Trojan

Istilah Trojan Horse (Kuda Troya) berasal dari mitologi Yunani pada saat perang Troya. Dalam peperangan tersebut pasukan Yunani melawan pasukan kerajaan Troya. Pasukan Yunani telah mengepung kota Troya selama sepuluh tahun, namun karena pasukan kerajaan Troya cukup tangguh, maka pasukan Yunani sulit mengalahkannya. Akhirnya, pasukan Yunani membuat strategi yaitu dengan membuat sebuah kuda raksasa yang terbuat dari kayu. Kuda dari kayu ini cukup unik, di dalamnya berongga sehingga dapat diisi pasukan Yunani. Pasukan Yunani pura-pura mundur dan sambil memberikan hadiah kuda kayu raksasa tersebut. Dengan bantuan seorang spionase Yunani yang bernama Sinon, penduduk kota Troya berhasil diyakinkan untuk menerima kuda kayu raksasa itu dan memasukkannya ke dalam kota. Pada malam harinya, pasukan Yunani yang berada di dalam kuda kayu keluar, kemudian membuka gerbang dan kota Troya diserang. Dengan cara tersebut kota Troya dapat dikuasai oleh Yunani

Kisah ini telah mengilhami para hacker untuk menciptakan “penyusup” ke komputer orang lain yang disebut dengan Trojan Horse. Trojan pada saat ini berkaitan dengan masalah keamanan komputer yang cukup serius. Trojan dapat masuk ke komputer dengan melalui beberapa cara dan dari berbagai sumber yang kurang dapat dipercaya di Internet atau dari orang lain.


Seperti halnya virus, jumlah trojan yang semakin lama semakin bertambah banyak, karena hacker atau pembuat program Trojan (programmer) yang selalu bereksperimen untuk mengembangkannya. Trojan tidak mempunyai masa aktif, maksudnya Trojan akan ada selamanya (bersarang) dan tidak pernah akan habis. Ada banyak hal yang dapat dikembangkan oleh programmer agar program yang dibuat tidak terdeteksi oleh anti-virus atau trojan scanner. Programmer akan selalu bereksperimen untuk menciptakan Trojan yang unik dengan fungsi-fungsi baru dengan metode enkripsi yang lebih hebat .

Secara teknis, Trojan dapat muncul di mana saja dan kapan saja, di sistem operasi manapun dan berbagai platform. Kecepatan peredaran Trojan secepat virus. Secara umum Trojan berasal dari program-program yang di download dari Internet, terutama freeware atau shareware yang mencurigakan dan tidak berasal dari situs aslinya.

Salah satu indikasi komputer yang terinfeksi oleh Trojan dapat digambarkan sebagai berikut. Pada saat komputer terhubung dengan Internet, misalnya saat mengobrol (chating) atau memeriksa e-mail, tetapi hardisk bekerja dengan sibuk (busy) dalam waktu yang lama. Selain itu pemakai juga tidak sedang menjalankan program aplikasi besar atau men-download sesuatu yang mengharuskan piringan hardisk berputar cukup lama. Kejadian tersebut termasuk kejadian aneh yang patut dicurigai adanya penyusupan.

Secara umum trojan dapat didefinisaikan sebagai suatu program yang tidak diharapkan dan disisipkan tanpa sepengetahuan pemilik komputer. Program ini kemudian dapat diaktifkan dan dikendalikan dari jarak jauh, atau dengan menggunakan timer (pewaktu). Akibatnya, komputer yang disisipi Trojan Horse tersebut dapat dikendalikan dari jarak jauh.

Definisi lain mengatakan bahwa Trojan adalah program apapun yang digunakan untuk melaksanakan suatu fungsi penting dan diharapkan oleh pemakai, namun kode dan fungsi di dalamnya tidak dikenal oleh pemakai. Selanjutnya program melaksanakan fungsi tak dikenal dan dikendalikan dari jarak jauh yang tidak dikehendaki oleh pemakai.

Cara kerja Trojan mirip dengan remote administration tool, dengan sifat dan fungsi yang sama. Program remote administration misalnya pcAnywhere, digunakan untuk keperluan yang benar dan sah (legitimate), sedangkan Trojam digunakan untuk keperluan yang negatif

Jika sebuah komputer terinfeksi oleh Trojan dan telah dikendalikan oleh penyerangnya, maka beberapa kemungkinan dapat terjadi. Sebagai contoh, sebuah Trojan dengan nama NetBus dapat melakukan banyak hal ke komputer yang telah dikendalikan antara lain:
menghapus file,
mengirim dan mengambil file,
menjalankan program-program aplikasi,
menampilkan gambar,
mengintip program-program yang sedang dijalankan,

menutup program-program yang dijalankan,
melihat apa saja yang sedang diketik,
membuka dan menutup CD-ROM drive,
mengirim pesan dan mengajak untuk bicara (chat),
mematikan komputer.

