Mencari Korban Baru
Serem juga ya dengernya! Pakai istilah korban segala. Hmmmm tapi memang istilah inilah yang paling mudah kita pakai untuk menjelaskan cara kerja si cacing Worm ini. Anda bisa juga pakai istilah target atau sasaran. Tapi kalau pakai istilah itu kok kesannya kayak militer banget yach… ya silahkan Anda mau pakai istilah yang mana lah, pada baen.
Kalau di analogi sebelumnya, istilah korban ini sebenarnya adalah menggambarkan saluran baru atau saluran lain (mungkin bayangkan saja sebagai saluran air punya tetangga baru Anda yang baru pindah dari Ajibarang ke perumahan Anda dan baru pasang pipa paralon untuk nyambungin air PDAM), dimana saluran tersebut secara tidak langsung juga nyambung dengan pipa yang menuju ke kamar mandi Anda sudah terisi banyak cacing. Saluran baru atau saluran lain milik tetangga baru inilah yang akan dimasukin cacing dari pipa paralon Anda. Kasihan juga yach! Tapi ini kan terjadi secara otomatis, tanpa campur tangan kita kan! Nah kemudian secara tidak langsung, jika saluran tetangga baru Anda sudah ter-“infeksi” cacing-cacing dari saluran air milik Anda maka secara otomatis saluran air tetangga Anda juga akan jadi sumber pembawa cacing-cacing bagi saluran-saluran baru lainnya yang belum ter”infeksi” (oleh cacing). Begitu seterusnya sampai satu RT, satu RW, satu kelurahan bahkan mungkin satu kecamatan saluran airnya tersumbat oelh banyak cacing. Iiih …. (jahat juga ya tukang bikin Worm, semoga tetep bisa masuk sorga).
Sama halnya dengan cacing-cacing yang memasuki saluran air di satu RT tadi, Worm yang nanti akan Anda buat, juga akan menginfeksi atau nularin (bahasa indonesianya) korban dengan memasukan kode program sebagai bagian dari program Worm (segmentasi atau agregasi istilah cacingnya) ke dalam tubuh korbannya. Kode program tersebut dapat berupa kode mesin (routine) yang suatu waktu siap jadi Worm baru. Hebatnya lagi, korban secara otomatis akan menjadi pembawa Worm (carrier) bagi korban-korban berikutnya. Yach kayak cerita vampire. Misalnya Anda seorang cewek cantik, putih, berambut lurus dan panjang serta montok lagi, kemudian tergigit vampire barang sedikit saja ujung kulit lehernya (bahkan bisa jadi sampe berdarah-darah) maka otomatis si cewek cantik tadi akan menjadi vampire juga. Yah secantik apapun kalau itu vampire kan ya… hiiih!!! Dan kalau Anda deketin, dan Anda digigit? Wah… Anda pasti tahu apa yang akan terjadi dengan Anda kan!
Cara A atau Cara B?
Dalam proses penyebarannya, Worm yang baik harus mencari korban baru dan wajib (fardhu ain) menginfeksi korban dengan salinan dirinya (“bibit-bibit” Worm). Kalau korban terdeteksi sudah terinfeksi Worm Anda, maka Anda tidak usah repot-repot untuk menyuruh Worm menginfeksi ulang! Atau istilahnya Anda ndak perlu nginfeksiin dua kali… (untuk Worm yang sama dan sejenis, kalau Worm itu beda, ya biarin aja nginfeksiin lagi). Ibaratkan aja, Anda terkena sakit cacar air misalnya. Kan ya ndak mungkin si cacar air itu nyerang Anda lagi wong Anda sembuh dari cacar airpun belum… tapi kalau yang nyerang kutu air… hmmmm boleh-boleh aja! Karena kutu air kan beda ama cacar air… walaupun sama-sama pakai istilah air. OK lanjut, tarik bang.
