0
Panduan Penanggulangan Bot
Apakah Komputer Anda Terinfeksi Bot?
(3)
Edisi ke-8
1
1.
Apa itu Bot?
Bot adalah salah satu jenis virus komputer dan merupakan program yang dibuat dengan tujuan untuk mengendalikan komputer yang diinfeksinya dari luar melalui jaringan (internet).
Bila Bot menginfeksi komputer, ia akan menunggu perintah dari luar dan menjalankan tugas yang telah diprogramkan (akan dijelaskan nanti) sesuai dengan perintah yang diberikan. Nama “Bot”
diberikan karena tindakannya itu mirip dengan robot.
2. Ancaman Jaringan Bot
Bot majemuk (jumlahnya berkisar ratusan sampai ribuan atau puluhan ribu) yang berada di bawah kendali server direktif yang sama akan membentuk jaringan dengan server direktif sebagai pusatnya sehingga hal itu disebut jaringan bot.
Jaringan bot dapat menjadi ancaman yang besar bila digunakan untuk mengirimkan pesan spam (*2) dalam jumlah besar dengan tujuan phising (*1) atau digunakan untuk melakukan serangan DDoS (*3) terhadap situs tertentu.
Server direktif
Kelompok komputer yang terinfeksi Bot
Perintah serangan
Serangan serentak Situs sasaran serangan Orang berintensi
buruk
Perintah serentak
Pesan spam dalam jumlah besar dikirim
2
3. Bagaimana Bot Menginfeksi Komputer?
Cara Bot menginfeksi komputer diberikan di bawah ini.
1) Infeksi dari penjalanan file lampiran dalam pesan bervirus
2) Infeksi dari pembukaan laman web palsu (web bervirus)
3) Infeksi dari penuntunan ke situs palsu karena mengklik link (URL) yang ditampilkan dalam pesan spam
4) Infeksi dari akses jahat melalui jaringan yang berhasil menembus sisi rentan komputer (*4)
3
5) Infeksi dari jaringan di mana infeksi itu datang dari pintu belakang (*5) yang dibuat ketika terinfeksi oleh virus lain.
Selain itu, berhati-hatilah karena ada juga bermacam-macam cara infeksi seperti di bawah ini.
6) Infeksi dari penggunaan perangkat lunak pertukaran file (PtoP) 7) Infeksi dari penggunaan layanan IM (Instant Messenger) (*6)
Dari semua ini, cara nomor 4) yaitu cara infeksi dengan menembus sisi rentan komputer dapat terjadi hanya dengan menghubungkan komputer ke jaringan. Hal ini perlu mendapat perhatian khusus karena sulit disadari sebab bagi korban secara kasat mata ia tidak melakukan apa pun namun komputernya terinfeksi. Untuk kasus ini dengan Microsoft Update masalah sisi rentan komputer dapat diatasi, selain itu dengan melakukan langkah penanggulangan akses jahat dari jaringan (akan dijelaskan nanti), masalah ini dapat dicegah.
4.
Aksi Setelah Terinfeksi
Bila terinfeksi, Bot akan melakukan kontak melalui jaringan ke server direktif eksternal (kebanyakan Bot sepertinya menggunakan IRC (Internet Relay Chat)(*7)) dan berdasarkan perintah dari luar Bot akan menjalankan tugas yang telah ditunjuk (mengirimkan pesan spam, melakukan serangan DoS (*3) dan serangan lainnya, menginfeksi jaringan, memindai jaringan (*8), dan lain-lain). Lebih lanjut lagi, Bot pun akan melakukan version up dirinya sendiri, mengubah server direktif yang menunggu perintah, dan lain-lain.
Akan tetapi, kegiatan-kegiatan ini tidaklah mencolok dan dilakukan secara tersembunyi sehingga pengguna komputer hampir tidak menyadarinya dan menjadi sangat merepotkan.
