Computer Worm 1 - Secret of Underground Coding _© Hak Cipta 2006 pada penulis

Hak Cipta dilindungi Undang-Undang. Dilarang memperbanyak atau memindahkan

sebagian atau seluruh isi buku ini dalam bentuk apapun, baik secara elektronis maupun

mekanis, termasuk memfotocopy, merekam atau dengan sistem penyimpanan lainnya,

tanpa izin tertulis dari Penulis dan Penerbit.

  I S B N 9 7 9 - 1 0 9 0 - 0 1 - 7

  Cetakan pertama : Juli 2006

  Publisher Address Jasakom PO BOX 6179 JKB

  Web Site http://www.jasakom.com/penerbitan

  Email admin@jasakom.com Ketentuan pidana pasal 72 UU No. 19 tahun 2002

_{2. Barang siapa dengan sengaja menyiarkan, memamerkan, mengedarkan, atau menjual kepada umum suatu}

_{1. Barang siapa dengan sengaja dan tanpa hak melakukan kegiatan sebagaimana dimaksud dalam pasal 2 ayat}

_{atau denda paling banyak Rp. 5.000.000.000.00 (lima miliar rupiah).}

_{denda paling sedikit Rp. 1.000.000 (satu juta rupiah) atau pidana penjara paling lama 7 (tujuh) tahun dan/}

_{(1) atau pasal 49 ayat (1) dan ayat (2) dipidana dengan pidana penjara paling singkat 1 (satu) bulan dan/atau}

_{(lima ratus juta rupiah)}

_{dana dengan pidana penjara paling lama 5 (lima) tahun dan/atau denda paling banyak Rp. 500.000.000,00}

Ciptaan atau barang hasil pelanggaran Hak Cipta atau Hak Terkait sebagaimana dimaksud pada ayat (1), dipi-

  Computer Worm 1 Secret of Underground Coding

  

I S I C D P E N D U K U N G

  Buku ini disertai dengan sebuah CD pendukung yang berisi film tutorial sehingga pembaca bukan saja hanya membaca buku tetapi juga bisa melihat langsung teknik pembuatan suatu worm komputer, kemudian kumpulan source code / listing code yang digunakan pada buku dan beberapa program pendukung sebagai berikut:

  DEMOWARE

  VM Ware

  55.9 MB Virtual PC

  17.1 MB DeepFreeze

  2.06 MB ShadowUser

  7.80 MB ASPack 297 KB UltraEdit

1.69 MB

  FREEWARE A Squared HijackFree 497 KB CXUPX 419 KB Darmal’s Packer 730 KB DOS 7.10 765 KB DropFile Script Generator 21.5 KB HHD Hex Editor

  2.07 MB Icon Sucker Std 658 KB KillBox 67,5 KB Petite 117 KB Process Explorer

  1.24 MB Registrar Lite

  2.28 MB Resource Hacker

  1.32 MB UPX 1.25 163 KB UPX Mutanter

  38.9 KB UPX Scrambler

  17.5 KB UPX Windows GUI 199 KB

KATA PENGANTAR

  Puji syukur ke hadirat Allah SWT, atas berkat dan rahmat-Nya pula sehingga penulis dapat menyelesaikan penulisan buku: Computer

  Worm ini dengan baik. Hingga buku ini selesai ditulis, penulis belum

  mendapatkan adanya buku yang khusus membahas mengenai worm komputer baik dengan mengunjungi ke toko-toko buku secara langsung maupun berkunjung secara online. Sedangkan hal ini sangat penting sekali, terlebih pada saat buku ini disusun dimana perkembangan dan tingkat penyebaran worm lokal di Indonesia sangat tinggi dan cende- rung semakin mengganas.

  Ironisnya banyak sekali pengguna komputer yang tidak mengerti per- bedaan antara worm dan virus, sehingga worm seringkali diasumsikan sebagai suatu virus komputer dan banyak pula yang berasumsi bahwa worm merupakan suatu sub-class dari virus komputer, memang suatu kesalahan umum sehingga penulispun terkadang menggunakan istilah ini , lagipula penulis tidak berminat menjelaskan arti worm komputer (yang akan berbuntut dengan penjelasan panjang lebar tentang per- bedaannya dengan virus komputer) setiap kali penulis menyebutkan istilah worm komputer , penulis berpendapat momen inilah yang paling tepat untuk menjelaskannya kepada pembaca semua.

  orm 1 - Secret of Underground Coding

  Buku ini bertujuan untuk menjelaskan kepada para pembaca, apa sesungguhnya worm komputer itu, apa perbedaanya dengan virus komputer, dan bagaimana worm tersebut diprogram. Buku ini tidak hanya membahas tentang worm komputer saja, tetapi juga memuat beberapa materi standar yang harus diketahui dalam rangka membuat atau memerangi suatu worm komputer. Penulis berharap buku ini dapat menambah pengetahuan bagi penggemar TI, system administrator atau siapa saja yang selalu menggunakan komputer, dan bukan untuk mengajari hal-hal negatif kepada para pemula, tapi seba- Computer W Computer W

  liknya memberi kesadaran kepada mereka yang senantiasa melakukan hal-hal negatif untuk menghentikan tindakan negatif tersebut, lebih baik lagi apabila mereka juga memberi kontribusi untuk menghentikan perkembangan worm komputer dan malcode lainnya di bumi pertiwi ini. Membahas pembuatan suatu worm memerlukan pengertian akan tanggung jawab moral yang besar, karena worm komputer dapat menimbulkan dampak yang sangat fatal dan merugikan maka penulis sangat mengharapkan kebaikan moral para pembaca, selain itu penulis tidak bertanggung jawab apabila ada penyalahgunaan atas informasi,

  orm 1 - Secret of Underground Coding script atau program-program yang disertakan bersama buku ini.

  Dalam kesempatan ini, penulis mengucapkan terima kasih kepada kedua orang tua penulis, seluruh dosen POLNES (Politeknik Negeri Samarinda) khususnya untuk Bapak Ruslan Ardi dan Bapak Arkas Viddy, kemudian salam penulis untuk alumni SMK Negeri 1 Tarakan angkatan 95 – 98, dan alumni POLNES angkatan 98 – 2001, salam juga untuk teman-teman di AMIK PPKIA Tarakan. Tidak lupa pula penulis mengucapkan terima kasih kepada penerbit Jasakom yang berkenan menerbitkan buku ini, special thank’s buat S’to yang sudah banyak membantu dalam proses pembentukan buku.

