Program hacking biasanya dibuat untuk memasukan backdoor, atau lubang secara sengaja dengan melewati sistem keamanan dari target, agar program tersebut tidak terlihat sebagai sebuah ancaman oleh target, dan penyerang bisa melakukan manipulasi program tersebut untuk tujuan tertentu. Software yang menjadi contoh dibawah ini bisa dibagi menjadi 3 bagian yaitu virus, worms, dan Trojan.
Virus: suatu program komputer yang bisa menggandakan dirinya dengan menggunakan atau membutuhkan host program.
Worm: Worm tidak seperti virus, dia bisa menggandakan dirinya tanpa bantuan dari host program. Sekali tereksekusi maka worm akan meng-compile dan menyebarkan
dirinya sendiri secara masal.
Trojan: suatu program yang berisi kode yang merusak dibalik tampilan maupun kegunaan yang terlihat normal.
Program dan port yang dilewati dibawah ini biasanya tidak diberitahu kepada korban, setelah mengirimkan beberapa file kepada beberapa korban maka si penyerang tinggal menggunakan scan dan mencari korban yang aktif, bila penyerang menemukan korban yang aktif maka kendali sudah di tangan dia. Tanpa tunggu lebih lama, mari kita lihat beberapa program jahat beserta port yang dilewatinya
1. Port 21, 5400 - 5402
banyak program yang memakai port ini sebagai sarana untuk merusak, contohnya program back construction
yang bekerja dengan cara menshare port 21 dan membuat file yang di upload maupun di download tidak terlihat.
Beberapa program sejenis biasanya menuliskan dirinya ke registry seperti program back construction ini
yang menuliskan dirinya ke HKEY_USERS\Default\Software\Microsoft\Windows\CurrentVersion\Run\ (Key: Shell). Contoh program lain yang memakai port 21 ini sebagai sarananya adalah Blade Runner, Fore, Invisible Ftp, Larva, WebEx, WinCrash dll.
2. Port 23
Port ini biasanya digunakan untuk login jarak jauh ke komputer lain dengan menggunakan telnet. Ada beberapa program yang menggunakan port ini sebagai jalan untuk masuk seperti Tiny Telnet Server yang berjalan pada system yang sudah terinfeksi secara diam-diam. Program ini juga menuliskan dirinya ke dalam registry, yang dapat
ditemukan di HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersio n\Run Windll.exe = "C:\\WINDOWS\\Windll.exe".
3. Port 25, 110
Port ini digunakan untuk pentransferan pesan sederhana, banyak program - program yang sering beraksi melalui port ini seperti Antigen yang berusaha menipu korbannya dengan mengirim pesan berupa joke, yang ketika dibuka oleh korban maka program ini akan memasukan keylogging, Dos control, atau remote backdoor. Program ini biasanya sering mengubah nama filenya menjadi beberapa nama dan sering menyamarkan ikon. Contoh lain program yang menyerang melalui mail antara lain yaitu tapiras, WinPC, Shtrilitz, Ajan, Haebu Coceda, Happy99, Kuang2, Terminator, ProMail Trojan dll.
Contoh program yang memakai port ini adalah Deep Throat dan pernah di bahas pada Neotek edisi beberapa waktu lalu. Program ini memiliki banyak feature termasuk mode "siluman" untuk server FTP agar bisa mengupload, dowload dan menghapus file, pilihan lainnya adalah mengijinkan penyerang untuk melihat layar, mengambil password, membuka web browser, restart sistem, bahkan mengontrol program yang sedang berjalan. Program ini menuliskan dirinya pada registry
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ (Key: SystemTray)
5.Port 80
Program Executor menggunakan port 80 sebagai jalan untuk masuk ke dalam komputer. Program ini adalah salah satu program remote yang berbahaya, bisa menghapus file system atau setting suatu komputer, biasanya terinstal dengan nama sexec.exe dan menuliskan dirinya di
registry pada
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersio
n\Run\ <>Executer1="C:\windows\sexec.exe"
6. Port 113
Kazimas yang merupakan IRC worm menggunakan port ini, bekerja agar apabila mIRC sudah terkoneksi dengan server segera masuk ke channel tertentu, filenya bernama
milbug_a.exe dan besarnya 10 kb. Kazimas meng-copy
dirinya ke beberapa direktori seperti
C:\WINDOWS\KAZIMAS.EXE
C:\WINDOWS\SYSTEM\PSYS.EXE
C:\MIRC\DOWNLOAD\MIRC60.EXE
C:\MIRC\LOGS\LOGGING.EXE
7. Port 531, 1045
Virus Rasmin, yang dibuat dengan Visual C++ menggunakan port 531, banyak yang bilang virus ini dibuat untuk menjalankan perintah yang spesifik dari pembuatnya. Program ini bersembunyi dengan beberapa nama antara lain RASMIN.EXE, WSPOOL.EXE, INIPX.EXE,
UPGRADE.EXE, WINSRVC.EXE.
