RSS

JENIS-JENIS VIRUS KOMPUTER

27 Jan

Jenis virus komputer diklasifikasikan menjadi 2 bagian berdasarkan : sasaran yang diserang, dan tehnik (strategi) yang digunakan.
Berdasarkan sasaran yang diserang virus komputer dibagikan menjadi 4 jenis :
Virus Bootsector
Virus File
Virus Multi Partition
Virus Makro

Berdasarkan tehnik (strategi) yang digunakan, virus komputer dibagikan menjadi 5 jenis :
Virus Polymorphic
Virus Stealth
Encryption
Oligomorphic
Metamorphic

Virus Bootsector

Virus Bootsector, merupakan virus yang hanya melakukan reproduksi dengan cara menginfeksi Master Boot Record (MBR) pada disk. Apa itu Master Boot Record? Master Boot Record (MBR) adalah area pada suatu disk yang ditempati oleh kode boot yang akan dijalankan pertama kali sebelum daerah disk lainnya dibaca.

Virus jenis ini menggandakan dirinya kedalam daerah Master Boot Record dan biasanya menyimpan kode asli MBR ke daerah disk lainnya kemudian mengembalikan kode aslinya setelah kode virus dieksekusi terlebih dahulu pada waktu proses booting.

Gambar 01

Virus jenis ini pernah jaya di tahun 1992, dimana pada waktu itu virus bootsector yang bernama Michelangelo berhasil menginfeksi lebih dari 5 juta komputer di seluruh dunia. (EE-CAD software chief Fred Grist told reporters). Virus ini merupakan virus lanjutan varian dari virus Stone (juga virus bootsector) yang payloadnya adalah menghajar hardisk dengan cara merusak FAT (File Allocation Table) pada hardisk setiap tanggal 6 Maret.

Virus file

Melakukan reproduksi dengan cara menginfeksi file atau data komputer yang tersimpan dalam harddisk, virus file masih dibedakan lagi menjadi 2 jenis:
Overwriting dan
Non Overwriting

~virus overwriting
Menginfeksi file inangnya dengan menumpuki byte aslinya dengan tubuh virus itu sendiri, sehingga file/program aslinya akan rusak.

Gambar 02

Pembuatan virus jenis ini lebih mudah dibandingkan virus non overwriting karena tidak membutuhkan penyesuaian dan pembaharuan pada header eksekutabel file korban yang diinfeksi tetapi hanya menumpuki daerah tubuh program lama dengan tubuh virus itu sendiri, sehingga akan menyebabkan file/program yang dinfeksi akan mengalami kerusakan dan tidak bisa dijalankan lagi. Biasanya virus jenis ini dibuat oleh vxer pemula yang belum begitu memahami tentang struktur file eksekutabel dan tehnik PE Infector.

Virus jenis ini akan membuat banyak program tidak bisa berjalan seperti biasanya, hal ini menjadi penanda tersendiri untuk mengidentifikasi komputer dari kehadiran virus berdasarkan gejala-gejalanya. Tingkat penyebaran virus jenis ini sangat rendah karena korbannya akan segera menyadari kehadirannya sebelum sang virus sempat berkembang biak.

~Virus non overwriting

Menginfeksi file yang akan dijadikan inangnya dengan cara menempelkan tubuhnya di bagian akhir file dan membelokkan entry point ke tubuh virus, setelah kode virus dieksekusi maka intruksi selanjutnya akan dilanjutkan kepada kode program yang asli, sehingga program aslinya masih tetap bisa berjalan dengan normal setelah kode virus dieksekusi terlebih dahulu.

Gambar 03

Virus jenis ini sudah pasti akan menambah besar ukuran file inangnya.
Besar file setelah diinfeksi = (besar file asli + besar tubuh virus).

Pembuatan virus jenis ini lebih kompleks dibanding dengan virus jenis overwriting, karena vxer harus memahami tentang struktur file eksekutable dan harus mampu menyesuaikan dengan file yang akan diinfeksi agar tetap menjaga kompatibilitas file inangnya untuk tetap bisa jalan seperti biasanya.

Tingkat penyebaran virus jenis ini terbilang cukup tinggi. Hal ini disebabkan karena kehadiran virus jenis ini tidak banyak menampakkan gejala-gejala yang berarti seperti rusaknya program dll. Sehingga banyak korbannya seringkali tidak menyadari akan kehadiran virus di komputernya.

Virus Multi Partition

Merupakan gabungan dari dua jenis virus, yaitu virus file dan virus bootsector. Virus jenis ini memiliki kemampuan untuk menginfeksi file sekaligus menginfeksi Master Boot Record (MBR) pada disk.