Pintu belakang
4
1) Mengirim pesan spam (mengirim pesan spam dalam jumlah besar)
2) Melakukan serangan-serangan seperti DoS dan lainnya (melakukan serangan pengganggu layanan kepada situs tertentu)
3) Menginfeksi jaringan (infeksi dari akses jahat yang mengincar sisi rentan komputer)
Menginfeksi komputer yang rentan dan tanpa pertahanan
Intranet pun berbahaya
Sepertinya Bot banyak menyerang komputer yang memiliki alamat IP dekat
5
4) Memindai jaringan (mengumpulkan informasi sasaran infeksi dan komputer yang memiliki sisi rentan))
Memberitahukan informasi ke server tertentu
5) Melakukan version up diri sendiri dan mengubah server direktif
6) Memata-matai (mengirim informasi internal komputer yang diinfeksi ke luar)
Informasi di Dalam Komputer
Informasi di Dalam
Komputer Informasi di Dalam Komputer
Informasi di Dalam Komputer
Informasi di Dalam Komputer
6
5. Cara Mengecek dan Menghalau Bot yang Telah Menginfeksi
(Untuk Pengguna Windows)
Bot belakangan ini menggunakan berbagai cara agar ia tidak disadari oleh pengguna komputer yang ia infeksi. Misalnya bila komputer itu menggunakan perangkat lunak anti-virus (perangkat lunak vaksin), ia akan menghalangi perangkat lunak tersebut untuk mendapatkan definisi virus-virus baru dan juga menghentikan kerja perangkat lunak tersebut.
Selain itu bila melihat detail proses pada saat komputer bekerja, Bot sepertinya menggunakan nama yang sulit dibedakan dengan proses yang dilakukan oleh sistem dan ada kalanya proses itu pun tidak bisa dilihat.
Dengan keadaan seperti ini bila Anda merasa ada yang aneh, periksalah apakah komputer Anda terinfeksi Bot atau tidak dengan melakukan langkah pemeriksaan berikut ini.
1)Memperbarui Komputer ke Keadaan Terbaru Jalankan Microsoft Update.
Bila saat ini komputer tidak bisa terhubung dengan situs Microsoft, ada kemungkinan Bot (atau virus) menghalangi sambungan ke situs tertentu, lakukanlah pemeriksaan nomor 3).
Bila pengaturan ada yang tidak benar, jalankan Microsoft Update sekali lagi setelah pengaturan itu diperbaiki.
Microsoft Update
http://www.update.microsoft.com/microsoftupdate/v6/default.aspx
Untuk menggunakan Microsoft Update, lihatlah situs web di bawah ini.
Cara menggunakan Microsoft Update
http://www.microsoft.com/en-us/windows/help/windows-update
Bila Microsoft Update dijalankan, “Tool Penghapus Perangkat Lunak Jahat” akan dilaksanakan. Tool ini akan mencari program Bot yang terdiri dari berbagai macam jenis dan menghapusnya begitu ditemukan.
Ini artinya adalah perangkat lunak anti-virus gratis namun ini hanya berlaku pada saat Microsoft Update dijalankan saja sehingga bila diperlukan silakan Anda unduh sendiri tool ini dari situs Microsoft Download. Bila tool tersebut sudah diunduh, Anda dapat menjalankannya.
Tambalan Keamanan (Patch)
7
Tool Penghapus Perangkat Lunak Jahat
http://www.microsoft.com/security/pc-security/malware-removal.aspx
2) Jalankan Pencarian Virus Setelah Perangkat Lunak Anti-Virus Diperbarui ke Keadaan Terbaru
Bila Anda menggunakan perangkat lunak anti-virus, perbarui file definisi virusnya lalu jalankan pencarian virus.
Bila Anda tidak menggunakan perangkat lunak anti-virus, Anda bisa menggunakan layanan vendor anti-virus yang menyediakan pemindaian online (lihat halaman 12)
Bila saat ini komputer tidak bisa terhubung dengan situs vendor anti-virus, ada kemungkinan Bot (atau virus) menghalangi
sambungan ke situs tertentu, lakukanlah pemeriksaan nomor 3). Bila pengaturan ada yang tidak benar, perbaiki pengaturan itu lalu setelah perangkat lunak anti-virus diperbarui ke keadaan terbaru sekali lagi, jalankan pencarian virus atau jalankan pemindaian online (Perhatian:
ada kalanya pemindaian online tidak bisa menghapus Bot. Lakukan penghapusan dengan melihat referensi cara menghapus yang ditunjukkan untuk setiap virus yang ditemukan).