Proses penyebaran bibit-bibit Worm ini dapat berlangusng sebagai proses penyebaran satuan (dari satu komputer ke komputer yang lain) atau sebagai proses penyebaran massal (dari satu komputer ke banyak komputer). Maksudnya begini, ketika Worm Anda sudah nularin flash disk Anda lah misalnya, kemudian Anda ngapel (bukan ngepel loh) di tempat pacar Anda, dan sesudah sampainya Anda di sana langsung nyalain komputer untuk ngopy (menyalin data, dudu nginum kopi) data dari flash disk tadi (yang udah ketularan penyakit Worm) maka secara otomatis komputer pacar Anda pun akan kena Worm sejenis dengan Worm Anda (catatan kalau pacar Anda ndak istalin Anti Virus yang baik lho, tapi anti virus yang yang baik juga bisa kejangkit virus jika tidak pernah di update lho).
Ketika pacar Anda ngopy itu data dari komputernya ke flash disk lagi, kemudian di buka di komputer selingkuhannya misalnya, yach… komputer selingkuhannya giliran jadi korban selanjutnya. Dan begitu seterusnya. Menyerang tapi dari satu komputer ke komputer lainnya satu-satu. Nah untuk yang massal ibaratnya gini. Di kampus Anda atau di kantor Anda sama sajalah, komputer-komputer biasanya kan saling terhubung antara satu dengan lainnya. Bisa dengan kabel UTP ataupun dengan wireless, yang penting bisa saling koneksi. Dan biasanya, ada satu komputer yang dijadiin server. Nah, misalnya salah satu data Microsoft Word Anda yang ada di flash disk Anda (yang kena Worm loh!) kemudian dicopy-in ke sebuah server. Jadilah Worm itu nempel di server. Padahal seperti Anda tahu, server itu kan di akses oleh semua komputer yang ada di situ kan! Jadilah Worm Anda menyebar secara massal alias ber-“jamaah” dengan waktu yang relatif singkat. Asal orange ngakses server, maka kena dech! Dengan catatan kayak tadi juga, bahwa di komputer-komputer tersebut tidak dipasang anti Virus yang baik-baik (yang bisa ngedeteksi Worm).
Proses penyebaran secara massal biasanya dipakai sebagai metode penyebaran yang paling efektif. Ingat ya! Worm yang bisa dikatain sukses adalah Worm yang kemampuan menyebarnya sangat cepat (whussss) Dan tidak terkendali serta mampu bertahan diri dengan baik di habitat barunya.
Anda mungkin tidak berpikir, ketika cacing-cacing akan memasuki saluran baru, si komandan cacing mungkin saja berteriak (dengan bahasa cacing terntunya) “Oiii ada saluran baruuu! Serbuuuuuu!!!!” Nah apakah si cacing langusng masuk ke saluran baru tersebut dengan tiba-tiba! Atau ngikut mengalir saja sehingga menemukan saluran-saluran baru lainnya! Hmmm, mungkin bagi cacing yang cerdik (tergantung dari si pembuat Worm tersebut, sudah expert atau masih pemula) mereka akan berpikir cara A yaitu “kita akan menyerbu saluran mana lagi ya?” (pakai planning dan perhitungan sambil cari-cari saluran baru) atau mereka akan berpikir cara B yaitu lha ini saluran induknya! Berarti nanti kita tinggal menyerbu sini, sini dan sini!”menemukan saluran utama, kemudian langkah menyerbu secara otomatis sudah ditangan si cacing, karena semua cabang saluran kan jelas nyambung ke saluran induk nih). Nah, sama dengan hal tersebut.
Di dunia Worm juga dikenal beberapa mekanisme penyebaran yang dapat dipakai untuk menemukan calon korban yaitu dengan melakukan scaning, mencari korban berdasarkan target list yang sudah dipersiapkan terlebih dahulu (kalau cacingnya ya cara A) atau berdasarkan list yang ditemukan pada sistem korban maupun di metaserver serta melakukan monitoring secara pasif (istilah cacingnya cara B).
