem Windows dengan nama ‘username logon.exe’ dimana username adalah nama user aktif, kemudian memanipulasi registry agar worm tetap aktif. Menariknya, worm kumis ini akan me-restart kompuer setiap kali Windows startup.

2.8.6 Decoil

Worm Decoil yang juga sering disebut Decoy ini muncul di penghujung tahun 2005, worm lokal ini menyembunyikan file dokumen Microsoft Word dan membuat salinan dengan nama yang persis dengan nama file yang disembunyikan.

Saat file infector dieksekusi, worm ini meng-copy dirinya ke direktori Windows dengan nama ‘Iexplorer.exe’, pada direktori sistem Windows dan sub direktori ‘\i75-d2’ dengan nama file ‘dkernel.exe’. Decoy tergolong worm dengan ukuran yang sangat besar yaitu sebesar 154 KB (besar file ini detelah dikompres dengan UPX).

2.8.7 Rontokbro

Diawal bulan Oktober 2005, pengguna komputer di Indonesia kembali dikejutkan oleh sebuah worm lokal yang sudah menggunakan smtp sendiri dalam mengirimkan file infector-nya dan selektif dalam pemilihan alamat e-mail target.

Worm yang diisukan sebagai worm lokal ter-anyar yang pernah ada ini ternyata dibuatu dalam bahasa Visual Basic, RontokBro juga memblokir aplikasi Registry Editor dan memonitor caption pada aplikasi browser, jika suatu string tertentu ditemukan oleh RontokBro maka komputer akan di-restart secara otomatis.

2.8.8 Nobron

Tidak begitu lama setelah kemunculan RontokBro, worm yang kemudian dikenalai dengan nama W32/Nobron.A@mm oleh Norman Virus Control ini berusaha untuk membersihkan sistem dari worm RontokBro, Nobron memiliki ukuran file sebesar 84 KB. Worm juga berusaha untuk menonaktifkan aplikasi Registry Editor, MS Config, Tas Manager dan CMD.

2.8.9 Runitis

Pada akhir bulan Nopember 2005, kembali diketahui sebuah worm lokal dengan ukuran file sebesar 164 KB dan telah dikompres dengan aplikasi ASPack.

Worm ini menggunakan nama yang diambil dari nama seorang penyanyi dari Malaysia yaitu Siti Nurhaliza (Runitis jika dibaca terbalik menjadi Sitinur).

Runitis menggunakan icon Internet Explorer dalam penyebarannya. Worm ini menghapus file program regedit.exe (Registry Editor), msconfig.exe (MS Config), wmplayer.exe (Windows Media Player), winamp.exe dan wnampa.exe (Winamp) serta beberapa file program lainnya kemudian membuat salinan dirinya dengan nama dan letak yang sama, sehingga user malah akan menjalankan worm apabila mengeksekusi aplikasi-aplikasi tersebut.

2.8.10 Bluefantasy

Di akhir bulan Januari 2006, sebuah worm lokal bernama BlueFantasy ikut berlomba dengan worm lainnya, walaupun worm yang berukuran 64 KB ini tidak melewati proses enkripsi dan kompresi namun BlueFantasy mempertahankan ciri khas worm komputer yang membuatu banyak salinan, dengan cara memonitor direktori aktif dan membuat salinan pada direktori tersebut.

Saat file infector dieksekusi BlueFantasy meng-copy dirinya ke direktori sistem Windows dengan nama file ‘Win32.com’ dan menggunakan atribut

Hidden, selain itu worm juga membuat salinan pada direktori Desktop, My

Documents dan StartUp. Kemudian worm memanipulasi suatu nilai registry yang akan membuat file worm tetap tereksekusi saat Windows startup, dan membuat tipe file executable seperti exe dan scr akan terlihat sebagai aplikasi Microsoft Word.