Perangkat lunak anti-virus akhir-akhir ini cenderung bergerak ke arah perangkat lunak keamanan umum. Perangkat lunak keamanan umum memiliki fitur firewall dan sepertinya bisa mencegah infeksi dari jaringan.
Selain itu meskipun komputer terinfeksi, perangkat lunak keamanan ini sepertinya akan mengawasi/menahan akses ke luar yang berasal dari dalam komputer dan bukan atas keinginan pengguna sehingga pengguna dapat dengan mudah mengerti bahwa komputernya terinfeksi oleh program jahat seperti Bot dan lainnya. Karena itu, langkah penanggulangan dengan memanfaatkan perangkat lunak keamanan seperti ini pun menjadi penting.
Definisi Virus
8
3) Carilah File-File Berikut Ini
・File HOSTS
Untuk Windows NT, 2000
File HOSTS yang ada di dalam folder C:¥WINNT¥SYSTEM32¥DRIVERS¥ETC
Untuk Windows XP, Vista
File HOSTS yang ada di dalam folder C:¥WINDOWS¥SYSTEM32¥DRIVERS¥ETC
★Untuk mengecek isinya, gunakan aksesoris memo (notepad.exe) agar praktis.
File ini adalah file yang merinci ke mana sambungan jaringan dilakukan.
Bila pengaturannya disalahkan, saat akan melakukan sambungan ke URL situs tertentu komputer akan disambungkan ke alamat IP yang lain.
Bila Anda belum pernah menangani file-file ini, yang akan ditampilkan adalah catatan definisi (Localhost) seperti di bawah ini dan bila ada definisi yang lain, lakukanlah pemeriksaan hal-hal berikut ini.
Bila URL yang dirujuk itu adalah situs Microsoft atau situs vendor anti-virus, definisi-definisi tersebut perlu dihapus (127.0.0.1 merujuk pada komputer milik sendiri).
127.0.0.1 localhost
Di bawah ini adalah contoh rujukan-rujukan yang salah
9
127.0.0.1 www.microsoft.com 127.0.0.1 www.nai.com
127.0.0.1 trendmicro.com
127.0.0.1 update.symantec.com 127.0.0.1 updates.symantec.com
Bila di awal baris terdapat tanda #, itu artinya baris komentar dan tidak ada masalah.
6.
Hal Apa yang Sebaiknya Diperhatikan oleh Penggu na pada Umumnya?
Pengguna umum jaringan (internet) perlu melakukan langkah penanggulangan berikut ini agar tidak terinfeksi virus seperti Bot dan lainnya.
(1) Menginstall perangkat lunak penanggulangan keamanan
Menginstall perangkat lunak anti-virus dan anti-spyware (atau menginstall perangkat lunak keamanan umum) dan melakukan pembaruan file definisi (virus) yang digunakan oleh perangkat lunak tersebut secara berkala serta melakukanpemeriksaan virus.
(2) Berhati-hati pada lampiran file pesan
Jangan dengan mudah membuka lampiran pesan yang tidak dikenal. Terlebih bila lampiran file tersebut berjenis yang dapat dijalankan, Anda perlu semakin berhati-hati.(3)
Menahan diri dari kunjungan ke situs web yang mencurigakan
Di internet ada situs yang bertujuan untuk menanamkan program jahat ke komputer pengguna internet. Akan berbahaya bila Anda mengunjungi situs seperti ini dengan pengaturan penanggulangan keamanan yang kurang baik.
10
(4) Pemanfaatan efektif opsi internet (opsi keamanan) dari peramban dan lainnya
Bedakan dengan jelas situs yang dapat dipercaya dengan yang tidak, atur level keamanan ke tingkat tertinggi saat mengunjungi situs yang tidak dapat dipercaya. (Gambar adalah opsi internet dari Internet Explorer 7)
■ Menjaga kemanaan dengan Internet Explorer (PT Microsoft)
http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en -us/zone_ovr.mspx?mfr=true
(5) Tidak mengklik tawaran manis dari pesan spam dan lainnya
Berhati-hatilah dengan tawaran manis pesan spam. Seperti yang sudah ditunjukkan pada nomor (3), Anda akan dituntun ke situs yang mencurigakan.