Gambar 04

Virus makro

Adalah virus platform, artinya virus yang hanya berjalan pada platform atau pada jenis aplikasi tertentu yang dilengkapi dengan fitur scripting di dalamnya, jalannya virus jenis ini tidak tergantung kepada jenis dari operating system yang digunakan tetapi pada platform atau applikasi yang digunakan, misalnya pada applikasi office milik Microsoft.

Virus Polymorphic

Adalah virus yang memiliki kemampuan merubah-rubah struktur tubuhnya, sehingga akan mengecoh deteksi Antivirus. Kalkulasi ceksum akan selalu berubah pada setiap file yang terinfeksi. Biasanya jenis virus ini mengenkripsi tubuhnya baik di daerah kode (code section) maupun di daerah data (data section) dan menciptakan kunci acak baru sebagai basis kunci untuk enkriptor dan dekriptornya.
Virus Stealth
Adalah virus yang memiliki kemampuan menyembunyikan diri dari program detektor apapun, jadi tidak hanya Antivirus tetapi utiliti lainnya juga, seperti TaskManager, ProcessExplorer (dari sysinternals) dll. Virus jenis ini biasanya akan mengubah fungsi-fungsi dasar pada suatu operating system dengan cara mengakses lewat low level atau yang sering disebut dengan “ring 0” (kernel mode). Tehnik ini merupakan tehnik yang diaplikasi oleh rootkits. Apa itu rootkits?. Rootkits adalah suatu program yang mampu membuat objek tidak kelihatan (hidden), contoh objek tersebut adalah : file, proses program, nilai registry, servis dan port. Selain itu tingkah laku virus jenis ini juga sangat sulit dideteksi dengan teknologi Integrity Checkers , teknologi ini membandingkan date and time atau ukuran file sebelum dan sesudah diakses, virus jenis ini mampu mengembalikan informasi tentang file korban yang terinfeksi seperti waktu sebelum file terinfeksi, contohnya date and time file sebelum diinfeksi akan sama dengan date and time file setelah diinfeksi, sehingga tidak tampak adanya perubahan yang terjadi pada file korban. Cara ini mampu untuk mengecoh Antivirus yang menggunakan teknologi pembandingan (Integrity Checkers) sebagai engine detektornya.
Virus Encryption
Adalah virus yang mampu menyembunyikan tubuhnya yang berisi kode-kode virus (viral code). Maksud dari virus mengaplikasi tehnik ini adalah untuk mempersulit analisis yang biasanya dilakukan oleh para Malware Analyst untuk mengetahui tingkah lakunya. Sehingga bukan ide bagus untuk melakukan disassembly pada file original raw-nya (file asli yang masih terenkripsi), karena kode disassembly yang akan didapatkan hanyalah kode kacau yang tidak bisa dipahami sekalipun oleh seorang master assembler.Virus jenis ini berjalan dengan cara mendekripsikan terlebih dahulu kode yang akan dijalankan yang sebelumnya masih terenkripsi. Mengapa? Karena kode yang masih terenkripsi tidak akan pernah bisa dieksekusi atau dijalankan sebelum kode tersebut didekripsi.
Beberapa macam tehnik enkripsi yang biasanya digunakan adalah:a. Simple Encryption.
b. Static Encryption Key.
c. Variable Encryption Key.
d. Subtitution Cipher.

VIRUS OLIGOMORPHIC

Virus ini juga disebut sebagai virus semi-polymorphic, biasanya tubuhnya dienkripsi sehingga mirip dengan jenis virus encryption, walaupun begitu virus ini berbeda dengan virus polymorphic dan encryption.
Virus Oligomorphic tidak mengubah kunci decryptornya seperti virus polymorphic dan encryption, tetapi mengubah kode decryptornya dengan beberapa decryptor berbeda yang sudah disiapkan di dalam tubuhnya. Walaupun virus jenis ini tidak dapat disamakan dengan virus jenis polymorphic tetapi virus ini benar-benar dapat merubah total bentuk struktur tubuhnya dengan beberapa bentuk yang sudah dipersiapkannya. Misalnya virus ini memiliki 3 jenis decryptor yang berbeda didalam tubuhnya, maka virus ini mampu merubah bentuk total tubuhnya dalam 3 wujud yang berbeda, sehingga hampir layak disebut 3 varian dalam satu virus.