2.9 Diagram Arus Data (Data Flow Diagram)

DFD atau singkatan dari Data Flow Diagram merupakan representasi grafik dari suatu sistem yang menunjukan proses atau fungsi, aliran data, tempat penyimpan data dan entitas eksternal. DFD juga digunakan untuk menggambarkan suatu sistem yang telah ada atau sistem baru yang akan dikembangkan. Dengan menggunakan DFD, rancangan yang akan kita buat akan lebih terarah dan lebih rinci. Sehingga kita tidak akan mengalami kesulitan dalam melakukan perancangan. Data flow diagram memiliki empat komponen, antara lain akan dijelaskan dibawah ini. [6]

1. Terminator (external exitity)

Terminator mewakili entity external yang berkomunikasi dengan sistem yang

sedang dikembangkan. Terminator merupakan kesatuan dilingkungan sistem. Biasanya terminator ini dikenal dengan nama entitas (external) sumber atau tujuan (source dan sink). Terminator dapat juga berupa departemen, divisi atau sistem diluar sistem yang berkomunkasi dengan sistem yang dikembangkan.

2. Proses

Proses sering dikenal dengan nama Bubble, fungsi atau informasi. Komponen proses menggambarkan bagian dari sistem yang mentransformasikan input ke

output, atau dapat dikatakan bahwa komponen proses menggambarkan

transformasi satu input atau lebih menjadi output. Setiap proses harus diberikan penjelasan yang lengkap sebagai berikut :

a. Identifikasi Proses

umunya berupa angka yang menunjukan nomor dari proses atau ditulis pada bagian atas simbol proses.

b. Nama Proses

Menunjukan apa yang dikerjakan oleh proses tersebut. Nama proses harus jelas dan lengkap menggambarkan bagian prosesnya nama proses diletakan dibawah identifikasi proses.

3. Penyimpanan data (data store)

Data store digunakan sebagai sarana untuk mengumpulkan data. Data store

disimbolkan dengan dua garis horizontal yang paralel dimana tertutup pada salah satu ujungnya atau dua garis horizontal saja. Data store ini biasanya berkaitan dengan penyimpanan-pemyimpanan seperti file atau database yang berkaitan dengan penyimpanan secara komputerisasi, contohnya file pita magnetic, file disket atau file harddisk. Data store juga berkaitan dengan pemyimpanan data.

4. Alur Data (Data Flow)

Suatu data flow atau alur data dapat dipresentasikan dengan anak panah yang menunjukan arah menuju ke dan keluar dari suatu proses. Alur data ini digunakan untuk menerangkan perpindahan data atau satu paket data atau informasi dari suatu bagian sistem ke bagian lainnya. Selain menunjukan arah, alur data pada model yang dibuat dapat merepresentasikan bit, karakter, pesan, formulir, bilangan real dan macam-macam informasi yang berkaitan dengan komputer.

Ada tiga tipe DFD, yaitu context diagram (diagram konteks), data flow

diagram fisik, dan data flow diagram logika. [6]

2.10 Diagram Konteks

Diagram Konteks adalah bagian dari DFD yang berfungsi memetakan model model lingkungan, yang dipresentasikan dengan lingkaran tunggal yang mewakili keseluruhan sistem. Diagram ini adalah diagram level tertinggi dari DFD. Diagram konteks menyoroti sejumlah karateristik penting sistem, yaitu : 1. Kelompok Pemakai, organisasi atau sistem lain dimana sistem melakukan

komunikasi (sebagai terminator).

2. Data Masuk, yaitu data yang diterima sistem dari lingkungan dan harus diproses dengan cara tertentu.

3. Data Keluar, yaitu data yang dihasilkan sistem dan diberikan kedunia luar. 4. Penyimpanan Data (storage), yaitu digunakan secara bersama antara sistem

dengan terminator. Data ini dapat dibuat oleh sistem dan digunakan oleh lingkungan atau sebaliknya dibuat oleh lingkungan dan digunkan oleh sistem. Hal ini berarti pembuatn simbol data storage dalam diagram konteks dibenarkan, dengan syarat simbol tersebut merupakan bagian dari dunia diluar sistem.

5. Batasan, antara sistem dan lingkungan. 2.11 Data Flow Diagram Fisik

Data flow diagram fisik adalah representasi dari sebuah sistem yang

menunjukan entitas-entitas internal dan eksternal dari sistem tersebut,

mentransformasi data. Maka data flow diagram fisik tidak menunjukkan apa yang dilakukan, tetapi menunjukan dimana, bagaimana, dan siapa proses-proses dalam sebuah sistem dilakukan.