  Akhir kata penulis penulis menyadari adanya kekurangan-kekurangan pada buku ini, maka dengan tidak merendahkan diri, penulis meng- harapkan kritik dan saran yang bersifat membangun, untuk itu silah- kan kirim e-mail Anda ke alamat e-mail penulis di: achmad_darmal@ yahoo.com.sg, dengan subjek: worm komputer (untuk menghindari spam mail, penulis membuat agar e-mail dengan subjek lain akan segera dihapus secara otomatis).

  "Dengan mengetahui, mengerti dan menguasai teknik pembuatan suatu virus, worm atau malcode lainnya, sesungguhnya sudah tidak dibutuhkan tutorial lain untuk memeranginya."

BAB 1 PENDAHULUAN

2.4 SIKLUS HIDUP WORM

  Computer W orm 1 - Secret of Underground Coding Daftar Isi

  13

  11

  12

  2.5.1 CHRISTMA EXEC

  12

  2.5.2 MORRIS

  12

  2.5.3 HAPPY99

  13

  2.5.4 MELISA

  14

  2.5.5 PRETTY PARK

  11

  2.5.6 EXPLORE ZIP

  14

  2.5.7 BUBBLE BOY

  15

  2.5.8 LOVE LETTER

  16

  2.5.9 HYBRIS

  16

  2.4.4 EXECUTION PHASE ( FASE EKSEKUSI )

  2.4.3 TRIGERRING PHASE ( FASE AKTIF )

  KATA PENGANTAR v

  2.3.2 KEMAMPUAN REKAYASA SOSIAL

  1 BAB 2 MENGENAL WORM

  5

  2.1 ASAL MULA WORM KOMPUTER

  6

  2.2 PERBEDAAN WORM DAN VIRUS

  8

  2.3 KEMAMPUAN DASAR WORM

  9

  2.3.1 KEMAMPUAN REPRODUKSI DAN DISTRIBUSI

  9

  9

  11

  2.3.3 KEMAMPUAN MENYEMBUNYIKAN DIRI

  10

  2.3.4 KEMAMPUAN MENDAPATKAN INFORMASI

  10

  2.3.5 KEMAMPUAN MENGADAKAN MANIPULASI

  10

  11

  2.4.1 PROPAGATION PHASE ( FASE PENYEBARAN )

  11

  2.4.2 DORMANT PHASE ( FASE ISTIRAHAT/TIDUR )

2.5 PERKEMBANGAN WORM NON LOKAL

  Computer W orm 1 - Secret of Underground Coding

2.6 PERKEMBANGAN WORM LOKAL

  28

  25

  2.6.8 NOBRON

  25

  2.6.9 RUNITIS

  26

  2.6.10 BLUEFANTASY

  26

  2.6.11 ROMDIL

  27

  2.6.12 MYBRO

  27

  2.6.13 IRCBOT.AQF

  2.6.14 LIGHTMOON

  2.5.10 ANNA KOURNIKOVA

  28 BAB 3 REGISTRY WINDOWS

  29

  30

  3.1.1 HIVE

  31

  3.1.2 VALUE

  31

  32

  3.2.1 MEMBUKA APLIKASI REGISTRY EDITOR

  32

  3.2.2 LINGKUNGAN KERJA REGISTRY EDITOR

  33

  2.6.7 RONTOKBRO

  25

  2.6.6 DECOIL

  21

  17

  2.5.11 SADMIND

  17

  2.5.12 CODE RED

  17

  2.5.13 NIMDA

  18

  2.5.14 BADTRANS.B

  19

  2.5.15 KLEZ

  20

  2.5.16 SLAMMER

  2.5.17 BAGLE

  24

  21

  2.5.18 NETSKY

  22

  22

  2.6.1 I-WORM PERKASA

  22

  2.6.2 PESIN

  23

  2.6.3 TABARU

  23

  2.6.4 KANGEN

  24

  2.6.5 KUMIS

3.1 STRUKTUR REGISTRY

3.2 REGISTRY EDITOR (REGEDIT)

3.3 OPERASI DASAR REGISTRY EDITOR

  33

  3.3.1 BACKUP & RESTORE REGISTRY

  34

  3.3.2 EXPORT & IMPORT DATA REGISTRY

  35

  3.3.3 MANIPULASI KEY & VALUE

  35

  3.3.4 PENCARIAN TEKS PADA KEY, VALUE ATAU DATA

  37

  3.3.5 MENGGUNAKAN PERINTAH BARIS (COMMAND LINE)

  38

  3.3.6 MEMANFAATKAN FILE REG

  39 BAB 4 MENGENAL VISUAL BASIC 6.0

  41

4.1 LINGKUNGAN KERJA VISUAL BASIC

  42

  4.1.1 MENUBAR

  43

  4.1.2 TOOLBAR

  43

  4.1.3 PROJECT EXPLORER

  43

  4.1.4 PROPERTIES WINDOWS

  44

  4.1.5 FORM LAYOUT WINDOW

  44

  4.1.6 TOOLBOX

  44

  4.1.7 FORM WINDOW

  45

  4.1.8 CODE WINDOW

  45

4.2 PEMBUATAN APLIKASI

  46

  4.2.1 MEMBUAT PROYEK

  46

  4.2.2 MENYISIPKAN CONTROL

  47

  4.2.3 SETTING PROPERTIES

  47

  4.2.4 MENGETIK KODE PROGRAM

  47

  4.2.5 MENYIMPAN PROGRAM

  48 orm 1 - Secret of Underground Coding

  4.2.6 MENJALANKAN PROGRAM

  48

  4.2.7 KOMPILASI PROGRAM MENJADI EXE

  49 BAB 5 OBJECT FORM DAN CONTROL

  51

  5.1 FORM

  53

  5.2 KONTROL

  54

  5.2.1 PICTUREBOX

  55

  5.2.2 LABEL

  56 Computer W

  5.2.3 TEXTBOX

  57 Computer W orm 1 - Secret of Underground Coding

  5.2.4 FRAME

  6.3.3 OPERATOR KOMPARASI

  74

  6.1.1 IMPLICIT

  75

  6.1.2 EXPLICIT

  76

  6.2 STATEMENTS AND EXPRESSIONS

  77

  6.3 OPERATOR

  78

  6.3.1 OPERATOR PENUGASAN (ASSIGNMENT)

  78

  6.3.2 OPERATOR ARITMATIKA

