PENCEGAHAN AGAR TERHINDAR DARI TROJAN

Pencegahan Agar Terhindar Dari Trojan

Beberapa cara dapat dilakukan untuk menghindari agar tidak terinfeksi Trojan. Salah satu cara masuk Trojan untuk menginfeksi suatu sistem adalah melewati file yang di download. Maka perlu ada perlakuan khusus dengan cara mengkarantina hasil download sebelum yakin bahwa file tersebut benar-benar aman.

Cara lain yang bersifat mencegah (preventif) dan merupakan informasi yang umum yang dapat dilakukan oleh seseorang yang menggunakan komputer untuk berinternet, adalah sebagai berikut.

1. Memilih situs yang benar-benar dapat dipercaya untuk melakukan download. Jangan pernah melakukan download secara sembarangan yang berasal dari seseorang atau situs yang tidak dapat dipercaya.

2. Memastikan bahwa file yang dikirimkan belum pernah dibuka oleh orang lain.

3. Mewaspadai file-file yang ekstensionnya disembunyikan.

4. Memastikan bahwa di dalam komputer tidak ada program yang berjalan secara otomatis atau mode file preview.

5. Jangan selalu merasa aman bila di komputer telah terpasang software anti-virus/trojan scanner,

6. Memastikan bahwa tidak melakukan download program executable “check it out”. Ini adalah sebuah Trojan. Jika program ini dijalankan, maka komputer telah terinfeksi Trojan.

Selain pengetahuan di atas, maka pengetahuan tentang proses berjalannya komputer juga perlu dipahami, khususnya saat sistem komputer menjalankan program untuk pertama kalinya. Dalam beberapa kasus, hal ini digunakan oleh Trojan untuk mengeksekusi dirinya. Paparan berikut sekaligus melengkapi bagian sebelumnya.

Cara komputer menjalankan program untuk pertama kalinya (secara otomatis) adalah sebagai berikut:

1. Start Up Folder

Semua program yang berada di folder ini akan dijalankan secara otomatis ketika Windows dijalankan.

C:\windows\start menu\program\startup

Direktori tersebut tersimpan di dalam registry key :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell

2. Win.ini

[windows]

load=file.exe

run=file.exe

Pada load dan run dapat diisi dengan nama program yang akan dijalankan saat pertama kali Windows dijalankan.

3. System.ini [boot]

Shell=Explorer.exe file.exe

Nama program diletakkan setelah explorer.exe.

4. C:\windows\winstart.bat

Program yang dapat dijalankan di winstart.bat adalah yang mempunyai perilaku seperti bat file.

5. Registry

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunSevices]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]

Program yang terdapat pada registry key di atas semuanya dijalankan saat pertama kali Windows berjalan.

6. C:\windows\wininit.ini

Program ini digunakan untuk setup, yaitu akan dijalankan sekali lalu akan dihapus oleh Windows. Sebagai contoh isi dari file ini adalah :

[Rename]

NUL=c:\windows\file.exe

Perintah tersebut akan mengirim c:\windows\file.exe ke proses NUL, yang berarti dihapus. Ini tidak membutuhkan interaksi dari pemakai dan berjalan sepenuhnya di background.

7. Autoexec.bat

Program ini akan berjalan secara otomatis dalam DOS level.

8. Registry Shell Spawning

[HKEY_CLASSES_ROOT\exefile\shell\open\command] @=”\”%1”%*”

[HKEY_CLASSES_ROOT\comfile\shell\open\command] @=”\”%1”%*”

[HKEY_CLASSES_ROOT\batfile\shell\open\command] @=”\”%1”%*”

[HKEY_CLASSES_ROOT\htafile\shell\open\command] @=”\”%1”%*”

[HKEY_CLASSES_ROOT\piffile\shell\open\command] @=”\”%1”%*”

[HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\

command] @=”\”%1”%*”

[HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command] @=”\”%1”%*”

[HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command] @=”\”%1”%*”

[HKEY_LOCAL_MACHINE\Software\CLASSES\htafile\shell\open\command] @=”\”%1”%*”

[HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command] @=”\”%1”%*”

Value key yang sesungguhnya adalah ”\”%1”%*”, jika telah diubah menjadi “file.exe %1%*”, maka file yang berekstensi exe/pif/com/bat/hta akan dijalankan. Sebagian Trojan juga menggunakan registry ini untuk mengaktifkan dirinya.

9. ICQ Net

[HKEY_CURRENT_USER\Software\Mirabillis\ICQ\Agent\Apps\test]

“Path”=”test.exe”

“Startup”=”c:\test”

“Parameters”=””

“Enable”=”Yes”

Registry key di atas akan dijalankan jika IQC net mendeteksi adanya koneksi Internet.

10. Lain-lain

[HKEY_LOCAL_MACHINE\Software\CLASSES\ShellScrap]

@=”Scrap object” ”NeverShowExt”=””

Bagian key ”NeverShowExt” mempunyai fungsi menyembunyikan ekstensi aslinya. Hal ini dapat dimanfaatkan oleh Trojan untuk menyembunyikan dirinya.

Pemakai dapat melakukan pemeriksaan terhadap komputernya dengan cara melihat setting sistem saat pertama kali berjalan. Jika terdapat nama-nama file yang mencurigakan dan bukan merupakan bagian dari sistem yang diinginkan maka patut dicurigai.