2.12 Data Flow Diagram Logika

Data flow diagram logika digunakan untuk menggambarkan sistem yang

akan diusulkan (sistem yang baru). Data flow diagram logika tidak menekankan pada bagaimana sistem diterapkan, tetapi penekanannya hanya pada logika pada kebutuhan-kebutuhan sistem, yaitu proses-proses apa secara logika yang dibutuhakan oleh sistem.

2.13 Jaringan Semantik

Model jaringan sematik merupakan grafik, yang terdiri dari simpul-simpul yang merepresentasikan objek fisik atau objek konsep, dan busur-busur yang menunjukan relasi antara simpul-simpul tersebut. Jaringan semantik merupakan alat efektif untuk merepresentasikan pemetaan data, yang bertujuan mencegah terjadinya duplikasi data. [2]

2.14 MS. Visual Basic 6.0

BASIC, adalah singkatan dari Beginners’ All-purpose Symbolic Instruction Code adalah sebuah kelompok bahasa pemrograman tingkat tinggi. Secara harfiah, BASIC memiliki arti "kode instruksi simbolis semua tujuan yang dapat digunakan oleh para pemula". Memang, istilah "Bahasa BASIC" di sini juga bisa diartikan menjadi bahasa untuk pemula, atau dengan kata lain, disebut sebagai bahasa dasar, tapi hal tersebut dirasa kurang tepat, mengingat BASIC dapat juga digunakan oleh para pemrogram ahli.

BASIC pertama kali dikembangkan pada tahun 1963 oleh John George Kemeny dan Thomas Eugene Kurtz yang berasal dari Dartmouth Collage, untuk mengizinkan akses terhadap komputer bagi para mahasiswa jurusan selain jurusan ilmu eksakta. Pada waktu itu, hampir semua komputer membutuhkan perangkat lunak, dan waktu itu belum ada perangkat lunak yang dijual secara bebas, sehingga hanya orang-orang tertentulah yang dapat menggunakan komputer, yakni para matematikawan dan ilmuwan, karena mereka dapat membangun perangkat lunak sendiri. Bahasa BASIC, setelah diciptakan menjadi menjamur dan banyak dimodifikasi. Bahasa BASIC menjadi bahasa yang paling populer digunakan pada komputer mikro pada akhir tahun 1970-an dan komputer rumahan pada tahun 1980-an. Dan hingga saat ini, menjadi bahasa yang dialeknya beberapa kali berevolusi.

Bill Gates, pendiri Microsoft, memulai bisnis softwarenya dengan mengembangkan interpreter bahasa Basic untuk Altair 8800, untuk kemudian ia ubah agar dapat berjalan di atas IBM PC dengan sistem operasi DOS. Perkembangan berikutnya ialah diluncurkannya BASICA (basic-advanced) untuk DOS. Setelah BASICA, Microsoft meluncurkan Microsoft QuickBasic dan Microsoft Basic (dikenal juga sebagai Basic Compiler).

Sejarah BASIC di tangan Microsoft sebagai bahasa yang diinterpretasi (BASICA) dan juga bahasa yang dikompilasi (BASCOM) membuat Visual Basic diimplementasikan sebagai gabungan keduanya.

Programmer yang menggunakan Visual Basic bisa memilih kode terkompilasi atau kode yang harus diinterpretasi sebagai hasil executable dari

kode VB. Sayangnya, meskipun sudah terkompilasi jadi bahasa mesin, DLL bernama MSVBVMxx.DLL tetap dibutuhkan. Namun karakteristik bahasa terkompilasi tetap muncul (ia lebih cepat dari kalau kita pakai mode terinterpretasi).