  78

  79

  71 BAB 6 KODE PROGRAM

  6.3.4 OPERATOR LOGIKA

  80

  81

  6.4.1 PERCABANGAN IF/THEN/ELSE

  81

  6.4.2 PERCABANGAN SELECT CASE

  82

  6.4.3 PERCABANGAN GOSUB/RETURN

  83

  6.4.4 PERCABANGAN GOTO

  83

  6.4.5 PERCABANGAN ON ERROR

  84

  73

  5.2.20 OLE

  58

  64

  5.2.5 COMMANDBUTTON

  58

  5.2.6 CHECKBOX

  59

  5.2.7 OPTIONBUTTON

  60

  5.2.8 COMBOBOX

  61

  5.2.9 LISTBOX

  62

  5.2.10 HSCROLLBAR

  63

  5.2.11 VSCROLLBAR

  5.2.12 TIMER

  70

  68

  5.2.19 DATA

  69

  5.2.18 IMAGE

  69

  5.2.17 LINE

  5.2.16 SHAPE

  65

  67

  5.2.15 FILELISTBOX

  66

  5.2.14 DIRLISTBOX

  66

  5.2.13 DRIVELISTBOX

6.1 VARIABEL

6.4 PERCABANGAN (BRANCHING)

  Computer W orm 1 - Secret of Underground Coding

  96

  6.8.4 MELIHAT DAN MENGUBAH ATRIBUT PADA FILE

  92

  6.8.5 MENGETAHUI BESAR FILE

  93

  6.8.6 MENGETAHUI TANGGAL DAN WAKTU FILE

  94

  6.8.7 MENGETAHUI DRIVE DAN DIREKTORI AKTIF

  94

  6.8.8 MENGATUR DRIVE AKTIF

  95

  6.8.9 MENGATUR DIREKTORI AKTIF

  95

  6.8.10 MEMBUAT DIREKTORI BARU

  6.8.11 MENGHAPUS DIREKTORI

  6.8.3 MENGHAPUS FILE

  96

  6.8.12 MENGUBAH NAMA DIREKTORI

  97

  6.9 OPERASI FILE TEXT

  97

  6.9.1 MEMBUAT FILE TEXT

  97

  6.9.2 MEMBACA FILE TEXT

  98

  6.10 OPERASI FILE BINARY

  99

  6.10.1 MEMBUAT FILE BINARY

  99

  6.10.2 MEMBACA FILE BINARY 100

  91

  91

  6.5 PENGULANGAN (LOOPING)

  6.6.1 END

  85

  6.5.1 DO WHILE/LOOP

  85

  6.5.2 DO UNTIL/LOOP

  85

  6.5.3 DO/LOOP WHILE

  85

  6.5.4 DO/LOOP UNTIL

  86

  6.5.5 FOR/NEXT

  86

  6.6 PENGHENTIAN (TERMINATING)

  87

  87

  6.8.2 MEMBUAT SALINAN / MENG-COPY FILE

  6.6.2 EXIT

  87

  6.6.3 STOP

  88

  6.7 ARRAY

  88

  6.7.1 DEKLARASI DENGAN VARIABEL TUNGGAL

  88

  6.7.2 DEKLARASI DENGAN KEYWORD TO

  89

  6.8 PENANGANAN FILE

  90

  6.8.1 MENGUBAH NAMA DAN MEMINDAH FILE

  90

  6.11 FILE SYSTEM OBJECT (FSO) 101

  Computer W orm 1 - Secret of Underground Coding BAB 7 WORM WSar.1 103

  BAB 11 WORM WSar.5 151

  13.2 ALGORITMA 191

  13.1 COMPARISON METHODE 180

  BAB 13 WORM WSar.7 179

  12.2 PEMROGRAMAN 166

  12.1 ALGORITMA 166

  BAB 12 WORM WSar.6 165

  11.2 PEMROGRAMAN 153

  11.1 ALGORITMA 152

  10.2 PEMROGRAMAN 136

  7.1 WORM DASAR 1 105 7..2 ALGORITMA 106

  10.1 ALGORITMA 135

  BAB 10 WORM WSar.4 135

  9.2 PEMROGRAMAN 126

  9.1 ALGORITMA 125

  BAB 9 WORM WSar.3 125

  8.2 PEMROGRAMAN 118

  8.1 ALGORITMA 117

  BAB 8 WORM WSar.2 117

  7.3 PEMROGRAMAN 106

  13.3 PEMROGRAMAN 191

BAB 14 WORM WSar.8 207

  Computer W orm 1 - Secret of Underground Coding

  14.1 WATCHER METHODE 208

  14.2 ENCRYPTION METHODE 209

  14.3 POLYMORPHIC METHODE 212

  14.4 ALGORITMA 214

  14.5 PEMROGRAMAN 215

BAB 15 WORM WSar.9 243

  15.1 DROP FILE METHODE 244

  15.2 ALGORITMA 250

  15.3 PEMROGRAMAN 251

  Computer Worm 1 - Secret of Undeground Coding : Uncensored

BAB 1 PENDAHULUAN Bab 1. Pendahuluan

  eiring dengan pesatnya kemajuan teknologi informasi khususnya dibidang teknologi komputer dan jaringan, keamanan menjadi isu yang kerap kali dibahas, mulai dari ancaman langsung para

  S

  cracker atau hacker jahat hingga ancaman yang dilakukan melalui suatu program yang disebut malcode (malicious code). Suatu program atau script apapun yang bersifat merusak atau merugikan dapat dikategorikan sebagai malcode termasuk virus komputer, worm atau trojan horse. Maraknya penyebaran virus, worm atau trojan horse, ternyata semakin memberikan semangat bagi para pembuat worm lokal untuk terus berkarya. Di Indonesia sendiri worm lokal mulai menunjukan aktifitas yang cukup signifikan di awal era millenium, pada tahun 2003 peng- guna komputer di Indonesia disibukkan oleh sebuah worm lokal yang diperkirakan berhasil menginfeksi ribuan komputer di Indonesia.

