Sabtu, 30 Januari 2010

KamiKaze : Honeypot virus

By Tri Amperiyanto

Pesatnya perkembangan virus komputer, baik lokal maupun manca negara tentu amat mencemaskan. Pemakai komputer tetap saja dibuat kewalahan.  Meskipun update data AntiVirus yang dimilikinya selalu yang terbaru, bukanlah merupakan jaminan bahwa komputer akan aman dari serbuan virus. 
Untuk itulah dibutuhkan suatu alat untuk mendeteksi serangan virus secara dini. Tulisan ini akan menawarkan suatu cara bagaimana melakukannya.

File umpan

Cara yang akan ditempuh sederhana saja, yaitu : mengumpankan file agar diinfeksi oleh virus !  
Terdengar aneh, bukan ? Tapi trik ini bagus untuk mengantisipasi kegagalan AntiVirus yang dipakai.  Caranya adalah sebagai berikut :
* Suatu folder khusus dipersiapkan diisi dengan beberapa file dari berbagai jenis file.  Misalnya *.com, *.exe, *.doc, dll.
* Beri nama folder khusus tersebut dengan nama tertentu yang mudah diingat dan cepat untuk diakses. 
* Catat data-data file yang ada secara detail.  Misalnya ukuran file, tanggal dibuat dan beberapa hal lain yang dianggap perlu. Lalu, jangan pernah menambah, atau mengubah file-file atau data yang ada pada folder ini.
* Kemudian setiap kali komputer dihidupkan, terlebih dahulu periksalah folder tersebut. Periksa file-file yang ada dibandingkan dengan catatan yang telah dibuat.  Jika masih sama artinya kondisi komputer diasumsikan masih aman.  Jika terjadi perubahan pada file yang ada, misalnya ukuran file berubah, diasumsikan bahwa ada virus yang sedang menyerang.

Jika kebiasaan ini diterapkan, seandainya terjadi serangan virus baru  yang lolos dari scanning AntiVirus, akan dapat terdeteksi.
Untuk menjalankan trik ini, tentu saja dibutuhkan kedisiplinan dan waktu tersendiri. Juga cukup merepotkan.   Untuk mempermudah proses Anda dapat memanfaatkan suatu program bantu pemantau file yang bernama : CyberSufi KamiKaze (CSKK).  Yang dapat di download di : www.cybersufi-online.co.cc.

CyberSufi KamiKaze.

Program sederhana ini didesain untuk mewujudkan trik di atas.  Mengorbankan file dalam memantau serangan virus baru. Ada yang menyebut teknik jebakan model seperti ini, dengan sebutan Honeypot. Secara prinsip mungkin mirip, karena membiarkan “sesuatu diserang” agar mengetahui tindakan lebih lanjut.
Program CyberSufi KamiKaze (CSKK), sebagai suatu honeypot  akan memasangkan suatu file agar diubah  atau dinfeksi oleh virus.  CSNS akan memantau keutuhan suatu file dengan data CRC32.  Sehingga jika terjadi perubahan sekecil apapun akan segera diketahui dan dilaporkan kepada pemakai komputer.

Instalasi program

Jalankan file SetupCSKK.exe, maka jendela instalasi akan muncul. Cukup klik  Next untuk melanjutkan proses, atau Cancel untuk membatalkan.  Jika dipilih Next, maka proses instalasi akan berjalan cepat dan klik Finish untuk selesai. 



Jendela instalasi  CSKK

Program akan membuat folder baru di c:\cs\kk dan mengisinya dengan beberapa file program dan data yang digunakan.  Untuk mengaksesnya dapat dilakukan dari menu Start.

Menu CSKK

Pada saat aktif program akan berbentuk icon dan berada di system tray. Klik kanan untuk menampilkan menunya.  Menu yang ada sebagai berikut :

•    Exit Menu. Digunakan untuk keluar dari menu popup.
•    Matikan CSKK. Mematikan pemantauan  dan keluar dari program.
•    Pesan sponsor.  Sekilas info program.
•    Aktifkan CSKK Saat Booting.  Digunakan untuk mengaktifkan dan menonaktifkan program saat Windows dihidupkan.
•    Atur Setingan CSKK.  Dipakai untuk mengatur setingan CSKK.

Aktif saat booting

CSKK dapat diatur agar aktif secara otomatis saat booting. Dilakukan dengan mengklik kanan icon CSKK, dan memilih Aktifkan CSKK Saat Booting.  Jika diaktifkan, maka setiap kali Windows diaktifkan program akan langsung aktif bekerja.
Apabila program sudah diaktifkan, pilihan menu akan berubah menjadi : Nonaktifkan CSKK saat Booting. 