8. Port 555, 9989
Phase Zero menggunakan port ini untuk melakukan aksinya, tujuan utama dari Trojan ini adalah untuk merusak system dari target. Program ini baru bisa merusak bila setup program dieksekusi dari komputer host bersangkutan. Dalam registry program ini tertulis pada
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
(Key: MsgServ)
9.Port 666
Beberapa program yang melewati port ini antara lain
Attack FTP, Cain and Abel, Satanz Backdoor, dan ServeU.
Attack FTP membuat sebuah server ftp yang full permission untuk upload maupun download secara tersembunyi melalui port 666, program ini dalam registry tertulis pada HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ (Key: Reminder). Program Cain dibuat untuk mencuri password, sementara Abel adalah sebuah remote server yang digunakan untuk melakukan transfer file secara tersembunyi, file yang perlu diwaspadai adalah abel.exe.
Program seperti Satanz Backdoor, dan ServeU dikenal sebagai remote akses tersembunyi cukup berbahaya yang memerlukan resource system yang cukup kecil.
10. Port 1010 - 1015
Doly Trojan digunakan untuk mendapatkan remote terhadap target secara komplit, program ini berbahaya dan sering menggunakan port yang berbeda untuk menyerang, beberapa berita meyatakan bahwa filenamenya bisa di modifikasi. Registry key program ini mungkin berada di HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run untuk file tesk.exe.
11. Port 1042
BLA yang merupakan program remote control memakai port ini, BLA memiliki fasilitas antara lain untuk mengirim ICMP echo dan me-restart target. Program ini menuliskan dirinya pada
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersio
n\Run\ System = "C:\WINDOWS\System\mprdll.exe" dan
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersio
n\Run\ SystemDoor = "C:\WINDOWS\System\rundll argp1". File
yang perlu diwaspadai adalah mprdll.exe.
12. Port 1234
Contoh program yang menggunakan port ini adalah Ultors Trojan, merupakan program telnet lain yang di desain agar kita bisa melakukan execute command atau shell command secara remote, untuk melihat proses yang sedang berjalan atau mematikan/restart system target. Saat ini beberapa feature telah ditambahkan seperti fasilitas untuk mengirim pesan dan menampilkan pesan error.
13. Port 1243, 6776
BackDoor-G yang merupakan variasi dari program subseven menggunakan port ini. Setelah terinfeksi, program ini akan memberikan akses tak terbatas dari sistem target kepada penyerang melalui internet. Program ini memiliki banyak feature, dan biasanya disusupkan melalui attachment email. Software ini biasanya berada pada beberapa tempat seperti \WINDOWS\NODLL.EXE
\WINDOWS\SERVER.EXE atau KERNEL16.DLL atau WINDOW.EXE
WINDOWS\SYSTEM\WATCHING.DLL atau LMDRK_33.DLL
Contoh lain yang menggunakan port ini adalah
SubSevenApocalypse.
14. Port 1245
program yang menggunakan port ini salah satunya adalah
VooDoo Doll. Program ini pada awalnya memiliki
feature remote control yang terbatas, nama program ini
diambil dari komunitas underground yang menyebarkan
software tersebut. VooDoo Doll bisa menimbulkan kerusakan
seperti mengcopy file target berkali-kali, pada beberapa
kasus bisa membuat file sistem menjadi rusak.