  Computer Worm 1 - Secret of Underground Coding : Uncensored

  Worm ini kemudian oleh salah satu perusahaan antivirus terkenal diberi nama w32/pesin.worm.gen, bersamaan dengan munculnya varian-varian worm Pesin yang baru, ikut muncul sejumlah worm

Bab 1. Pendahuluan

  lokal lainnya seperti diberitakan sebuah situs Indonesia yang konsen terhadap malcode, www.vaksin.com. Bahkan pada saat buku ini ditulis, aktifitas worm di Indonesia semakin meningkat, terbukti dari sejumlah forum, penulis menemukan beberapa posting yang menunjukan adanya gejala-gejala penyebaran worm lokal yang baru. Motif yang digunakan semakin beragam, mulai dari hanya sekedar "pamer", sampai dengan pengrusakan dan pencurian data. Media penyebaran pun semakin canggih mulai dari disket, USB flash disk sampai dengan jaringan termasuk internet. Namun satu hal yang pasti, penyebaran worm tersebut telah membawa dampak yang cukup besar bagi para pengguna komputer baik materiil maupun non mate- riil. Penulis berharap buku ini dapat menambah pengetahuan bagi pengge- mar TI, system administrator atau siapa saja yang selalu menggunakan komputer, dan bukan untuk mengajari hal-hal negatif kepada para pemula, tapi sebaliknya memberi kesadaran kepada mereka yang senantiasa melakukan hal-hal negatif untuk menghentikan tindakan negatif tersebut. Lebih baik lagi apabila mereka juga memberi kontri- busi untuk menghentikan perkembangan worm komputer dan malcode lainnya di bumi pertiwi ini. Buku ini akan menunjukan bagaimana seorang worm writer membuat suatu worm komputer, dan bagaimana memerangi worm tersebut dengan cara yang nyaris sama. Secara umum buku ini akan membi- carakan tujuh hal bidang utama, yaitu:

  1. Mengenal worm komputer

  2. Menggunakan registry pada Microsoft Windows

  3. Menggunakan Visual Basic 6.0

  4. Pemrograman worm komputer

  5. Membuat program removal

  6. Pemrograman virus komputer

  7. Kompresi dengan UPX

  Computer Worm 1 - Secret of Undeground Coding : Uncensored

  Buku ini juga disertai sebuah CD yang berisi video tutorial untuk menambah pemahaman Anda dalam mempelajari buku ini, kemudian kumpulan source code yang digunakan sebagai latihan dan beberapa program-program pendukung.

  Perlu Anda ketahui bahwa seluruh software tersebut berlisensi free- ware (gratis) dan freetrial (gratis coba) sehingga Anda tidak dikenakan biaya apapun untuk software tersebut kecuali biaya CD dan ongkos pembuatannya, penulis tak lebih hanya men-download-kannya untuk Anda.

Bab 1. Pendahuluan Membahas pembuatan suatu worm memerlukan pengertian akan tang-

  gung jawab moral yang besar, karena worm komputer dapat menim- bulkan dampak yang sangat fatal dan merugikan maka penulis sangat mengharapkan kebaikan moral para pembaca. Selain itu, penulis tidak bertanggung jawab apabila ada penyalahgunaan atas informasi, script atau program-program yang disertakan bersama buku ini.

  "Dengan mengetahui, mengerti dan menguasai teknik pembuatan suatu virus, worm atau malcode lainnya, sesungguhnya sudah tidak dibutuhkan tutorial lain untuk memeranginya."

  Computer Worm 1 - Secret of Undeground Coding : Uncensored

BAB 2 MENGENAL WORM Bab 2. Mengenal Worm Kenapa bab ini ada? Seorang administrator sistem bisa dengan cepat mengetahui

  apabila suatu worm yang sama menginfeksi sebuah sistem dengan melihat gejala yang ditimbulkan. Selain itu untuk membuat suatu program removal juga diperlukan pengetahuan tentang worm, dan pengetahuan tersebut bisa berupa teori, sejarah perkembangan atau catatan singkat tentang worm yang pernah ada.

  Computer Worm 1 - Secret of Underground Coding : Uncensored

2.1 ASAL MULA WORM KOMPUTER

  agasan worm dan virus berawal pada tahun 1949, saat seorang founder Electronic Discrete Variable Automatic Computer (EDVAC), John Von Newman, memaparkan dalam sebuah

  papernya yang berjudul "Theory and Organization of Complicated Automata", dibahas suatu kemungkinan bahwa suatu program dapat melakukan penyebaran dengan sendirinya.

Bab 2. Mengenal Worm G

  Kemudian pada tahun 1960-an, para peneliti AT&T Bell Laboratory membuat semacam permainan dengan menciptakan suatu program yang dapat memusnahkan program ciptaan lawan, dan mampu ber- tahan terhadap serangan program lawan lainnya.

  Pada akhirnya si-pemenang adalah pemilik program yang tersisa paling banyak. Para peneliti sadar akan bahaya program tersebut, maka setiap selesai permainan program tersebut selalu dimusnahkan. Cikal bakal program worm pertama kali dibuat oleh Bob Thomas pada tahun 1971. Program ini merupakan solusi dari kebutuhan system kendali lalu lintas udara. Program ini akan membantu mengingatkan operator apabila pengendalian suatu pesawat udara berpindah dari satu komputer ke komputer lainnya. Sesungguhnya program yang disebut "creeper" ini hanya berpindah dari layar ke layar pada jaringan, dengan menampil- kan pesan "I’m creeper! Catch me if you can!". Tetapi program creeper tidak mereproduksi dirinya sendiri, hingga beberapa programmer lain mencoba membuat program serupa, tetapi gagasan tersebut berang- sur-angsur hilang dalam beberapa bulan kemudian.