Mengatur setingan

Secara default CSKK akan mengumpankan dua file yang bernama : Kami.exe dan kaze.doc. yang diletakkan di C:\CS\KK.  Namun demikian, untuk kenyamanan pemakaian dan menambah keamanan, pemakai dapat menambahkan sembarang file lainnya yang akan diawasi sesuai kebutuhan.  Maksimal file tambahan yang dapat diawasi adalah 4 file.
Pengaturan dilakukan dengan mengklik kanan icon CSKK, dan memilih Atur setingan  CSKK.  Jendela pengaturan akan muncul.
 
Terdapat beberapa tombol dengan keterangan sebagai berikut :
•    Tombol File digunakan untuk memilih file yang akan diawasi.
•    Tombol Set dipakai untuk konfirmasi file yang akan diawasi.
•    Tombol Hapus digunakan untuk menghapus setingan file yang diawasi.

Untuk mengawasi sembarang file  sesuai kebutuhan, klik File.  Anggap saja pemakai mengklik tombol File  yang pertama, akan keluar jendela pemilihan file.


Pada jendela ini terdapat beberapa tombol, sebagai berikut :
Tombol Dir digunakan untuk memilih folder dimana file yang akan diambil datanya berada. Jika tombol ini diklik, maka pemakai dapat memilih folder secara visual.
Tombol Data, dipakai untuk menampilkan file dari folder yang telah dipilih.
Tombol  Ok digunakan untuk konfirmasi file yang telah dipilih dan kembali ke jendela sebelumnya.
Anggap saja pemakai mengklik Dir, dan menentukan folder c:\cs\cshv (misalnya atau sembarang folder sesuai kebutuhan).  Data folder yang dipilh akan masuk dalam list pertama. Klik tombol Data sehingga data nama-nama file akan muncul pada daftar list kedua. Pilih salah satu file (misalnya c:\cs\cshv\cshv21.exe) dari daftar dengan mengklik nama file. 

Nama file yang dipilih akan masuk ke list ketiga.  Klik Ok untuk konfirmasi dan kembali ke jendela pengaturan sebelumnya.
Pada jendela pengaturan akan muncul nama file yang telah diplih.  Klik tombol Set untuk mengaktifkan seting.  Untuk batal dan memilih file yang lain, cukup klik tombol File dan memilih ulang file target. Untuk menghapus setingan yang ada klik tombol Hapus.
Untuk mengatur file lainnya yang akan diawasi, lakukan dengan prosedur yang hampir sama. Untuk keluar dari pengaturan klik tombol X.

Pesan peringatan
Saat terjadi perubahan pada file yang diawasi, CSKK akan segera menampilkan pesan popup pada layar dekat system tray.  Pesan ini akan muncul terus menerus setiap 1 menit, dan hanya akan berhenti  jika pemakai memperbaiki kerusakan file yang disebutkan.
Anggap saja terjadi perubahan pada file yang dipantau (misalnya :c:\cs\cshv\cshv21.exe), CSKK akan menampilkan warning kepada pemakai secara terus menerus dengan interval 1 menit, sampai file tersebut dipulihkan seperti sediakala.
CSKK juga akan menampilkan pesan jika file yang diawasi tidak berhasil ditemukan.  CSKK berasumsi bahwa hilangnya file tersebut karena dihapus oleh Virus.



Saran pemakaian
Untuk meningkatkan kinerja CSKK berikut ini adalah beberapa saran pemakaiannya.
•    Setelah CSKK diinstall, sebaiknya segera atur setingan pengawasan tambahan untuk ke empat file lainnya. 
•    Pastikan file yang akan diawasi benar-benar strategis dan disukai oleh virus.  Misalnya dari  folder \windows dengan file taskman.exe atau explorer.exe.  Atau mungkin dari folder \windows\system32 dengan file notepad.exe atau cmd.exe.
•    Lakukan pemilihan file umpan secara acak  dan pada lokasi yang berbeda-beda.
•    Bilamana perlu gantilah target file yang diawasi secara berkala
•    CSKK dapat juga didayagunakan untuk mengawasi file data penting Anda dari perubahan pihak yang tidak berwenang.  Misalnya Anda membuat suatu dokumen bernama X.DOC.  Setelah bekerja dengan file tersebut, atur setingan CSKK untuk memantau file tersebut.  Jika ada orang lain membuka dan mengubahnya, CSKK akan segera memberitahu bahwa file tersebut telah berubah.  Namun jika Anda sendiri yang mengubahnya,  setelah melakukan perubahan, jangan lupa untuk memperbarui data pengawasan CSKK, dengan melakukan seting ulang untuk file tersebut.
Untuk menambah keamanan sistem dalam mendeteksi serangan virus tak dikenal dan mengantisipasi kegagalan scanning AntiVirus,  disarankan untuk memasangkan program ini.

Tertarik ?  Anda dapat men-download-nya di sini.

2 komentar:

  1. Hahahaha...mantap banget tool nya, emang creative bang Sufi

    BalasHapus
  2. terima kasih atas kesediaannya memakai tool gombal tersebut... :) semoga berguna dan digunakan ... hehehe..

    BalasHapus