Replikasi Dan Bertahan Hidup
Sebelumnya di awal sudah ngomong bahwa Worm dan Virus itu beda. Salah satu bedanya adalah dalam hal campur tangan alias intervensi kita atau manusia terhadap kemampuan menyebar atau replikasi keduanya. Atau bahasa kerennya : perbedaan mendasar antara Worm dan Virus terletak pada bagaimana mereka membutuhkan intervensi manusia untuk melakukan replikasi atau penggandaan diri dan menyebar menginfeksi sistem komputer.
Virus lebih lambat dalam melakukan penyebaran jika dibandingkan dengan Worm. Namun Virus mempunyai kemampuan lebih tinggi untuk menghidari deteksi program anti Virus yang berusaha mengidentifikasi dan mengontrol penyebarannya pada sistem komputer Anda. Biasanya bagi seorang pembuat Worm (termasuk Anda lho nantinya), sebelum melakukan koding atau menulis program Worm, mereka akan memposisikan diri seolah-olah pada posisi sebagai korban dan berpikir bagaimana Worm buatannya akan mampu mereplikasi dirinya dan mampu bertahan hidup secara baik. Demikian juga Anda, agar Worm yang Anda buat juga memiliki kemampuan tersebut maka Anda harus perhatiin hal-hal sebagai berikut :
Registry
Registry merupakan serangkaian konfigurasi yang dipakai oleh Windows untuk mengontrol hardware dan software yang terintalasi pada komputer. Ketik reghedit (singkatan dari registry editor). Kemudian klik tombol OK seperti pada gambar di bawah ini.
Gambar 1 : Dialog Box Run
Anda klik tombol OK, ini tampilan registry editor-nya :
Gambar 2 : Registry Editor
Jika Anda perhatikan pada tampilan registry editor di layar monitor Anda, maka ada 5 key utama pada registry yaitu :
• HKEY_CLASSES_ROOT
Tempat nyimpen info yang akan pastiin si files yang Anda buka dibuka dengan ngepakai aplikasi yang bener.
• HKEY_CURRENT_USER
Mengandung beragam info profil atau semi setting dari masing-masing user yang lagi ngepakai komputer.
• HKEY_LOCAL MACHINE
Mengandung info setting hardware dan software pada Windows secara keseluruhan bagi seluruh user.
• HKEY_USERS
Mengandung info data dari seluruh user.
• HKEY_CURRENT_CONFIG
Mengandung info uses profil hardware saat nyalain komputer.
Sebagian besar kerja Worm adalah dengan memodifikasi registry. Dari registry Worm biasanya mendisable atau nge-Off-in fasilitas-fasilitas penting seperti MS DOS, Task manager, Registry Editor, merubah Registered Owner dan Registered Organization.
Ms Config
Cara mengaktifkan system Configuration Utility adalah dari Start Menu Windows kemudian pilih run. Lalu Anda ketik msconfig (singkatan dari MsConfiguration) Utility, ya kayak pas regedit itu lah.
Gambar 3 : Dialog Box Run
Klik tombol OK, maka akan muncul tampilan dialog box :
Gambar 4 : Dialog Box System Configuration Utility
Lihat gambar di atas, pada dialog box tersebut, Anda diberikan beberapa alternative setting system dari general, system.ini, win.ini, boot.ini, dapat diisi dan dirubah dari sini. Pada blog ini nantinya akan dipelajari juga bagaimana Worm Anda mampu merubah isi dari win.ini.