  Istilah "virus" mungkin sudah tidak asing terdengar, dapat dikatakan hampir setiap orang yang mengenal komputer juga mengenal istilah ini, sementara istilah "worm" tidak begitu dikenal, padahal istilah ini diciptakan oleh John Shoch dan Jon Hupp di Xerox PARC (Palo Alto Research Centre) pada tahun 1979 sebelum istilah virus komputer dipublikasikan.

  Istilah worm ini ternyata diilhami oleh suatu program "tapeworm" (cacing pita) dalam sebuah novel fiksi ilmiah karangan John Brun- ner yang berjudul "The Shockwave Rider", yang mengisahkan suatu

  Computer Worm 1 - Secret of Undeground Coding : Uncensored

  pemerintahan totaliter yang mengendalikan warga negaranya melalui suatu jaringan komputer. Untuk memerangi hal itu akhirnya seorang pahlawan dalam novel tersebut kemudian memenuhi jaringan dengan suatu program yang disebut "tapeworm" sehingga memaksa mematikan jaringan komputer yang secara otomatis juga menghilangkan kendali pemerintah terha- dap warga negaranya. Kemudian diawal tahun 1980 John Shoch dan Jon Hupp mengadakan sebuah penelitian dengan mengembangkan lima buah program worm, masing-masing worm dibuat dengan tujuan tertentu yang membantu jaringan disekitarnya. Beberapa worm terlihat sederhana, seperti worm "town crier" yang bertugas memasuki jaringan hanya untuk menampilkan pengumu-

Bab 2. Mengenal Worm

  man. Worm lainnya terlihat lebih kompleks dan pintar, seperti worm "vampire". Worm ini tidak akan melakukan kegiatan pada siang harinya, tetapi saat malam hari worm akan melakukan suatu kegiatan tertentu yang telah terprogram sebelumnya, ini berguna untuk memanfaatkan komputer yang tidak bekerja pada malam hari dengan memberikan tugas yang kompleks dan memerlukan daya proses yang lebih. Saat fajar, worm akan menghentikan pekerjaannya dengan terlebih dahulu menyimpan seluruh pekerjaan yang dilakukannya malam itu dan menunggu sore berikutnya. Walau bagaimanapun, walaupun program ini berguna tapi disadari bahwa program ini juga akan sangat berbahaya apabila salah digu- nakan. Hal ini terbukti saat sebuah worm mengalami malfungsi pada suatu malam dan keesokan harinya para pekerja menemukan seluruh komputer yang ada pada jaringan tersebut mengalami crash (suatu kerusakan dimana system output dan input tidak berfungsi). Lebih dari itu saat komputer dihidupkan kembali, worm malfungsi tersebut kembali membuat komputer crash. Pada akhirnya dibuat semacam vaksin untuk mencegah worm tersebut, dan mulai saat itu penelitian terhadap worm tersebut ditutup untuk umum.

  Computer Worm 1 - Secret of Underground Coding : Uncensored

2.2 PERBEDAAN WORM DAN VIRUS

  Istilah "virus" selalu digunakan sebagai suatu acuan umum untuk setiap malcode (program atau script yang dibuat dengan tujuan mem- bahayakan atau merugikan sebuah system komputer), seperti worm, trojan bahkan hoax yang sesungguhnya bukan sebuah virus komputer, berikut adalah beberapa jenis malcode tersebut:

Bab 2. Mengenal Worm

  1. Computer virus: merujuk pada program yang memiliki kemam- puan untuk ber- reproduksi, menulari program lain dan menjadi- kan file-file program tertular sebagai file infector.

  2. Computer worm: merujuk pada program independen yang memiliki kemampuan untuk ber-reproduksi, menulari system komputer dan walaupun mampu untuk menulari program lain namun tidak bertujuan untuk menjadikan file tertular tersebut sebagai suatu file infector.

  3. Trojan horse: merujuk pada program independen yang tampaknya berguna, dan ketika dieksekusi, tanpa sepengetahuan pengguna, juga melaksanakan fungsi-fungsi yang bersifat destruktif dan merugikan.

  4. Malicious toolkits: merujuk pada program yang didesain untuk membantu menciptakan program-program yang dapat memba- hayakan sebuah system komputer. Contoh dari program jenis ini adalah tool pembuat virus dan program yang dibuat untuk membantu proses cracking atau hacking.

  Dari beberapa keterangan diatas dapat diperjelas bahwa worm adalah suatu algoritma atau program yang mereproduksi diri sendiri dari system ke system dengan menggunakan media penyimpanan atau suatu jaringan.

  Worm tidak menginfeksi file program lain dengan tujuan menjadikan file terinfeksi tersebut sebagai file infector. Worm mampu bekerja

  Computer Worm 1 - Secret of Undeground Coding : Uncensored

  tanpa interaksi user, bisa merusak sebuah data secara langsung atau menurunkan kinerja system dengan "mengikat" sumber daya system komputer dan bahkan bisa mematikan sebuah jaringan. Berbeda dengan virus yang melakukan infeksi dengan 'menumpang’ pada file program lain, menunggu interaksi user dan menjadikan file terinfeksi sebagai file infector.

2.3 KEMAMPUAN DASAR WORM

  Worm umumnya memiliki kemampuan-kemampuan dasar berikut ini:

Bab 2. Mengenal Worm

   2.3.1 KEMAMPUAN REPRODUKSI DAN DISTRIBUSI

  Yaitu kemampuan yang mutlak dimiliki suatu worm untuk membuat salinan dirinya, sekaligus mendistribusikan salinan tersebut pada system yang lain baik melalui media penyimpanan seperti disket, USB flash disk maupun melalui suatu jaringan komputer. Walaupun memiliki rutin untuk menginfeksi program lain namun tidak bertujuan menjadikan file program terinfeksi menjadi suatu file infector. Pada awalnya worm dibuat dengan aksi memenuhi harddisk dan jaringan, namun seiring dengan perkembangan teknologi informasi hal ini akhirnya banyak ditinggalkan worm writer karena malah akan mengurangi kemampuannya untuk menyembunyikan diri, yang akan berakibat worm tersebut cepat "terendus" oleh advanced user atau bahkan perusahaan-perusahaan antivirus.

  2.3.2 KEMAMPUAN REKAYASA SOSIAL

  Karena file infector worm akan aktif saat user mengeksekusinya maka social engineering atau rekayasa sosial menjadi hal yang sangat penting bagi suatu worm.