Hadiah yang indah?
11
(6) Penggunaan router dalam sambungan internet, penginstallan firewall (personal), dan pengaturan serta pengoperasian yang benar
Untuk melindungi komputer sendiri dan jaringan dari infeksi langsung melalui internet, disarankan untuk menginstall router firewall (firewall personal).
Seandainya terinfeksi pun, kebocoran informasi dari dalam komputer sendiri atau jaringan melalui internet serta serangan-serangan dapat dicegah.
(7) Menjaga OS dan aplikasi di dalam komputer selalu dalam keadaan terbaru (menjalankan Microsoft Update dan lain-lain)
7. Poin-Poin Penanggulangan Bot Bagi Operator Web dan Lainnya
Bagi pengguna yang menggunakan internet dari operator web dan lainnya sebagai tempat untuk menampilkan informasi, lakukan langkah-langkah penanggulangan berikut ini supaya tidak menjadi landasan infeksi virus seperti Bot dan lainnya.
(1) Berhati-hatilah agar komputer tidak disusupi dan laman Web dan lainnya tidak dimanipulasi sebagai tempat penginfeksian Bot (penyusupan virus)
(2) Menjaga OS dan aplikasi di dalam komputer selalu dalam keadaan terbaru
(3) Bila keanehan ditemukan, lakukan langkah penghentian
penyebaran kerusakan dengan segera menutup Web dan
lainnya
12
Informasi Referensi
Silakan lihat materi referensi berikut ini termasuk langkah penanggulangannya
Buku Putih Keamanan Informasi, Edisi Tahun 2007 - 10 Ancaman Besar “Percepatan Ancaman yang Menjadi ‘Tak Kasat Mata’”
http://www.ipa.go.jp/security/vuln/20070309_ISwhitepaper.html
Keamanan Komputer ~Kecenderungan Tahun 2004 dan Penanggulangannya~
http://www.ipa.go.jp/security/vuln/20050331_trend2004.html
Tool Penghapus Perangkat Lunak Jahat
http://www.microsoft.com/japan/security/malwareremove/
Cyber Clean Center (CCC, Proyek Kerja Sama Departemen Dalam Negeri dan Telekomunikasi dengan Departemen Ekonomi, Perdagangan, dan Industri )
https://www.ccc.go.jp/
Pemindaian Online (Layanan Pemeriksaan Virus)
◆ Langkah-langkah penghapusan Bot Cyber Clean Center
https://www.ccc.go.jp/flow/
◆ Pemeriksaan Keamanan Symantec
http://security.symantec.com/sscv6/home.asp
◆ Pemindaian Online Trendmicro
http://www.trendflexsecurity.jp/housecall/
◆ Pemindaian Gratis McAfee
http://www.mcafee.com/japan/mcafee/home/freescan.asp
Penjelasan Kosakata
(*1) Phising
Tindakan penipuan yang berupa pengambilan informasi pribadi seperti alamat, nama, akun bank, nomor kartu kredit, dan lain-lain dengan mengirimkan email yang berkedok lembaga keuangan (bank atau perusahaan kartu kredit). Phising berasal dari penggabungan kata memancing (phising) dan metode kamuflase yang kompleks (sophisticated).
(*2) Pesan Spam (spam mail)
Pesan spam yang disebut juga pesan sampah (UBE: Unsolicited Bulk Email) adalah pesan yang dikirimkan dalam jumlah besar secara sembarang dengan tujuan tidak hanya komersil saja tetapi juga tujuan propaganda pribadi, keagamaan, dan juga untuk mengganggu.
