Sabtu, 17 Desember 2011

Malware Dalam Dokumen

Malware bisa ada dimana saja, baik di balik kumpulan teks atau gambar pada dokumen. Memang diperlukan kewaspadaan tingkat tinggi, terutama ketika kita hendak mengakses file executable, link, ataupun shortcut. Meskipun kita dapat menghindari semua jebakan itu, tapi yang jelas pembuat malware akan memikirkan seribu cara baru yang lebih canggih untuk mengincar file dokumen. Misalnya saja, pada sekitar pertengahan 1990-an, virus macro merajalela menyebar lewat dokumen Word dan Excel. Sesuai dengan namanya, virus ini merupakan macro yang diembed dalam dokumen, tidak mudah mengenalinya, hanya dengan sekilas pandang dan ini baru satu dari sekian banyak contoh jenis malware yang berada dalam dokumen, yang bisa jadi sering kita akses sehari-hari.

E-mail
Salah satu cara penyebaran malware yang masih banyak digunakan sampai saat ini adalah menumpang pada email sebagai attachment berbahaya seiring dengan intensitas penggunaan email yang seolah tak terpisahkan dari aktivitas internet. Yang bervariasi dari waktu ke waktu adalah social engineering yang digunakan, terkadang dengan memanfaatkan berita yang sedang heboh sehingga membuat pengguna penasaran membuka file attachment.
Attachment berbahay dapat berupa file executable, dokumen Word/PDF, atau file executable yang terkompresi dengan format RAR/ZIP dengan tujuan menghindari pendeteksian antivirus ataupun menghindari block file executable dari mail server ataupun aplikasi email client.

Virus Macro
Virus macro tidak hanya terbatas pada dokumen Word atau Excel karena pemahaman virus macro itu sendiri adalah virus yang ditulis dengan bahasa pemrograman yang build-in pada aplikasi. "Bahasa macro" adalah istilah yang sering digunakan untuk membedakannya dengan bahasa pemrograman pada umumnya. Sebagai contoh, Visual Basic Applications (VBA) merupakan bahasa macro untuk produk Microsoft Office. Virus macro dapat menjadi berbahaya karena dapat tereksekusi tanpa diketahui saat dokumen dibuka oleh pengguna. Ia dapat menyebar ke dokumen lainnya. Salah satu virus macro yang terkenal adalah Melissa yang menyebar luas pada tahun 1999 dan memiliki kemampuan mengirimkan email berisi attachment virus.

PDF
Pembuat malware cenderung memanfaatkan format file yang populer sebagai media penyebarannya, tidak terkecuali format PDF (Portable Documents Format) yang banyak terdapat di Internet. Umumnya, pembuat malware memanfaatkan celah yang terdapat pada PDF reader dan menyisipkan file malware dalam dokumen PDF lalu PDF tersebut disebar melalui email ataupun file sharing yang dikombinasikan dengan teknik social engineering. Saat seorang membuka dokumen PDF tersebut, exploit yang memanfaatkan celah PDF reader akan bekerja dan men-drop file executable di dalamnya. Dalam hal ini, PDF tersebut berfungsi sebagai dropper malware.
PDF juga dapat terbuka melalui plugin yang terdapat pada browser, membuka kesempatan malware untuk menyebarkan malware dengan cara lain lain, yaitu dengan menyisipkan script pada PDF yang sengaja di-host-ing pada server tertentu. Saat browser membukanya, akan dijalankan exploit yang dapat mendownload file berbahaya di Internet. Script yang dapat di-embed pada file PDF dapat berupa JavaScript atau berupa ActionScript yang terdapat pada objek Flash.