  Computer Worm 1 - Secret of Underground Coding : Uncensored

  Layaknya seorang penjual yang mati-matian merayu calon pembeli maka worm akan 'merias’ programnya dengan icon dan nama yang sangat memikat agar user mengeksekusinya. Suatu worm bisa saja

Bab 2. Mengenal Worm

  membuat salinan dirinya dengan nama file 'porno’ dan dengan gambar icon yang sangat tidak mencurigakan.

  

2.3.3 KEMAMPUAN MENYEMBUNYIKAN DIRI

  Menjaga tetap tidak diketahui adalah penting untuk worm jaman seka- rang agar tetap bertahan pada suatu system. Hal ini biasanya dilaku- kan dengan cara tidak menampilkan sesuatu dari worm baik berupa suara maupun tampilan visual, menyembunyikan program worm dari taskbar bahkan dari jendela tasklist.

  

2.3.4 KEMAMPUAN MENDAPATKAN INFORMASI

  Suatu worm harus bisa mendapatkan informasi yang ia butuhkan, seperti jenis sistem operasi yang digunakan, direktori root, direktori System Windows bahkan worm umumnya memeriksa suatu system apakah telah terpasang antivirus atau tidak, lebih jauh lagi worm akan berusaha mengenali jenis antivirus yang terpasang.

  2.3.5 KEMAMPUAN MENGADAKAN MANIPULASI Umumnya manipulasi dilakukan oleh worm untuk bertahan hidup,.

  Worm cenderung mengadakan manipulasi pada registry agar worm bisa tetap aktif saat komputer dihidupkan, bahkan memanipulasi reg- istry milik suatu antivirus agar tidak mengganggu worm tersebut. Tapi worm bisa saja mengadakan manipulasi yang terlepas dari tujuan tadi, seperti mengubah volume label pada harddisk atau disket.

  Computer Worm 1 - Secret of Undeground Coding : Uncensored

2.4 SIKLUS HIDUP WORM

  Siklus hidup worm secara umum, melalui 4 tahap:

2.4.1 PROPAGATION PHASE ( FASE PENYEBARAN )

  Pada fase ini worm akan membuat salinan dirinya ke suatu tempat, baik pada media penyimpanan fix disk (tetap) atau removable disk (dapat dipindahkan), adapun penyebarannya dapat dilakukan pada system lokal, jaringan atau internet.

Bab 2. Mengenal Worm

  2.4.2 DORMANT PHASE ( FASE ISTIRAHAT/TIDUR )

  Pada fase ini worm tidaklah aktif. Worm akan diaktifkan oleh suatu kondisi tertentu, semisal: tanggal yang ditentukan, kehadiran program lain/dieksekusinya program lain, dan sebagainya. Tidak semua worm melalui fase ini.

  2.4.3 TRIGERRING PHASE ( FASE AKTIF )

  Di fase ini worm tersebut akan aktif dan menetap pada memory, hal ini dipicu oleh metode launcher yang digunakan worm tersebut.

  2.4.4 EXECUTION PHASE ( FASE EKSEKUSI ) Pada fase inilah worm yang telah aktif tadi akan melakukan fungsinya.

  Seperti menghapus file, menampilkan pesan-pesan dan sebagainya.

  Computer Worm 1 - Secret of Underground Coding : Uncensored

2.5 PERKEMBANGAN WORM NON LOKAL

  Berikut ini beberapa catatan singkat tentang worm yang pernah ada dan membuat banyak kerugian para pengguna komputer.

Bab 2. Mengenal Worm

  2.5.1 CHRISTMA EXEC

  Pada tanggal 9 Desember 1987, worm "Christma Exec" menjadi worm pertama yang mampu menyebar dengan menggunakan media e-mail diantara komputer mainframe IBM. Worm ini juga menjadi contoh penggunaan social engineering, dengan mengajak user untuk mengek- sekusi worm tersebut dengan dalih akan menampilkan gambar pohon natal.

  Worm tersebut memang menghasilkan gambar pohon natal pada layar monitor (digambar dengan menggunakan bahasa script yang disebut Rexx), tetapi worm tersebut juga mengirimkan salinan dirinya dengan menggunakan nama user kepada setiap nama yang ada pada daftar e-mail penerima, sehingga penerima percaya bahwa e-mail yang dikirimkan tersebut adalah benar dari user yang dikenal dan bersedia membukanya.

  2.5.2 MORRIS

  Pada tanggal 2 Nopember 1988, worm Morris yang terkenal pada waktu itu berhasil melumpuhkan 6.000 komputer dalam beberapa jam. Worm tersebut dibuat oleh seorang siswa Cornell, Robert Morris Jr. Kemudian diadakan penyelidikan, sampai akhirnya Morris dijatuhkan hukuman pada tahun 1990.

  Kesimpulan yang diperoleh adalah motivasi dalam menulis worm tersebut tidak diketahui dan worm tidak diprogram untuk sengaja melakukan pengrusakan, tetapi kerusakan yang ditimbulkan disebab- kan oleh kecelakaan dan kesalahan pemrograman.

  Dibulan Oktober 1989, muncul sebuah worm bernama WANK (Worms Against Nuclear Killers) yang tampaknya belajar dari worm Morris dan melakukan penularan pada komputer VMS pada DECNet. Worm ini

  Computer Worm 1 - Secret of Undeground Coding : Uncensored

  menyebar dengan memanfaatkan e-mail dan mengeksploitasi system untuk mendapatkan hak akses dengan berusaha mencari account user name dan password.

2.5.3 HAPPY99

  Pada bulan Januari 1999, worm happy99 menyebar lewat e-mail dengan attachment sebuah file aplikasi bernama happy99.exe. Ketika file terse- but dieksekusi tampil gambar kembang api untuk memperingati tahun baru 1999, tetapi secara diam-diam memodifikasi file WSOCK32.DLL (file system untuk koneksi internet) dengan suatu program trojan horse yang mengijinkan worm tersebut menyisipkan dirinya pada proses komunikasi internet, sementara file WSOCK32.DLL yang asli diubah kembali namanya menjadi WSOCK32.SKA

Bab 2. Mengenal Worm

2.5.4 MELISA

  Di bulan Maret 1999, sebuah virus macro "Melisa" kembali meresahkan pengguna internet dengan menginfeksi 100.000 unit komputer hanya dalam waktu tiga hari.