13
(*3) Serangan DoS (Serangan Pengganggu Layanan)/Serangan DDoS (Serangan Pengganggu Layanan Terdistribusi)
Di dalam serangan pengganggu layanan (serangan DoS) terdapat serangan yang menggunakan karakteristik internet protokol untuk kepentingan buruk dengan memberikan beban berlebih kepada komputer yang terhubung ke jaringan sehingga layanan tidak dapat diberikan. Sumber serangan seperti DoS ini jumlahnya ada beberapa sehingga bila komputer yang dijadikan target hanya ada satu saja, beban yang dilimpahkan kepada komputer target tersebut menjadi lebih besar. Serangan seperti ini disebut dengan serangan DDoS (Distributed Denial of Service).
Telah diketahui secara luas bahwa sumber serangan tersebut tidak terbatas pada manusia saja tetapi juga program yang telah disiapkan sebelumnya oleh penyerang (manusia) untuk menyerang beberapa situs selain situs target dan melancarkan serangan DoS secara serentak dari jauh.
(*4) Kerawanan (vulnerability)
Biasanya kerawanan yang dimaksud dalam bidang keamanan informasi adalah keberadaan sisi rawan yang mempunyai
kemungkinan untuk menimbulkan hal-hal tak terduga yang tidak diinginkan seperti kerusakan dalam sistem, jaringan, aplikasi, dan juga keamanan dari protokol-protokol terkait, selain itu kerawanan di sini juga termasuk kesalahan dalam perhitungan atau pemasangan.
Selain kerawanan sistem operasi, ada juga kerawanan sistem aplikasi.
Selain itu, di samping kerawanan perangkat lunak, ada juga
kerawanan yang diakibatkan oleh keadaan tidak sempurna dalam pengaturan keamanan. Pada umumnya kerawanan disebut juga dengan lubang keamanan (security hole).
(*5) Pintu Belakang (Back Door)
Yang dimaksud dengan pintu belakang adalah pengaktifan program sebagai layanan dengan menggunakan port tertentu yang telah dibuka untuk menyusupi (mengakses) komputer. Dengan layanan ini
komputer dapat disusupi dari luar melalui internet.
(*6) IM(instant messenger)
IM adalah perangkat lunak yang memungkinkan percakapan dan berbagi file di antara pemakai komputer melalui sambungan internet.
Dengan ini kedatangan teman yang menggunakan perangkat lunak yang sama ke internet dapat diketahui dan dapat berkirim pesan
14
secara langsung. Contoh IM yang terkenal adalah AOL Instant Messaging dan MSN Messenger.
(*7) IRC(Internet Relay Chat)
IRC adalah sebuah sistem chatting. Dengan mengakses server IRC yang ada di internet dan menggunakan perangkat lunak khusus, pertukaran pesan di antara beberapa pengguna dapat dilakukan.
(*8) Pemindaian jaringan
Pemindaian jaringan adalah pemeriksaan keadaan layanan di setiap port dari komputer yang menjadi sasaran dengan menggunakan cara yang disebut dengan port scan. Pintu belakang dan hal-hal lain yang dibuat oleh virus lainnya pun dapat diperiksa.
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Buku panduan ini dibuat atas kerja sama perusahaan-perusahaan berikut ini. (Nama perusahaan menurut alfabet Jepang)
●PT Ahnlab
http://www.ahnlab.co.jp/
●PT Kaspersky Labs Japan http://www.kaspersky.co.jp/
●PT Symantec
http://www.symantec.com/ja/jp/
●PT SourceNext
http://www.sourcenext.com/
●PT Trendmicro
http://jp.trendmicro.com/
●PT Microsoft
http://www.microsoft.com/ja/jp/
●PT McAfee
http://www.mcafee.com/japan/
15
Bot Dilarang Masuk
※Bahan materi ini dibuat berdasarkan data yang disediakan oleh Pusat Keamanan Agen Promosi Teknologi Informasi (IPA) dan setelah diterjemahkan diberikan oleh pemerintah Jepang secara gratis kepada negara-negara ASEAN.
Dilarang memodifikasi atau dengan tujuan komersial memperbanyak, membuatnya dapat disebarluaskan, memfilmkan atau menyiarkan bahan materi ini tanpa seizin pemerintah Jepang.
(Kontak: Pusat Keamanan Informasi Sekretaris Kabinet (NISC), Nagata-cho 2-4-12, Chiyoda, Tokyo, 100-0014 poc@nisc.go.jp)