Trojan masuk melalui dua bagian, yaitu bagian client dan server. Ketika korban (tanpa diketahui) menjalankan komputer, kemudian penyerang akan menggunakan client untuk koneksi dengan server dan mulai menggunakan trojan. Protokol TCP/IP adalah jenis protokol yang umum digunakan untuk komunikasi. Trojan dapat bekerja dengan baik dengan jenis protokol ini, tetapi beberapa trojan juga dapat menggunakan protokol UDP dengan baik. Ketika server mulai dijalankan (pada komputer korban), Trojan umumnya mencoba untuk menyembunyikan diri di suatu tempat dalam sistem komputer tersebut, kemudian mulai “mendengarkan” di beberapa port untuk melakukan koneksi, memodifikasi registry dan atau menggunakan metode lain yaitu metode autostarting.

Hal yang penting untuk diketahui oleh penyerang adalah mengetahui IP address korban untuk menghubungkan komputernya ke komputer korban. Banyak varian Trojan mempunyai kemampuan mengirimkan IP address korban ke penyerangnya, misalnya media ICQ maupun IRC. Hal ini digunakan bagi korban yang mempunyai IP address dinamis, yang berarti setiap kali menghubungkan ke Internet didapatkan IP address yang berbeda. Untuk pemakai yang memanfaatkan Asymmetric Digital Suscriber Line (ADSL) berarti selalu memakai IP address yang tetap (statis) sehingga mudah diketahui dan mudah untuk dikoneksikan dengan komputer penyerang . Sebagian besar Trojan menggunakan metode auto-starting, yaitu Trojan akan secara otomatis aktif saat komputer dihidupkan. Walaupun komputer dimatikan dan kemudian dihidupkan lagi, Trojan mampu bekerja kembali dan penyerang mengakses kembali ke komputer korban. Metode baru auto-starting dan trik lain telah ditemukan sejak semula. Jenis Trojan ini bekerja mulai dari koneksi trojan ke dalam beberapa file executable yang sering digunakan misalnya explorer.exe dan kemudian memodifikasi file sistem atau Windows Registry. File sistem ditempatkan di direktori Windows. Dari direktori ini penyerang melaksanakan penyerangan atau penyalahgunaan. Penyalahgunaan penyerang melewati file sistem adalah sebagai berikut:

Autostart Folder. Autostart folder berada di lokasi C:\Windows\Start Menu\Programs\Startup dan sesuai dengan namanya akan bekerja secara otomatis bagia file sistem yang ditempatkan di folder tersebut.

Win.Ini.

File sistem Windows menggunakan load=trojan.exe dan run=trojan.exe untuk menjalankan Trojan.

System.Ini.

Menggunakan shell=explorer.exe trojan.exe. Hal ini diakibatkan oleh eksekusi setiap file setelah menjalankan explorer.exe.

Wininit.Ini.

Sebagian besar setup program menggunakan file ini. Sekali dijalankan maka menjadi auto-delete, akibatnya Trojan sangat cekatan atau cepat untuk bekerja kembali.

Winstart.Bat. Bertindak seperti batch file yang normal, ketika ditambahkan@ trojan.exe mampu menyembunyikan korbannya.

Autoexec.Bat.

Autoexec.Bat adalah file auto-starting Disk Operating System (DOS). File tersebut digunakan sebagai metode auto-starting, yaitu dengan memasang c:\trojan.exe.

Config.Sys.

Config.Sys juga dapat digunakan sebagai suatu metode auto-starting untuk Trojan.

Explorer Startup.

Explorer Startup adalah suatu metode auto-starting untuk Windows95, 98, ME dan jika c:\explorer.exe ada, hal itu akan dimulai maka akan menggantikan yang umum, yaitu c:\Windows\Explorer.exe.

Registry sering digunakan dalam berbagai metode auto-starting. Registry sebagai jalan untuk auto-starting yang diketahui antara lain:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion \Run]

"Info"="c:\directory\Trojan.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion \RunOnce]

"Info"="c:\directory\Trojan.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion \RunServices]

"Info"="c:\directory\Trojan.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion \RunServicesOnce]

"Info="c:\directory\Trojan.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion \Run]

"Info"="c:\directory\Trojan.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion \RunOnce]

"Info"="c:\directory\Trojan.exe"

[HKEY_CLASSES_ROOT\exefile\shell\open\command]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open \command]