  Virus tersebut memulai penyebarannya dengan pengiriman perdana ke Usenet Newsgroup "alt.sex" yang menjanjikan account name berikut password untuk dapat mengakses sebuah situs erotis. Sebuah perusahaan antivirus Norton menyebutkan bahwa virus ini adalah penggabungan antara worm dan virus.

  Mellisa menyertakan sebuah file attachment berupa file dokumen Word yang terinfeksi. Ironisnya saat itu masih banyak yang percaya bahwa dengan membuka sebuah e-mail tidak dapat menginfeksi se- buah komputer.

  Ketika macro tersebut tereksekusi oleh aplikasi Word. Pertama kali yang dilakukannya adalah melakukan pemeriksaan apakah versi aplikasi Word yang digunakan bisa diinfeksi, jika bisa maka virus akan mengurangi pengaturan keamanan pada aplikasi Word untuk mence- gah aplikasi menampilkan pesan atau peringatan tentang adanya suatu macro, yang akan mencurigakan user.

  Computer Worm 1 - Secret of Underground Coding : Uncensored

  Virus kemudian mencari sebuah key pada registry yang mengandung kata "kwyjibo", apabila key tersebut tidak ditemukan, virus akan mengeksekusi aplikasi Outlook dan berusaha mengirimkan salinan dirinya kepada 50 penerima yang ada pada address book (buku alamat) aplikasi Outlook. Sebagai tambahan virus menulari file template

Bab 2. Mengenal Worm

  aplikasi Word "normal.dot" menggunakan fitur VBA macro "Auto Execute", file dokumen yang berasal dari file template tersebut akan membawa serta virus tersebut.

  2.5.5 PRETTY PARK

  Sebuah worm lainnya menyebar luas dimusim panas tahun 1999. Worm yang dinamakan "Pretty- Park" ini menyertakan attachment berupa file "Pretty Park.exe". Tidak ada penjelasan pada attachment, hanya saja file tersebut menggunakan icon bergambar seekor beruang, yang merupakan sebuah karakter pada suatu pertunjukan televisi "South Park". Jika dieksekusi, worm menginstal dirinya ke direktori System Windows dan memodifikasi registry yang membuat worm tersebut aktif saat file ber-ekstensi "exe" apa saja dieksekusi. Hal ini menjadi permasalahan bagi program antivirus, yang tentunya juga ber-ekstensi "exe".

  Worm juga mengirimkan salinan dirinya pada alamat e-mail yang ada pada buku alamat Windows. Pretty Park kemudian berusaha mengirimkan beberapa data system dan password pada sebuah server

  IRC (internet relay chat) tertentu, terakhir dilaporkan bahwa worm ini memasang suatu backdoor.

  2.5.6 EXPLORE ZIP

  Pada bulan Juni tahun 1999, muncul sebuah worm bernama "ExploreZip" yang menyamar sebagai file zip (file terkompresi) dalam attachment sebuah e-mail yang jika dieksekusi akan menampilkan pesan kesala- han. ExploreZip secara diam-diam menyalin dirinya kedalam direktori System Windows dan memodifikasi registry.

  Computer Worm 1 - Secret of Undeground Coding : Uncensored

  Seperti worm lainnya, ExploreZip juga melakukan penyebaran lewat e-mail dengan memanfaatkan aplikasi Outlook atau Exchange, dengan mengawasi e-mail yang masuk dan membalas e-mail tersebut dengan salinan dirinya. pada tanggal 9 Januari 2003 ExploreZip kemudian dilaporkan meng- hasilkan varian baru. Varian ini bernama ExploreZip.N varian dan cu- kup merepotkan pengguna komputer di Indonesia. Salah satu metode penyebarannya menggunakan e-mail yang memiliki attachment berupa file ZIPPED_FILES.EXE saat file ini dieksekusi maka worm menginstal dirinya sendiri pada system Windows.

  Worm ini meng-overwrite (menimpa) file dokumen dengan ekstensi DOC (Microsoft Word), XLS (Microsoft Excel), PPT (Microsoft Power- point), ASM (Assembler), CPP (C++), C (File C), H (Header C) sehingga

Bab 2. Mengenal Worm file-file tersebut sulit untuk diselamatkan.

2.5.7 BUBBLE BOY

  Awal tahun 2000, muncul sebuah virus yang membawa sebuah konsep baru "BubbleBoy". Virus ini menunjukkan bahwa sebuah komputer dapat tertular hanya dengan melihat e-mail, tanpa harus membuka pesannya.

  Virus ini mengambil keuntungan dengan adanya celah keamanan pada aplikasi Internet Explorer, yang secara otomatis mengeksekusi script Visual Basic yang terdapat pada body e-mail. Virus akan datang sebagai sebuah e-mail dengan subjek "BubbleBoy is back", pesan berbentuk file HTML dan mengandung script virus dalam bahasa Visual Basic. Jika menggunakan aplikasi Outlook, script tersebut akan dijalankan walaupun yang dilakukan hanya preview. File tersebut akan ditambah- kan pada direktori StartUp Windows, sehingga apabila komputer dihidupkan virus akan berusaha mengirimkan dirinya pada setiap alamat yang ada pada address book aplikasi Outlook. Diwaktu yang hampir bersamaan, worm "KAK" tersebar dengan cara yang serupa.

  Computer Worm 1 - Secret of Underground Coding : Uncensored

2.5.8 LOVE LETTER

  Dibulan Mei 2000, lajunya penyebaran worm "LoveLetter" menun- jukkan efektifitas serangan dengan metode social engineering, yang hingga saat ini sudah menjadi suatu kebiasaan suatu worm dalam penyebarannya.

Bab 2. Mengenal Worm E-mail yang berisi worm ini memiliki subjek "I Love You" yang berarti

  "Saya Cinta Kamu" dan berisi pesan-pesan yang mendorong user untuk mengeksekusi attachment yang merupakan worm tersebut. File attach- ment berupa Visual Basic Script yang bisa dieksekusi dengan Windows Script Host (bagian dari Windows98, Windows2000, Internet Explorer 5, atau Outlook 5).