Microsoft Visual Basic (sering disingkat sebagai VB saja) merupakan sebuah bahasa pemrograman yang bersifat event driven dan menawarkan Integrated Development Environment (IDE) visual untuk membuat program aplikasi berbasis sistem operasi Microsoft Windows dengan menggunakan model pemrograman Common Object Model (COM). Visual Basic merupakan turunan bahasa BASIC dan menawarkan pengembangan aplikasi komputer berbasis grafik dengan cepat, akses ke basis data menggunakan Data Access Objects (DAO), Remote Data Objects (RDO), atau ActiveX Data Object (ADO), serta menawarkan pembuatan kontrol ActiveX dan objek ActiveX. Beberapa bahasa skrip seperti Visual Basic for Applications (VBA) dan Visual Basic Scripting Edition (VBScript), mirip seperti halnya Visual Basic, tetapi cara kerjanya yang berbeda.

Para programmer dapat membangun aplikasi dengan menggunakan komponen-komponen yang disediakan oleh Microsoft Visual Basic Program-program yang ditulis dengan Visual Basic juga dapat menggunakan Windows API, tapi membutuhkan deklarasi fungsi eksternal tambahan.

Dalam pemrograman untuk bisnis, Visual Basic memiliki pangsa pasar yang sangat luas. Dalam sebuah survey yang dilakukan pada tahun 2005, 62%

pengembang perangkat lunak dilaporkan menggunakan berbagai bentuk Visual Basic, yang diikuti oleh C++, JavaScript, C#, dan Java.

Visual Basic merupakan bahasa yang mendukung OOP, namun tidak sepenuhnya. Beberapa karakteristik objek tidak dapat dilakukan pada Visual Basic, seperti Inheritance tidak dapat dilakukan pada class module. Polymorphism secara terbatas bisa dilakukan dengan mendeklarasikan class module yang memiliki Interface tertentu. Visual Basic (VB) tidak bersifat case sensitif.

Gambar 4.4 Tampilan Menu Info Worm

Gambar 4.5 Tampilan Sub Menu Chart

Gambar 4.6 Tampilan Menu About

3.

HASIL DAN DISKUSI

3.1 Fasilitas Aplikasi

Aplikasi yang dibangun mempunyai kemampuan sebagai berikut:

1. Menerapkan dua metode yaitu file name scanning dan string scanning.

2. Dapat mendeteksi keberadaan worm pada suatu system computer (known worm). 3. Dapat menghapus worm yang terdeteksi. 4. Mengetahui performansi dari setiap metode dengan parameter waktu dan ketepatan hasil deteksi.

3.2 Perangkat Lunak

Aplikasi ini akan berjalan normal pada spesifikasi software sebagai berikut :

a. Sistem Operasi Windows

4.

KESIMPULAN DAN SARAN

4.1 Kesimpulan

1. Aplikasi Pendeteksian Worm ini dibangun sudah mengimplementasikan dua metode yaitu File Name Scanning dan String Scanning pada aplikasi infector file removal.

2. Aplikasi Pendeteksian Worm ini dengan menggunakan dua metode yaitu File Name Scanning dan String Scanning pada aplikasi infector file removal telah mengidentifikasi file worm pada sistem komputer.

3. Aplikasi Pendeteksian Worm ini dengan menggunakan dua metode yaitu File Name Scanning dan String Scanning pada aplikasi infector file removal telah mampu menghapus file worm pada sistem komputer.

4. Perbandingan yang dilakukan terhadap dua metode menunjukan bahwa kedua metode memiliki kesamaan waktu deteksi dan keakuratan dari masing-masing metode adalah sama.

4.2 Saran

1. Teknologi scanning yang digunakan memudahkan untuk proses pendeteksian worm pada sistem komputer oleh siapa saja. Oleh karena itu, masalah keamanan harus selalu diperhatikan agar sistem dapat tetap terjaga dari pihak lain yang tidak berkepentingan, terlebih keamanan aplikasi pendeteksian ini.

2. Program aplikasi yang sudah dibangun hanya dapat mendeteksi worm yang sudah diketahui.

3. Data uji untuk kedua metode masih sangat minim. Jadi sangat dianjurkan untuk dikembangkan data uji yang lebih baik lagi.

5.

DAFTAR PUSTAKA

[1]. Achmad Dharmal, (2006), Computer Worm 1, Jasakom, Jakarta.

[2]. Achmad Dharmal, (2006), Computer Worm 2, Jasakom, Jakarta.