Dari berbagai macam Trojan yang telah beredar dan menginfeksi pemakai Internet, dapat diklasifikasikan berdasarkan ciri-cirinya. Menurut Dancho Danchev (2004), Trojan dapat diklasifikasikan menjadi delapan jenis, antara lain sebagai berikut:

 Trojan Remote Access

Trojan Remote Access termasuk Trojan paling populer saat ini. Banyak penyerang menggunakan Trojan ini dengan alasan fungsi yang banyak dan sangat mudah dalam penggunaannya. Prosesnya adalah menunggu seseorang menjalankan Trojan yang berfungsi sebagai server dan jika penyerang telah memiliki IP address korban, maka penyerang dapat mengendalikan secara penuh komputer korban. Contoh jenis Trojan ini adalah Back Orifice (BO), yang terdiri dari BOSERVE.EXE yang dijalankan dikomputer korban dan BOGUI.EXE yang dijalankan oleh penyerang untuk mengakses komputer korban.

 Trojan Pengirim Password

Tujuan dari Trojan jenis ini adalah mengirimkan password yang berada di komputer korban atau di Internet ke suatu e-mail khusus yang telah disiapkan. Contoh password yang disadap misalnya untuk ICQ, IRC, FTP, HTTP atau aplikasi lain yang memerlukan seorang pemakai untuk masuk suatu login dan password. Kebanyakan Trojan ini menggunakan port 25 untuk mengirimkan e-mail. Jenis ini sangat berbahaya jika dalam komputer terdapat password yang sangat penting.

 Trojan File Transfer Protocol (FTP)

Trojan FTP adalah paling sederhana dan dianggap ketinggalan jaman. Satu-satunya fungsi yang dijalankan adalah membuka port 21 di komputer korban yang menyebabkan mempermudah seseorang memiliki FTP client untuk memasuki komputer korban tanpa password serta melakukan download atau upload file.

 Keyloggers

Keyloggers termasuk dalam jenis Trojan yang sederhana, dengan fungsi merekam atau mencatat ketukan tombol saat korban melakukan pengetikan dan menyimpannya dalam logfile. Apabila diantara ketukan tersebut adalah mengisi user name dan password, maka keduanya dapat diperoleh penyerang dengan membaca logfile. Trojan ini dapat dijalankan pada saat komputer online maupun offline. Trojan ini dapat mengetahui korban sedang online dan merekam segala sesuatunya. Pada saat offline proses perekaman dilakukan setelah Windows dijalankan dan disimpan dalam hardisk korban dan menunggu saat online untuk melakukan transfer atau diambil oleh penyerang.

 Trojan Penghancur

Satu-satunya fungsi dari jenis ini adalah untuk menghancurkan dan menghapus file. Trojan penghancur termasuk jenis yang sederhana dan mudah digunakan, namun sangat berbahaya. Sekali terinfeksi dan tidak dapat melakukan penyelamatan maka sebagian atau bahkan semua file sistem akan hilang. Trojan ini secara otomatis menghapus semua file sistem pada komputer korban (sebagai contoh : *.dll, *.ini atau *.exe). Trojan diaktifkan oleh penyerang atau bekerja seperti sebuah logic bomb dan mulai bekerja dengan waktu yang ditentukan oleh penyerang.

 Trojan Denial of Service (DoS) Attack

Trojan DoS Attack saat ini termasuk yang sangat populer. Trojan ini mempunyai kemampuan untuk menjalankan Distributed DoS (DDoS) jika mempunyai korban yang cukup. Gagasan utamanya adalah bahwa jika penyerang mempunyai 200 korban pemakai ADSL yang telah terinfeksi, kemudian mulai menyerang korban secara serempak. Hasilnya adalah lalu lintas data yang sangat padat karena permintaan yang bertubi-tubi dan melebihi kapasitas band width korban. Hal tersebut menyebabkan akses Internet menjadi tertutup. Wintrinoo adalah suatu tool DDoS yang populer baru-baru ini, dan jika penyerang telah menginfeksi pemakai ADSL, maka beberapa situs utama Internet akan collaps. Variasi yang lain dari sebuah trojan DoS adalah trojan mail-bomb, tujuan utamanya adalah untuk menginfeksi sebanyak mungkin komputer dan melakukan penyerangan secara serempak ke alamat e-mail yang spesifik maupun alamat lain yang spesifik dengan target yang acak dan muatan/isi yang tidak dapat disaring.

 Trojan Proxy/Wingate

Bentuk dan corak yang menarik diterapkan oleh pembuat trojan untuk mengelabui korban dengan memanfaatkan suatu Proxy/Wingate server yang disediakan untuk seluruh dunia atau hanya untuk penyerang saja. Trojan Proxy/Wingate digunakan pada Telnet yang tanpa nama, ICQ, IRC, dan untuk mendaftarkan domain dengan nomor kartu kredit yang telah dicuri serta untuk aktivitas lain yang tidak sah. Trojan ini melengkapi penyerang dengan keadaan tanpa nama dan memberikan kesempatan untuk berbuat segalanya terhadap komputer korban dan jejak yang tidak dapat ditelusuri.