15. Port 1492
FTP99CMP adalah contoh lain dari program ftp server
yang menggunakan port ini. Program ini menuliskan
dirinya pada Registry Key seperti
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
(Key: WinDLL_16)
16. Port 1981
Shockrave yang merupakan program remote control menggunakan
port ini. Dalam Registry dapat ditemukan pada
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersio
n\RunServices\ (Key: NetworkPopup). Program yang perlu
diwaspadai adalah netpopup.exe.
17. Port 1999
Sebagai remote backdoor Trojan yang pertama BackDoor
sudah tersebar ke segala penjuru dunia. Dibuat menggunakan
Visual Basic, program ini cukup banyak featurenya
seperti:
- kontrol cd-rom
- kontrol Ctrl-Alt-Del
- pesan
- chat
- manajemen file
- control mouse
Selama configurasi, Registry Keynya terdapat pada
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
(Key: notpa) program yang perlu diwaspadai adalah notpa.exe.
18. Port 1999-2005, 9878
Remote control Trojan yang berasal dari Jerman dan bernama
Transmission Scout memiliki banyak featurefeature
yang cukup berbahaya. Program ini dalam registry
dapat ditemukan pada
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
(Key: kernel16).
19. Port 2001
Trojan Cow yang merupakan contoh lain remote backdoor
Trojan memakai port ini. TrojanCow memiliki banyak
feature seperti:
- membuka/menutup CD-ROM
- menghilangkan desktop icon
- menghilangkan tombol start
- menghilangkan system tray
- menghilangkan penunjuk waktu
- merubah background
- menghapus file
- mematikan/restart PC target
- log off windows
selama configurasi, Registry Keynya bisa ditemukan pada
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
(Key: SysWindow )
20. Port 2115
Bugs yang merupakan program remote akses sederhana
menggunakan port ini, memiliki feature seperti manajemen
file, serta mengontrol window melalui GUI yang terbatas.
Pada registry berada di
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
(Key: SysTray )
21. port 2140, 3150
The Invasor yaitu program remote akses dengan feature
seperti pesan, kontrol suara, format, dan screen capture
merupakan contoh program yang menggunakan port ini.
Dalam registry bisa ditemukan
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
(Key: SystemDLL32)
22. Port 2155, 5512
Illusion Mailer yang merupakan email spammmer yang
membuat si penyerang seakan-akan korban dan mengirim
email dari komputer target, yang muncul pada e-mail
header adalah IP Address target dimana sebenarnya yang
mengirim pesan adalah si penyerang. Dalam registry
program ini mencatat dirinya pada
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
(Key: Sysmem)
23. Port 2565
Striker yang apabila di eksekusi, tujuan utamanya adalah
menghancurkan windows, program ini akan menghilang
setelah sistem di restart. File yang perlu diwaspadai
adalah servers.exe
24. Port 2600
Backdoor remote akses Trojan yang bernama Digital
RootBeer menggunakan port ini. Beberapa feature yang
dimilikinya adalah:
- pesan
- kontrol monitor
- chat
- kontrol audio
dalam registry bisa ditemukan pada
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
(Key:ActiveXConsole)
25. Port 2989
RAT merupakan salah satu dari remote akses backdoor
trojan yang berbahaya. RAT di buat untu merusak hard
disk. Program ini dalam registry bisa dilihat pada
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersio
n\Run\ Explorer = "C:\WINDOW\system\MSGSRV16.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersio
n\RunServices\Default=" "
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersio
n\RunServices\ Explorer=" "
26. Port 3459-3801
Trojan Eclipse pada dasarnya adalah salah satu program
FTP yang berjalan secara tersembunyi. Apabila program
ini tereksekusi, maka penyerang memiliki hak penuh atas
akses FTP ke seluruh file termasuk file exe, menghapus,
membaca, dan merubahnya. Eclipse menuliskan dirinya
pada registry, yang terdapat di
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersio
n\Run\ Rnaapp="C:\WINDOWS\SYSTEM (Key: rmaapp)". File
yang perlu diwaspadai adalah rmaapp.exe
27. Port 3700, 9872-9875, 10067, 10167
Portal of Doom yang merupakan salah satu Trojan remote
control yang popular menggunakan salah satu port ini.