Autoexec.BAT
Mungkin bagi Anda yang pernah ngalamin make operating system windows 98 atau versi sebeumnya, jika Anda perhatikan Windows akan menjalankan file autoexec.bat untuk pertama kalinya sebelum masuk ke halaman Windows. Perintah-perintah atau command yang ada pada file autoexec.bat ini akan dijalankan satu persatu sampai habis. Kalau dilihat dari namanya aja, tentu Anda akan dengan mudah bahwa autoexec itu singkatan dari auto execution alias dijalankan secara otomatis. Autoexec.bat sebenarnya dibuat dalam type batch file. Masih ingat batch file mbok! Ya, batch file merupakan file yang berisi kesatuan perintah-perintah DOS yang akan dijalankan sekaligus (aslinya itu perintah-perintah yang berdiri sendiri, dalam jumlah yang cukup banyak ditulis dengan cara dijadiin satu dalam file autoexec.bat kemudian dijalankan sekaligus dalam satu kesatuan). Hmmm, ibarat kayak kacang panjang. Kacang panjang kan aslinya satu-satu mbok, bisa dijual satu-satu secara terpisah (tapi lucu ya!) namun bisa juga diikat jadi satu kesatuan dalam jumlah yang cukup banyak kemudian cara nge-jualnya ya satu ikat sekaligus. Misalnya disuruh untuk aktif secara otomatis, sehingga tanpa sentuhan dari pengguna sekalipun, Worm Anda bisa langsung aktif untuk mereplikasikan dirinya.
Biar ngerti secara detail cara kerja batch file maka bagi Anda yang masih pakai operating system Windows 98 coba ikuti langkah-langkah beriut ini:
1. Anda buka file autoexec.bat pada directory C:\.
2. Cek atribut file tersebut dengan cara klik kanan kemudian properties.
Pastiin tidak hidden dan tidak read-only. Kalau hidden dan read only kan kita jadi ndak bisa memodifikasi atau mengubah.
3. Langkah selanjutnya adalah Anda modifikasi isi dari file tersebut . klik kanan file autoexec.bat kemudian pilih edit. Kalau bisa usahain mengedit dengan pakai notepad aja yah.
4. kemudian Anda modifikasi dengan mengisikan script di bawah ini :
@echo off
echo.
echo SELAMAT DATANG
echo Anda mengeksekusi file autoexec.bat
echo Sedang Belajar Membuat VBS Worm
echo.
echo Tekan sembarang tombol
echo Salam Damai, Peace and Love!
pause
5. Setelah Anda tulis script di atas secara benar, kemudian simpan ulang dengan nama yang sama yaitu autoexec.bat.
6. Restart kembali komputer Anda. Maka pada saat booting, sebelum memunculkan jendela Windows, pesan Anda akan dimunculkan pada autoexec.bat ini dan system akan menjalankannya secara otomatis. Pula.
Win.ini
Di mana letak file win.ini? Hmmm, File win.ini terletak pada direktory C:\Windows. Jika Anda amati (dan harus Anda amati), pada win.ini terdapat beberapa konfigurasi yang mengatur operating system yang Anda pakai. Anda bisa menjalankan file tertentu secara otomatis dengan memodifikasi isi file win.ini.
Gambar 5: Win.ini pada Windows Explorer
Cara modifikasinya? Arahkan kursor Anda ke file Win.ini di folder C:\Windows tersebut, kemudian klik kanan. Muncul pilihan, Anda pilih open, maka akan tampil informasi sebagai berikut :
Gambar 6: Isi File Win.ini
Isi dari file win.ini berbeda-beda antara satu computer dengan computer lainnya. Jadi bias saja tampilan atau isi dari win.ini punya Anda tidak sama dengan gambar di atas. Tapi ndak usah kawatir, ndak masalah kok!