 Software Detection Killers

Beberapa Trojan telah dilengkapi dengan kemampuan melumpuhkan fungsi software pendeteksi, tetapi ada juga program yang berdiri sendiri dengan fungsi yang sama. Contoh software pendeteksi yang dapat dilumpuhkan fungsinya adalah Zone Alarm, Norton Anti-Virus dan program anti-virus/firewall yang lain berfungsi melindungi komputer. Ketika software pendeteksi dilumpuhkan, penyerang akan mempunyai akses penuh ke komputer korban, melaksanakan beberapa aktivitas yang tidak sah, menggunakan komputer korban untuk menyerang komputer yang lain.

Tanda-tanda terserangnya komputer oleh Trojan dapat diketahui dengan melihat perilaku tampilan komputer dan melakukan deteksi dengan anti-virus maupun trojan scanner. Tanda-tanda yang diperlihatkan oleh tampilan komputer dan patut dicurigai adalah sebagai berikut

Saat mengunjungi suatu situs, terdapat beberapa pop-up yang muncul dan telah mengunjungi salah satu pop-up. Tetapi ketika akan mengakhiri kunjungan (tidak sepenuhnya dikunjungi), tiba-tiba browser mengarahkan dan membuka secara otomatis beberapa halaman tidak dikenal.

• Tampilan Kotak Pesan yang tak dikenal dan tampak di layar monitor. Pesan berisi beberapa pertanyaan yang bersifat pribadi.

• Tampilan Windows mengalami perubahan dengan sendirinya, misalnya teks screensaver yang baru, tanggal/waktu, perubahan volume bunyi dengan sendirinya, pointer mouse bergerak sendirinya, CD-ROM drive membuka dan menutup sendiri.

• Outlook Express menggunakan waktu yang cukup lama saat menutup (close) atau terlihat hang (menggantung) ketika melihat preview-nya,

• Adanya file yang rusak atau hilang,

• Program yang tidak diketahui aktif terlihat di task list,

• Tanda atau informasi dari firewall tentang outbound komunikasi dari sumber yang tidak diketahui.

Sebagian cara diatas dilakukan oleh para hecker tingkat pemula karena menampilkan jejak penyusupanya. Hal ini sangat bertolak belakang dari apa yang dilakukan oleh hacker tingkat atas mereka akan cenderung melakukan penyusupan tanpa meninggalkan pesan atau jejak apapun

Pendeteksian Trojan dapat dilakukan dengan cara-cara sebagai berikut :

1. Task List

Cara pendeteksiannya adalah dengan melihat daftar program yang sedang berjalan dalam task list. Daftar dapat ditampilkan dengan menekan tombol CTRL+ALT+DEL. Selain dapat mengetahui program yang berjalan, pemakai dapat melakukan penghentian terhadap suatu program yang dianggap aneh dan mencurigakan. Namun beberapa Trojan tetap mampu menyembunyikan dari task list ini. Sehingga untuk mengetahui secara program yang berjalan secara keseluruhan perlu dibuka System Information Utility (msinfo32.exe) yang berada di C:\Program files\common files\microsoft shared\msinfo. Tool ini dapat melihat semua proses itu sedang berjalan, baik yang tersembunyi dari task list maupun tidak. Hal-hal yang perlu diperiksa adalah path, nama file, properti file dan berjalannya file *.exe serta file *.dll.

2. Netstat

Semua Trojan membutuhkan komunikasi. Jika mereka tidak melakukan komunikasi berarti tujuannya sia-sia. Hal ini adalah kelemahan yang utama dari Trojan, dengan komunikasi berarti mereka meninggalkan jejak yang kemudian dapat ditelusuri. Perintah Netstat berfungsi membuka koneksi ke dan dari komputer seseorang. Jika perintah ini dijalankan maka akan menampilkan IP address dari komputer tersebut dan komputer yang terkoneksi dengannya. Jika ditemukan IP address yang tidak dikenal maka perlu diselidiki lebih lanjut, mengejar dan menangkapnya.

3. TCP View

TCPVIEW adalah suatu free utility dari Sysinternals yang mempunyai kemampuan menampilkan IP address dan menampilkan program yang digunakan oleh orang lain untuk koneksi dengan komputer pemakai. Dengan menggunakan informasi tersebut, maka jika terjadi penyerangan dapat diketahui dan dapat melakukan serangan balik.