[3]. Ilham Perdana, (2008), Petunjuk Penulisan Ilmiah, Perumusan Masalah, Pengumpulan Data Penelitian, Petunjuk Tata Tulis Ilmiah, Handout Metodologi Penelitian.

[4]. Wikipedia. (03 May 2009), Visual Basic 6.0, www.wikipedia.org/id

[5]. Wikipedia. (03 May 2009), BASIC, www.wikipedia.org/id

[6]. Indoskripsi. (03 May 2009), Worms, www.indoskripsi.com

[7]. Vbtutor. (03 May 2009), Visual Basic 6.0, www.vbtutor.net

[8]. Vb-bego. (03 May 2009), Visual Basic 6.0, www.vb-bego.com

COMPARISON OF TWO METHODS

FILE NAME SCANNING AND STRING SCANNING

ON COMPUTER WORM DETECTION

Mario Florentino Makang

Jurusan Teknik Informatika, Fakultas Teknik dan Ilmu Komputer, Universitas Komputer Indonrsia Jln. Dipati Ukur No.112 Bandung 40132

marioflorentinomakang@yahoo.co.id

ABSTRACT

The many types of malware (malicious software) that are on the computer and the

impact of malware is very harmful for the computer user. One type of malware is

a worm.

Like other malware or Trojan viruses and the like, the worm has a

destructive force that can be very good for injure personal users and users in a

large capacity (up to the internet network).

To overcome this there are two methods that can be done to detect the

presence of a computer worm. The scan method File Name Scanning and String

Scanning. Where the first method oriented to the name of a file-oriented and the

second row in the hex string to the detection (scan) on a worm file.

The purpose of this final task is to implement both methods, and also to

test with some test parameters, to determine which method is more optimal

detection of doing the worm file.

Tools used to build this application is MS. VB 6.0. Helper tools used is

HxDen (decimal hex editor).

Results to be achieved from this aplication is only to be able to detect the

worm files which will be tested is to know thye time and accuracy in detecting the

worm file.

This application has been successfully tested two methods above. In

addition to detecting the presence of the worm files, can also be advantages and

disadvantages of the test parameters. So that could be useful to the user in

performing the detection and also can find out where the best method or the same

between the two methods.

Keywords

:

File Name Scanning

,

String Scanning

.

1.

INTRODUCTION

1.1 Latar Belakang

Computers are machines whose development over time has progressed very rapidly. The function of the computer itself is to process the data, where data here is something that does not have meaning for the recipient and still requires the existence of a treatment. Data can form a state, images,

sounds, letters, numbers, language or other symbols that we can use as an ingredient to view a situation.

Information processing is the result of a model, formation, organization, or a change in the form of data that has a particular value, and can be used to increase the knowledge of the accepted. In this case, the data can be considered as an object and information is a subject that will benefit the recipient. Information can also be called as a result of processing or data processing.

So that we can see that the main function of a computer is processing the data mentioned above into a useful information or useful to recipients.

But in computer development can not be separated from a crime against a computer program. One of the crimes in the worm program. Computer worm can cause a very serious impact and harm. An example of a slow computer, disk drive accessible on a regular basis, changing the computer configuration and so forth.

Based on the above, to anticipate developments and the increasing number of worms, then needed a program that can detect and remove malicious programs that. and the comparison between both methods.

1.2 Problem Identification

How to build COMPARISON OF TWO METHODS FILE NAME SCANNING

AND STRING SCANNING ON

COMPUTER WORM DETECTION.

1.3

Objectives

From the background described the writer intended to build application programs Application Development detection Computer Worm With File Name Scanning Method And String Scanning.

While objectives to be achieved in this research are:

1. Implement methods Scanning and File Name String Scanning in the application file infector removal.

2. Detecting file infector worm on the computer.

3. Deleting a file infector worm from your computer system.

4. Knowing performance based on the time taken by each method.

5. Knowing the accuracy of each method in terms of the worm file search.

6. Can find out which method both in terms of time and worms file search results.

1.4 Benefits

The benefits of this application development include:

1 Detecting file infector worm on the computer.

2 Delete the file infector worm from your computer system.

3 Knowing performance based on the time taken by each method.

4 Knowing the accuracy of each method in terms of the worm file search.

5. Where can find a good method in terms of time and worms file search results.

2.