  Ketika dieksekusi, LoveLetter menginstal dirinya kedalam direktori System Windows dan memodifikasi registry untuk memastikan bahwa worm akan aktif saat komputer dihidupkan. Ketika komputer lainnya terinfeksi, dan jika aplikasi Outlook terinstal pada komputer tersebut, maka worm akan mengirimkan salinannya pada siapa saja yang ada pada address book aplikasi Outlook.

  Sebagai tambahan worm akan membuat koneksi IRC dan mengirimkan salinan dirinya pada siapa saja yang bergabung pada saluran IRC terse- but. LoveLetter juga memiliki kemampuan untuk mencuri password. Dengan mengubah home page (alamat url yang akan diakses pertama kalinya) pada Internet Explorer ke suatu website di Asia, worm akan mengusahakan agar suatu trojan horse di download dari website tersebut, dimana trojan horse tersebut akan mengumpulkan password e-mail dan mengirimkannya ke suatu alamat di Asia.

2.5.9 HYBRIS

  Dibulan Oktober 2000, worm Hybris menyebar dengan e-mail ber- attachment. Jika dieksekusi akan memodifikasi file WSOCK32.DLL dalam rangka menjejaki semua lalu lintas ber-internet. Untuk setiap e-mail yang terkirim worm akan mengirimkan salinan dirinya ke alamat penerima yang sama. Yang menarik dari worm ini yaitu; bisa men-download file update untuk dirinya sendiri dari newsgroup "alt. comp.virus" metode yang digunakan termasuk canggih dan sangat berbahaya karena payload worm tersebut bisa diubah kapan saja.

  Computer Worm 1 - Secret of Undeground Coding : Uncensored

2.5.10 ANNA KOURNIKOVA

  Pada bulan Februari 2001, kembali sebuah worm mencemaskan para pengguna internet, yang memanfaatkan kepopuleran seorang petenis asal Rusia "Anna Kournikova". Worm ini dibawa dalam suatu attachment e-mail yang menyatakan bahwa lampiran tersebut adalah file gambar dalam bentuk file jpg yang memuat foto pemain tenis tersebut. Apabila file tersebut dieksekusi maka akan mengirimkan salinan dirinya kepada setiap nama yang terdaftar pada buku alamat Microsoft Outlook.

Bab 2. Mengenal Worm

  2.5.11 SADMIND

  Pada bulan Mei 2001, worm Sadmind menyebar dengan mentargetkan 2 vulnerability (kelemahan) pada 2 sistem operasi yang berbeda, dan menjadi teladan untuk worm berikutnya yang bisa melakukan serangan dengan berbagai kombinasi. Pertama kali yang dilakukannya adalah meng-eksploitasi vulnerability buffer overflow pada sistem operasi Sun Solaris, dan menginstal suatu program agar bisa melakukan komunikasi dengan IIS webserver guna melakukan suatu serangan. Vulnerability ini kemudian diumumkan pada tanggal 18 Juni 2001, yang menunjuk sebagai vulnerability pada Index Server ISAPI.

  2.5.12 CODE RED

  Memanfaatkan vulnerability pada Index Server ISAPI tersebut, pada tanggal 12 Juli 2001 muncul sebuah worm dengan nama "Code Red" yang menyerang semua IIS webserver, dengan aksi mengubah tampi- lan awal website pada server yang tertular.

  Pertama kali worm menginstal dirinya pada system, membaca IP system dan dari IP tersebut worm menyusun 99 IP baru, kemudian melakukan pemeriksaan sistem operasi pada IP yang berhasil disusun- Jika worm menemukan sebuah IP target menggunakan sistem operasi

  Computer Worm 1 - Secret of Underground Coding : Uncensored

  Microsoft Windows maka worm akan meng-eksploitasi server target tersebut, dan melakukan deface (mengubah halaman awal suatu web- site) dengan tampilan "Welcome to the www.worm.com ! hacked by

  Chinese!. "

  Berikutnya worm mencari file c:\notworm. Worm tidak akan meng-

Bab 2. Mengenal Worm

  hentikan serangannya jika file tersebut tidak ditemukan. Pada tanggal

  20 Juli worm akan melakukan serangan DOS (denial of service) pada server www.whitehouse.gov, kemudian pada tanggal 27 worm mem- buat dirinya dalam kondisi dormant (fase saat worm menjadi tidak aktif) secara permanen.

  Tidak begitu lama pada tanggal 19 Juli 2001, muncul Code Red I yang merupakan versi kedua dari worm Code Red dengan penyebaran yang lebih cepat. Banyak perbaikan pada program worm sehingga mampu menginfeksi 359.000 unit komputer hanya dalam waktu 14 jam, seperti versi pertama worm ini juga membuat dirinya dalam kondisi dormant pada tanggal 20 Juli secara permanen.

  Di bulan Agustus 2001, kembali Code Red muncul dengan versi ber- beda "Code Red II", muncul dengan payload yang sangat berbahaya. Worm ini masih memanfaatkan vulnerability yang sama dengan versi sebelumnya, sedikit perubahan pada program, worm ini akan mem- buat suatu trojan "explorer.exe" dan ditempatkan pada direktori root.

2.5.13 NIMDA

  Tanggal 18 September 2001, worm Nimda adalah worm yang termasuk paling banyak menginfeksi komputer di Indonesia, muncul dengan memuat payload yang sangat berbahaya dan menggunakan beragam cara dalam penyebarannya, pada 12 jam pertama saja worm ini sudah berhasil menginfeksi 450.000 unit komputer, dan dalam dua hari Nimda berhasil menginfeksi 2,2 juta komputer serta menyebabkan kerugian sebesar US $ 370 juta. Walaupun worm ini tidak menggunakan metode baru dalam penye- barannya, tetapi dengan penggabungan beberapa metode dalam suatu worm, menunjukkan adanya tingkatan baru atas kompleksitas yang tidak terlihat sebelumnya. Nimda melakukan penyebaran dengan mengirimkan salinan dirinya melalui e-mail dengan subjek random (acak) dan sebuah file attachment "readme.exe".

  Computer Worm 1 - Secret of Undeground Coding : Uncensored