Program ini memiliki feature seperti kontrol CDROM,
kontrol audio, file explorer, kontrol taskbar, keylogger, dll.
Untuk melihat registry keynya, bisa di temukan pada
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersio
n\RunServices\ (Key: String).
28. Port 4567
File Nail adalah salah satu ICQ backdoor, yang menimbulkan
keresahan pada komunitas ICQ.
29. Port 5000
Bubbel adalah remote backdoor Trojan yang menggunakan
port ini, dengan feature yang hampir sama dengan
Trojan Cow terbaru termasuk mengirim pesan, kontrol
monitor, kontrol modem, kontrol audio, dll.
30. Port 5001, 30303, 50505
Sockets de Troie adalah virus yang penyebarannya dibantu
oleh backdoor remote administration. Apabila sudah
tereksekusi, virus ini menampilkan DLL error yang sederhana
lalu mengcopy dirinya pada directory Windows\System
dengan nama MSCHV32.EXE dan memodifikasi windows
registry. Biasanya virus ini bisa dilihat pada registry
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrenVersion\
RunLoadMSchv32Drv =C:\WINDOWS\SYSTEM\MSchv32.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrenVersion\
RunLoadMgadeskdll = C:\WINDOWS\SYSTEM\Mgadeskdll.exe
31. Port 5151
Contoh program yang memakai port ini adalah Optix yang
merupakan remote akses trojan dan di-compile dengan
Borland Delphi 5. feature yang terdapat di program ini
antara lain merestart sistem, upload file, melihat proses
yang sedang berjalan, mematikan proses dll. File yang
harus diwaspadai adalah semua file Backdoor.optix
termasuk Winstart.bat
32. Port 5569
Robo-Hack yang merupakan remote akses backdoor lama
dan ditulis menggunakan Visual Basic menggunakan port
ini. Program ini tidak menyebarkan dirinya, dan memiliki
beberapa feature dasar seperti sistem monitoring, edit
file, restart/matikan sistem, kontrol CDROM. File yang
perlu diwaspadai adalah robo-serv.exe
33. Port 6969, 16969
Priority adalah program remote kontrol yang dibuat oleh
Visul Basic dan memiliki banyak feature seperti kontrol
CDROM, kontrol audio, file explorer, kontrol taskbar,
kontrol desktop, shutdown/restart sistem, port scanning
dll. Pada registry bisa kita lihat di
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersio
n\RunServices\ (Key : Pserver).
34. Port 7000
Remote Grab menggunakan port ini. Program yang berlaku
seperti penangkap layar ini dibuat untuk remote
spying, dalam konfigurasi, file ini mengcopy dirinya ke
C:\WINDOWS\System\mprexe.exe
35. Port 7597
RAT.QAZ, W32.QAZ.Worm, HLLW.QAZ, QAZ Trojan
menggunakan port ini. Merupakan remote akses yang dicompile oleh MS Visual C++. File yang dieksekusi
adalah qazwsx.hsq. Dalam registry, bisa kita lihat pada
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
"StartIE"="C:\WINDOWS\NOTEPAD.EXE qazwsx.hsq".
File yang perlu diwaspadai adalah notepad.exe (setelah
mengapus file ini, kemudian rename note.exe menjadi
notepad.exe).