MODEL, ANALYSIS, DESIGN

AND IMPLEMENTATION

2.1 Model

1.Data collection phase a. Studies Library. b. Observation.

2. Stage of software creation.

a. Requirements analysis and definition b. System and software design

c. Implementation and unit testing d. Integration and system testing e. Operation and maintenance

2.2 Analisis Masalah

Analysis system can be defined as the decomposition of a complete information system into its component parts to identify the problems and obstacles that can be proposed to the needs repairs. Analysis phase is the most critical stage and is very important, because errors in this stage will cause an error also in the next stage. Analysis of this system are obtained through the observation will be found some data and facts that will be used as test material and the analysis to the application and development of an application of the proposed system.

2.3 Design

1. Diagram Konteks

Picture 3.7 Diagram Konteks Aplikasi Pendeteksian Worm

2. DFD Level 0

Picture 3.8 DFD Level 0 3. Struktur Menu

Picture 3.15 Struktur Menu Aplikasi

2.4 Implementasi

The software used on computer systems used to build applications on the computer worm detection is as follows: 1. Operating System Windows XP

Professional SP 2. 2. Visual Basic 6.0.

Minimum requirements for hardware (hardware) needed to implement programs created application is a PC computer hardware is compatible with the specifications mentioned below.

Minimum needs are:

1. Processor : CPU Minimum 1.0 GHZ 2. Memory : Minimum 512MB RAM 3. Hardisk : Minimum 20 GB 4. VGA : Minimum 32 MB

Picture 4.1 Tampilan Menu Awal

Picture 4.2 Tampilan Sub Menu File

Picture 4.3 Tampilan Menu Scan

Picture 4.5 Tampilan Sub Menu Chart

Picture 4.6 Tampilan Menu About

3.

RESULTS AND DISCUSSION

3.1 Facilities Applications

Applications are built has the following capabilities:

1. Applying the two methods of scanning the file name and string scanning.

2. Can detect the presence of worms in a computer system (known worm).

3. Can remove detected worm.

4. Knowing the performance of each method with the parameters of time and accuracy of detection.

3.2 Software

This application will run normally on

the software specification as follows:

a.

Sistem Operasi Windows

4.

CONCLUSION AND

SUGGESTIONS

4.1 CONCLUSION

1. This worm detection applications built has implemented two methods of

Scanning and File Name String Scanning in the application file infector removal. 2. This worm detection applications using

two methods of Scanning and File Name String Scanning in the application file infector removal has identified the worm file on the computer system.

3. This worm detection applications using two methods of Scanning and File Name String Scanning in the application file infector removal has been able to delete the worm file on the computer system. 4. Comparisons are made to the two

methods shows that both methods have the same detection time and accuracy of each method is the same.

4.2 SUGGESTIONS

1. Used scanning technology allows for the detection of worms on the computer system by anyone. Therefore, security issues must be kept in mind for the system to stay awake from other parties who are not interested, especially the security of this detection applications. 2. Programs that have built applications can

only detect known worms.

3. Test data for both methods were very minimal. So highly recommended to develop test data better.

5.

REFERENCES

[1]. Achmad Dharmal, (2006), Computer Worm 1, Jasakom, Jakarta.

[2]. Achmad Dharmal, (2006), Computer Worm 2, Jasakom, Jakarta.

[3]. Ilham Perdana, (2008), Petunjuk Penulisan Ilmiah, Perumusan Masalah, Pengumpulan Data Penelitian, Petunjuk Tata Tulis Ilmiah, Handout Metodologi Penelitian.

[4]. Wikipedia. (03 May 2009), Visual Basic 6.0, www.wikipedia.org/id

[5]. Wikipedia. (03 May 2009), BASIC, www.wikipedia.org/id

[6]. Indoskripsi. (03 May 2009), Worms, www.indoskripsi.com

[7]. Vbtutor. (03 May 2009), Visual Basic 6.0, www.vbtutor.net

[8]. Vb-bego. (03 May 2009), Visual Basic 6.0, www.vb-bego.com