Untuk memudahkan pemahaman, silahkan Anda ikuti langkah berikut :
1. kita akan meletakan baris perintah yang menyuruh Windows njalanin aplikasi kita. Ingat ya! beberapa aplikasi yang bias dijalnkan langsung adalah file-file yang berektensi exe, com atau bat. Nah, untuk hal ini kita akan mencoba menyuruh si Windows untuk menjalankan file exe milik kita secara otomatis. Adapun format dari script atau kode yang bias Anda tambahkan di baris bawah file win.ini adalah sebagai berikut :
[Windows]
load=c: \lokasi_program\namaprogram.exe
run=c:\lokasi_program\namaprogramku.exe
2. Jika Anda memiliki file dengan nama revalina.exe yang disimpen di folder C:\Programku (bias nama file lain dan folder lain, konsepnya sama) maka Anda juga harus ngubah kode :lokasi_program dengan directory dimana file exe yang akan Anda jalankan secara otomatis berada, ya dalam hal ini C:\Programku\ kemudian namaprogramku.exe Anda ubah menjadi nama file exe yang akan dijalankan yaitu revalina.exe jika ditulis lengkap maka script yang Anda tambahkan pada file win.ini adalah sebagai berikut :
[Windows]
load=c:\programku\revalina.exe
run= c:\Programku\revalina.exe
Script VBS Worm Anda nantinya juga bias dirancang untuk emngubah isi dari win.ini dengan menginfeksikan kode Worm Anda secara langsung. Bagaimana caranya? Ya, masih tetap aja lah, ikuti terus blog ini.
Task Manager
Task Manager akan nampilin aplikasi apa saja yang sedang berjalan baik yang secara background atau tidak. Melalui Task Manager Anda bisa menghentikan secara paksa aplikasi yang tidak diinginkan (hehehe memperkosa windows istilah kasarnya). Nah untuk memudahkan pemahaman Anda tentang hal tersebut, ikuti langkah-langkah berikut ini :
1. Dari operating system Windows Anda, tekan bersamaan tombol Ctrl + Alt + Del. Pastiin bahwa operating system Anda adalah Windows bukan DOS, Linux ataupun Macintosh. Karena jika Anda pakai operating system DOS, ketika Anda menekan bersamaan tombol Ctrl + Alt + Del, yang ada bukan Task Manager yang muncul tapi computer anda dijamin restart. Waduh!
2. Setelah menekan Ctrl + Alt + Del kemudian akan tampil dialog box Windows Task Manager seperti gambar di bawah ini :
Gambar 7 : Dialog Box Windows Task manager
3. Dari gambar di atas, dapat terlihat aplikasi apa saja yang sedang aktif di computer. Anda bisa melihat status aplikasi (dalam kolom Task) tersebut, statusnya apakah Running atau not Responding. Hmmm, biasanya aplikasi yang Not Responding Anda close dengan meng-klik tombol End Task!
4. Anda bisa melihat performa computer Anda dengan memilih jendela Performance. Dari jendela ini Anda dapat melihat informasi tentang berapa prosentase penggunaan page file, history penggunaan page, informasi memory secara fisik termasuk juga informasi kernel memory.
Berdasarkan informasi di atas, maka Worm yang Anda buat bisa disuruh-suruh sesuai dengan karakter Task Manager yang dapat menghentikan program yang sedang aktif atau running. Atau bahkan bisa juga disuruh untuk mendisable (nge-Off-in) Task Manager dengan tujuan untuk matiin secara otomatis fungsi mouse, melakukan shutdown atau restart secara langsung ketika dialog box Windows Task Manager.
Special Folder
Special alias khusus, folder alias directory. Jadi special folder sama saja dengan directory khusus. Di operating system Windows dikenal beberapa special folder, namun untuk keperluan ini hanya akan kita bahas 2 special folder yang paling sering diserang Worm. Wuiihhhhh! Folder special itu adalah folder Windows dan folder System32. Kedua folder ini memiliki keunikan, sebab dalam melakukan setting variable (dalam menulis kode Worm biasanya ditampung di variable) dapat dilakukan dengan cara yang lebih mudah. Secara detail akan Anda pelajari pada blog ini, pada bagian VBS Infect Windows. Pada bagian tersebut Anda akan dipandu step by step bagaimana cara menginfeksikan script yang sudah dimodifikasi dan bisa menjadi bibit-bibit Worm selanjutnya, diifeksikan kemana? Ya ke folder special folder Windows dan System32. Setting variable pada special folder ini tergantung dari nilai atau value masing-masing. Nilai special folder di tiap-tiap operating system berbeda. Berikut ini table special folder beserta kodenya :
Tabel 1 : Special Folder
Tidak ada komentar:
Posting Komentar