HTML
Barangkali ada yang berpendapat bahwa seandainya format dokumen yang digunakan saat ini hanya berbentuk plain text (sehingga tidak pernah dikenal format doc, rtf, pdf), tidak akan ada yang kode berbahaya yang dapat menempel pada dokumen. Hal tersebut tidak sepenuhnya benar karena semuanya tergantung pada bagaimana aplikasi memperlakukan format-format tersebut. Sebagai contoh sederhana, jika Anda menuliskan perintah "del *.*/q" pada file bernama readme.txt, file tersebut tidak berbahaya karena saat diklik, secara default aplikasi Notepad.exe akan menampilkan isi readme.txt tersebut.
Sementara, jika file yang sama di rename menjadi readme.bat, akan berbahaya jika file tersebut diklik karena akan menjalankan perintah Command Prompt "del *.* /q" yang tidak lain merupakan instruksi untuk menghapus seluruh file tanpa memerlukan konfirmasi pengguna (quite mode). Demikian pula yang terjadi pada file HTML. Karena browser membaca file HTML berikut kode JavaScript di dalamnya, pembuat malware dapat menyisipkan script yang berfungsi untuk mendownload malware ataupun men-drop file executable (contohnya seperti yang dilakukan oleh virus Ramnit). Bahkan, tidak selalu memerlukan JavaScript sebagai kode berbahaya pada HTML, pembuat malware dapat menyisipkan tag iframe yang dapat mengarahkan pada website berbahaya tanpa terlihat di browser.

PHP
Seperti HTML, PHP (dan server side scripting lainnya, seperti ASP dan ColdFusion) juga dapat diinjeksi oleh virus yang menambah kode jahat pada file dengan ekstensi *.php. Perbedaannya, file PHP diproses pada sisi server, sementara HTML diproses pada sisi client/browser.
File PHP pada server dapat tercemar malware jika server dikuasai oleh pihak yang tidak bertanggungjawab yang sengaja menulari file-file PHP. File PHP yang berada pada client (local machine) juga dapat disusupi jika komputer yang digunakan terinfeksi malware. Jika web developer tidak menyadarinya, ada kemungkinan file-file yang telah terinfeksi tersebut di-upload ke server dan diakses oleh orang banyak.
Kode yang dapat diinjeksi pada file PHP relatif lebih luas jangkauannya dibandingkan HTML karena dengan script PHP, pembuat malware dapat menyisipkan iframe, JavaScript berbahaya, atau bahkan perintah-perintah PHP untuk melakukan operasi file (cari, hapus, membuat file baru, dan seterusnya).

VBS
Worm yang ditulis dengan VBScript pernah populer dikembangkan oleh pembuat malware lokal. Walaupun sudah menyurut untuk saat ini, ancamannya tidak bisa dipandang remeh karena mudah merusak sistem melalui VBScript, terutama menyangkut modifikasi registry yang sering dilakukan malware.
VBScript merupakan interpreter yang awalnya dibuat untuk memudahkan web development dan system administration. File VBScript berekstensi *.vbs (atau *.vbe) karena kode program dapat dengan mudah terlihat oleh text editor, sebagian pembuat malware menyamarkan kode dengan teknik obfuscate.
Kebanyakan malware dengan tipe VBScript merupakan malware yang berdiri sendiri dalam artian bukan merupakan hasil injeksi virus. Namun, secara teknis, file VBS yang tadinya bersih (bukan malware) dapat menjadi incaran malware yang dapat disusupi kode jahat dan digunakan sebagai media penyebarannya walaupun cara ini kurang populer karena hanya terdapat sedikit file VBScript pada sebuah komputer pada umumnya.

Patch
Dari pembahasan tadi, jelaslah bahwa ancaman malware tidak sebatas file executable. File-file lain, terutama yang umum digunakan, akan terus dicari kelemahannya oleh pembuat malware. Lakukan semua hal dengan wajar, tetapi waspada. Sering pengguna terjebak karena kelalaian dan ketidakwaspadaan.
Salah satu solusi untuk menghindari malware yang dapat menyusup pada dokumen adalah menutup celah keamanan yang dimanfaatkan malware. Umumnya, jika celah keamanan terdapat pada aplikasi, vendor aplikasi tersebut akan meng-update/patch aplikasi yang memperbaiki celah tersebut walaupun tidak jarang celah keamanan baru diketahui setelah terjadi exploit oleh pihak jahat sehingga telah memperdaya sebagian pengguna.
Selain tindakan pencegahan dari vendor maupun antivirus, pengguna juga dapat meminimalisasi risiko penyebaran malware dengan menggunakan aplikasi reader alternatif, khusus jika aplikasi yang biasa digunakan terhitung rawan celah keamanan dan merupakan aplikasi populer yang biasanya menjadi target pembuat malware untuk mencari berbagai kelemahannya.

Sumber: PCMedia

Tidak ada komentar:

Posting Komentar