Lalu apa keuntungan virus menggunakan tehnik ini?. Kita bisa lihat bagaimana cara antivirus menghadapi virus polymorphic, virus polymorphic memang akan selalu berubah-rubah tetapi virus polymorphic tidak akan pernah merubah ataupun mengenkripsi di bagian decryptornya. Memanfaatkan kelemahan ini antivirus mampu mendeteksi virus polymorphic dengan cara menjadikan kode decryptor tersebut sebagai penanda virus itu sendiri. Mengambil pelajaran dari hal tersebut maka terciptalah virus Oligomorphic yang mampu mengadopsi bermacam-macam bentuk decryptor yang berbeda-beda untuk mengenkripsi dan mendekripsi tubuhnya. Sehingga antivirus akan kesulitan lagi untuk mendeteksinya, karena decryptor yang dijadikan basis penanda virus itu tidak selalu sama.

Tehnik reproduksi virus Semi-polymorphic (Oligomorphic)

Pada sistem detektor antivirus ada istilah yang desebut dengan Heuristic. Apa itu heuristic?. Heuristic adalah teknologi detektor yang digunakan antivirus untuk mendeteksi jenis virus varian baru tanpa harus ketergantungan dengan database virusnya, cara kerja heuristic adalah dengan cara membaca daerah kode (section code) secara byte per byte dan disimulasikan dalam bentuk source code lalu dianalisa untuk menangkap kemungkinan-kemungkinan adanya ketidakberesan pada kode tersebut seperti misalnya adanya proses pengulangan yang memungkinkan merupakan rutin dekriptor virus, nah apabila ditemukan hal-hal yang demikian tidak sungkan-sungkan antivirus akan menganggapnya sebagai file/program yang mencurigakan (suspected) atau bahkan ancaman.

Virus Metamorphic

Adalah virus yang memiliki kemampuan untuk memperbaharui dirinya (self update) dengan cara merubah struktur tubuhnya. Maksud self update disini bukan seperti kebanyakan worm yang mengupdate tubuhnya sendiri dengan cara download varian baru dari salah satu alamat di internet, tetapi dengan cara mengubah kode-kode mesin pada tubuhnya sendiri dengan kode yang digenerasikan secara acak. Virus jenis ini juga termasuk virus polymorphic, karena dia bisa merubah-rubah nilai ceksum tubuhnya, walaupun demikian virus ini berbeda dengan virus polymorphic. Terus bedanya dimana donk?, perbedaannya terletak pada Mutation engine-nya. Apa itu Mutation engine?, mutation engine adalah kode yang digunakan untuk menggenerasikan kode baru, nah kode inilah yang bertanggungjawab akan setiap perubahan yang harus terjadi pada setiap korban infeksinya. Bingung? Saya juga bingung tuh.. he.he.he… begini.. akan saya jelaskan, Mutation engine adalah kode yang apabila diandaikan adalah bagaikan mesin yang berfungsi untuk merancang bentuk baru virus yang akan dilahirkan berikutnya. Sehingga antara virus yang menginfeksi dengan virus baru hasil infeksi akan memiliki bentuk baru dan yang pasti memiliki nilai ceksum yang berbeda. Jelas?. Kembali lagi ke perbedaaan antara virus Metamorphic dengan virus Polymorphic. Virus Polymorphic akan mengubah-ubah bagian tubuhnya walaupun begitu ia tidak akan pernah merubah bentuk di bagian Mutator enginenya. Berbeda dengan virus Metamorphic, virus ini bukan hanya mengubah struktur tubuh pada bagian tertentu saja tetapi juga seluruh tubuhnya termasuk Mutation Engine-nya. Kalau begitu lalu bagaimana dengan dekriptornya?. Nah disini juga perbedaannya, virus metamorphic tidak membutuhkan dekriptor seperti kebanyakan virus polymorphic, karena memang tubuhnya tidak dienkripsi. Sehingga virus ini sering dijuluki virus yang mampu menciptakan varian barunya sendiri tanpa perlu keterlibatan pemrogramnya untuk mengubah dan mengompil ulang virusnya. Dan bahkan ada pula yang menjuluki sebagai virus yang mampu berevolusi, walaupun sebenarnya tidak demikian.Dengan kemampuan yang mengagumkan ini, banyak antivirus yang kewalahan dalam mendeteksinya dan sering kali lolos dari pemantauan antivirus. Untungnya pembuatan virus jenis ini relatif lebih sulit dan rumit dibandingkan dengan virus jenis lainnya, Saking sulitnya sehingga jarang yang mau membuat virus jenis ini bahkan seorang programmer kawakan sekalipun. Sehingga jumlah virus dari jenis ini sangat sedikit dibandingkan dengan virus dari jenis lainnya. Kebanyakan virus jenis ini dibuat menggunakan bahasa Assembly.

 
Tinggalkan komentar

Ditulis oleh pada 27 Januari 2010 in Uncategorized

 

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

 
%d blogger menyukai ini: