Prosesnya adalah menunggu seseorang menjalankan Trojan yang berfungsi sebagai server dan jika penyerang telah memiliki IP address korban, maka penyerang dapat mengendalikan secara penuh komputer korban. Contoh jenis Trojan ini adalah Back Orifice (BO), yang terdiri dari BOSERVE.EXE yang dijalankan dikomputer korban dan BOGUI.EXE yang dijalankan oleh penyerang untuk mengakses komputer korban.
Macam-macam Trojan :
Ø Trojan Pengirim Password
Tujuan dari Trojan jenis ini adalah mengirimkan password yang berada di komputer korban atau di Internet ke suatu e-mail khusus yang telah disiapkan. Contoh password yang disadap misalnya untuk ICQ, IRC, FTP, HTTP atau aplikasi lain yang memerlukan seorang pemakai untuk masuk suatu login dan password. Kebanyakan Trojan ini menggunakan port 25 untuk mengirimkan e-mail.
Ø Trojan File Transfer Protocol (FTP)
Trojan FTP adalah paling sederhana dan dianggap ketinggalan jaman. Satu-satunya fungsi yang dijalankan adalah membuka port 21 di komputer korban yang menyebabkan mempermudah seseorang memiliki FTP client untuk memasuki komputer korban tanpa password serta melakukan download atau upload file.
Ø Keyloggers
Keyloggers termasuk dalam jenis Trojan yang sederhana, dengan fungsi merekam atau mencatat ketukan tombol saat korban melakukan pengetikan dan menyimpannya dalam logfile. Trojan ini dapat dijalankan pada saat komputer online maupun offline. Trojan ini dapat mengetahui korban sedang online dan merekam segala sesuatunya. Pada saat offline proses perekaman dilakukan setelah Windows dijalankan dan disimpan dalam hardisk korban dan menunggu saat online untuk melakukan transfer atau diambil oleh penyerang.
Ø Trojan Penghancur
Satu-satunya fungsi dari jenis ini adalah untuk menghancurkan dan menghapus file. Sekali terinfeksi dan tidak dapat melakukan penyelamatan maka sebagian atau bahkan semua file sistem akan hilang. Trojan ini secara otomatis menghapus semua file sistem pada komputer korban (sebagai contoh : *.dll, *.ini atau *.exe).
Ø Trojan Denial of Service (DoS) Attack
Trojan ini mempunyai kemampuan untuk menjalankan Distributed DoS (DDoS) jika mempunyai korban yang cukup. Gagasan utamanya adalah bahwa jika penyerang mempunyai 200 korban pemakai ADSL yang telah terinfeksi, kemudian mulai menyerang korban secara serempak. Hasilnya adalah lalu lintas data yang sangat padat karena permintaan yang bertubi-tubi dan melebihi kapasitas band width korban. Hal tersebut menyebabkan akses Internet menjadi tertutup. Wintrinoo adalah suatu tool DDoS yang populer baru-baru ini, dan jika penyerang telah menginfeksi pemakai ADSL, maka beberapa situs utama Internet akan collaps. Variasi yang lain dari sebuah trojan DoS adalah trojan mail-bomb, tujuan utamanya adalah untuk menginfeksi sebanyak mungkin komputer dan melakukan penyerangan secara serempak ke alamat e-mail yang spesifik maupun alamat lain yang spesifik dengan target yang acak dan muatan/isi yang tidak dapat disaring.
Cara mengatasi bahaya Trojan :
Pertama lakukan langkah pendeteksian keberadaan Trojan pada komputer. Pendeteksian Trojan dapat dilakukan dengan cara-cara sebagai berikut
Ø Task List
Pendeteksiannya dengan melihat daftar program yang sedang berjalan dalam task list. Daftar dapat ditampilkan dengan menekan tombol CTRL+ALT+DEL atau klik kanan pada toolbar lalu klik task manager. Selain dapat mengetahui program yang berjalan, pemakai dapat melakukan penghentian terhadap suatu program yang dianggap aneh dan mencurigakan. Namun beberapa Trojan tetap mampu menyembunyikan dari task list ini. Sehingga untuk mengetahui secara program yang berjalan secara keseluruhan perlu dibuka System Information Utility(msinfo32.exe) yang berada di C:\Program files\common files\microsoft shared\msinfo. Tool ini dapat melihat semua proses itu sedang berjalan, baik yang tersembunyi dari task list maupun tidak. Hal-hal yang perlu diperiksa adalah path, nama file, properti file dan berjalannya file *.exe serta file *.dll.
Ø Netstat
Semua Trojan membutuhkan komunikasi. Jika mereka tidak melakukan komunikasi berarti tujuannya sia-sia. Hal ini adalah kelemahan yang utama dari Trojan, dengan komunikasi berarti mereka meninggalkan jejak yang kemudian dapat ditelusuri. Perintah Netstat berfungsi membuka koneksi ke dan dari komputer seseorang. Jika perintah ini dijalankan maka akan menampilkan IP address dari komputer tersebut dan komputer yang terkoneksi dengannya. Jika ditemukan IP address yang tidak dikenal maka perlu diselidiki lebih lanjut, mengejar dan menangkapnya.
Ø TCP View
TCPVIEW adalah suatu free utility dari Sysinternals yang mempunyai kemampuan menampilkan IP address dan menampilkan program yang digunakan oleh orang lain untuk koneksi dengan komputer pemakai. Dengan menggunakan informasi tersebut, maka jika terjadi penyerangan dapat diketahui dan dapat melakukan serangan balik. Langkah penghapusan Trojan Trojan dapat dihapus dengan: Menggunakan Software Anti-Virus. Sebagian antivirus dapat digunakan untuk mengenali dan menghapus Trojan. Menggunakan Software Trojan Scanner, software yang di khususkan untuk mendeteksi dan menghapus Trojan Cara yang paling sadis yah diinstal ulang komputernya.
Langkah pencegahan Trojan Untuk mencegah
Trojan menyusup di komputer anda, pastikan anda memasang antivirus yang selalu ter-update, mengaktifkan Firewall baik bawaan dari Windows atau dari luar. Selalu waspadalah jika komputer anda mengalami sesuatu kejanggalan. Hindari penggunaan sofware ilegal karena sering tanpa kita sadari software tersebut mengandung Trojan, downloadlah software dari situs-situs yang benar-benar dapat dipercaya.
Macam-macam Rootkit
1. Application Rootkit
Rootkit yang dibuat dengan memodifikasi kode binari dari sebuah aplikasi secara langsung atau yang biasa disebut sebagai binary code patching. Rootkit jenis ini biasanya ditemukan pada malware jenis trojan untuk menginjeksikan virus ke dalam sebuah object atau sistem.
2. Library rootkit
Ini merupakan rootkit yang menyasar library. Library sendiri adalah file seperti sebuah pustaka fungsi yang telah dikumpulkan menjadi satu dengan maksud untuk memermudah programmer dalam membuat dan mengembangkan sebuah aplikasi. Library ditandai dengan akhiran “dll” seperti “kernel.dll”.
3. Kernel Rootkit
Kernel rootkit merupakan jenis rootkit yang lebih mengerikan dari jenis sebelumnya. Kernel rootkit berjalan pada level kernel (modus
tak terproteksi), atau pada sistem arsitektur x86 dikenal dengan istilah ring 0. Soal bagaimana rootkit ini bekerja akan kami sajikan pada InfoKomputer bulan depan.
4. Bootloader Rootkit
Adalah jenis rootkit yang bersemayam pada MBR (Master Boot Records), sehingga mampu mengendalikan jalannya booting sistem operasi. Rootkit jenis ini dikenal juga dengan nama Bo otkit atau “Evil Maid Attack”,
5. Hypervisor Level Rootkit
Rootkit jenis ini mampu memvirtualisasikan sistem operasi asli sehingga menjadi guest operating system, sehingga seluruh kendali pada sistem operasi dapat diambil alih oleh rootkit jenis ini. Salah satu rootkit yang sudah ada berjenis ini adalah SubVirt, adalah Virtual machine berbasis rootkit yang dikembangkan oleh Microsoft dan Universitas Michigan.
6. BIOS rootkit
BIOS rootkit disebut juga dengan firmware rootkit, merupakan rootkit paling mengerikan yang berada pada level paling dalam, hidup di lingkungan firmware dan mulai aktif ketika semua aktifitas inisialisasi awal komputer terjadi.
Penanggulangan
Ada beberapa cara untuk membersihkan program jahat yang menggunakan teknologi rootkit pada komputer yang telah terinfeksi. Namun metode yang digunakan bergantung pada jenis rootkit yang menginfeksi, sehinggga penanggulangannya agak sulit apabila kita tidak bisa secara pasti mengetahui rootkit jenis apa yang mungkin sedang menginfeksi komputer kita. Untuk mendeteksi rootkit, Anda sebaiknya menjalankan komputer yang terinfeksi sebagai slave dan gunakan sistem operasi PE (preinstalled environment) atau liveCD untuk menginvestigasinya. Ada sangat banyak tipe sistem operasi LiveCD ini seperti DSL (Damn Small Linux) dan masih banyak lagi. Lakukanlah scanning menggunakan software khusus yang didesain untuk membersihkan rootkit, kemudian lakukanlah investigasi pada area-area yang rawan dihuni oleh rootkit. Karena pembersihan rootkit merupakan operasi yang dekat sekali hubungannya dengan konfigurasi sistem, saya sarankan mintalah pertolongan pada orang yang sudah ahli untuk melakukannya. Apabila tidak berhati-hati, akibatnya akan sangat fatal.