Laman

Kamis, 05 Mei 2011

CARA KERJA TROJAN

CARA KERJA TROJAN


Trojan masuk melalui dua bagian, yaitu bagian client dan server. Ketika korban (tanpa diketahui) menjalankan komputer, kemudian penyerang akan menggunakan client untuk koneksi dengan server dan mulai menggunakan trojan. Protokol TCP/IP adalah jenis protokol yang umum digunakan untuk komunikasi. Trojan dapat bekerja dengan baik dengan jenis protokol ini, tetapi beberapa trojan juga dapat menggunakan protokol UDP dengan baik. Ketika server mulai dijalankan (pada komputer korban), Trojan umumnya mencoba untuk menyembunyikan diri di suatu tempat dalam sistem komputer tersebut, kemudian mulai “mendengarkan” di beberapa port untuk melakukan koneksi, memodifikasi registry dan atau menggunakan metode lain yaitu metode autostarting [8].

Hal yang penting untuk diketahui oleh penyerang adalah mengetahui IP address korban untuk menghubungkan komputernya ke komputer korban. Banyak varian Trojan mempunyai kemampuan mengirimkan IP address korban ke penyerangnya, misalnya media ICQ maupun IRC. Hal ini digunakan bagi korban yang mempunyai IP address dinamis, yang berarti setiap kali menghubungkan ke Internet didapatkan IP address yang berbeda. Untuk pemakai yang memanfaatkan Asymmetric Digital Suscriber Line (ADSL) berarti selalu memakai IP address yang tetap (statis) sehingga mudah diketahui dan mudah untuk dikoneksikan dengan komputer penyerang [8].

Sebagian besar Trojan menggunakan metode auto-starting, yaitu Trojan akan secara otomatis aktif saat komputer dihidupkan. Walaupun komputer dimatikan dan kemudian dihidupkan lagi, Trojan mampu bekerja kembali dan penyerang mengakses kembali ke komputer korban [8].

Metode baru auto-starting dan trik lain telah ditemukan sejak semula. Jenis Trojan ini bekerja mulai dari koneksi trojan ke dalam beberapa file executable yang sering digunakan misalnya explorer.exe dan kemudian memodifikasi file sistem atau Windows Registry. File sistem ditempatkan di direktori Windows. Dari direktori ini penyerang melaksanakan penyerangan atau penyalahgunaan. Penyalahgunaan penyerang melewati file sistem adalah sebagai berikut :
• Autostart Folder.
Autostart folder berada di lokasi C:\Windows\Start Menu\Programs\Startup dan sesuai dengan namanya akan bekerja secara otomatis bagia file sistem yang ditempatkan di folder tersebut.
• Win.Ini.
File sistem Windows menggunakan load=trojan.exe dan run=trojan.exe untuk menjalankan Trojan.
• System.Ini.
Menggunakan shell=explorer.exe trojan.exe. Hal ini diakibatkan oleh eksekusi setiap file setelah menjalankan explorer.exe.
• Wininit.Ini.
Sebagian besar setup program menggunakan file ini. Sekali dijalankan maka menjadi auto-delete, akibatnya Trojan sangat cekatan atau cepat untuk bekerja kembali.
• Winstart.Bat.
Bertindak seperti batch file yang normal, ketika ditambahkan@ trojan.exe mampu menyembunyikan korbannya.
• Autoexec.Bat.
Autoexec.Bat adalah file auto-starting Disk Operating System (DOS). File tersebut digunakan sebagai metode auto-starting, yaitu dengan memasang c:\trojan.exe.
• Config.Sys.
Config.Sys juga dapat digunakan sebagai suatu metode auto-starting untuk Trojan.
• Explorer Startup.
Explorer Startup adalah suatu metode auto-starting untuk Windows95, 98, ME dan jika c:\explorer.exe ada, hal itu akan dimulai maka akan menggantikan yang umum, yaitu c:\Windows\Explorer.exe.


Registry sering digunakan dalam berbagai metode auto-starting. Registry sebagai jalan untuk auto-starting yang diketahui antara lain:
• [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion
\Run]
"Info"="c:\directory\Trojan.exe"
• [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion
\RunOnce]
"Info"="c:\directory\Trojan.exe"
• [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion
\RunServices]
"Info"="c:\directory\Trojan.exe"
• [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion
\RunServicesOnce]
"Info="c:\directory\Trojan.exe"
• [HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion
\Run]
"Info"="c:\directory\Trojan.exe"
• [HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion
\RunOnce]
"Info"="c:\directory\Trojan.exe"


• Registry Shell Open
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\ open
\command]

Suatu kunci dengan nilai "% 1%*" harus ditempatkan disana dan jika terdapat beberapa file yang executable. Setiap kali file dieksekusi maka akan membuka suatu binary file. Jika di registry ini terdapat trojan.exe "% 1%*", maka akan digunakan sebagai auto-starting untuk Trojan.
• Metode Deteksi ICQ Net
[HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\App s\]
Kunci dari metode ini adalah semua file akan dieksekusi jika ICQ mendeteksi koneksi Internet. Perlu diketahui, bahwa cara kerja dari ICQ adalah sangat mudah dan sering digunakan pemakai, sehingga ICQ dimanfaatkan oleh penyerang medianya.
• ActiveX Component
[HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup
\Installed Components\KeyName]
StubPath=C:\directory\Trojan.exe

Tidak ada komentar:

Posting Komentar