36. Port 10101
BrainSpy adalah Trojan remote kontrol yang memiliki
feature seperti Trojan sejenisnya. Trojan ini memiliki
kemampuan untuk menghapus daftar virus yang telah di
scan. Pada registry bisa dilihat di beberapa tempat seperti:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices - Dualji
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices - Gbubuzhnw
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices - Fexhqcux
37. Port 10520
Acid Shivers, merupakan Trojan remote kontrol yang melalui
service telnet untuk mengeksekusi command dan
memiliki kemampuan untuk mengirim pesan pada penyerang
bila sistem target telah aktif. File yang perlu
diwaspadai adalah en-cid12.exe, en-cid12.dat
38. Port 12223
keylogger seperti Hack'99 meggunakan port ini, seperti
keylogger lainnya, program ini bisa mengirimkan hasil
ketikan korban secara real-time (apabila tersambung
dengan internet tentunya).
39. Port 18000
Service Pro adalah salah satu remote backdoor Trojan
dengan kemampuan seperti menghapus file, menjalankan
program, shutdown dan restart PC korban, log off
windows dll. Pada registry bisa dilihat di
HKLM\Software\Microsoft\Windows\CurrentVersion\Run - Srvcpro
40. Port 20000 - 20001
Program remoe kontrol yang bernama Millenium
menggunakan port ini, dibuat dengan Visual Basic,
program ini memiliki kemampuan seperti kontrol cdrom,
kontrol audio, keylogger, kontrol taskbar dan desktop,
port scanning dll. Pada registri bisa kita lihat di
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
(Key: Millenium). File yang perlu diwaspadai adalah hool.exe
41. Port 22222, 33333
Prosiak merupakan program remote kontrol dengan kemampuan
seperti kontrol cdrom, kontrol audio, kontrol
desktop dll. Kita bisa lihat registry keynya di
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
(Key: Microsoft DLL Loader). File yangperlu diwaspadai
adalah prosiak.exe.
42. Port 30029
salah satu program yang memakai port ini adalah AOL
Trojan. Trojan ini menginfeksi DOS.EXE, dan bisa menyebarkan
dirinya melali LAN, WAN, INTERNET, atau
melalui email. Pada registry bisa dilihat di
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
(Key: dat92003).
43. Port 30100 - 30102
NetSphere yang merupakan program remote yang
powerfull dan berbahaya menggunakan port ini. Feature
yang ada pada Trojan ini antara lain shutdown/restart
sistem, kontrol audio, melihat informasi sistem target
secara komplit, kontrol mouse, chat dll. Dalam registry
bisa kita lihat di
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices - nssx
44. Port 1349, 31337 - 31338, 54320 - 54321
Back Orifice program remote yang terkenal dan sudah
menyebar luas menggunakan port ini. BO mengendalikan
nyaris sepenuhnya terhadap sistem, termasuk restart
sistem serta mengirim dan menerima file.
45. Port 33911
Spirit, yang kita kenal sebagai remote backdoor dengan
kemampuan unik yaitu merusak monitor. Kabarnya
program ini mereset resolusi layar dan merubah refresh
rate dari layar juga. File yang perlu diwaspadai adalah
windown.exe dan pada registry bisa kita lihat di
HKLM\Software\Microsoft\Windows\CurrentVersion\RunService
(Key: SystemTray).
46. Port 35000
Infector adalah remote akses Trojan yang di compile
menggunakan Borland Delphi 5 dan memiliki kemampuan
seperti menutup server, merubah port, mengganti
password, restart/shutdown sistem, log off user dll. File
yang perlu diwaspadai adalah d3x.drv, FC32.exe,
apxil32.exe, dan setup.int pada direktori windows.
47. Port 40412
Keylogger The Spy menggunakan port ini. Program ini
hanya bisa mengirimkan hasilnya secara langsung, tidak
bisa menyimpannya dulu bila target sedang dalam keadaan
off line. Pada registry bisa kita lihat di
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
(Key : systray)
48. Port 47262
Program Delta Source terinspirasi dari Back Orifice, dibuat
menggunakan Visual Basic. Sebagai hasilnya semua
feature dari program ini sama seperti feature yang ada
pada BO. Dalam registry bisa kita lihat pada
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
(Key: Ds admin tool)
49. Port 65000
Devil merupakan program remote kontrol yang dibuat
dengan Visual Basic. Software ini tidak akan aktif kembai
bila sistem target telah di restart. Beberapa feature yang
ada antara lain kontrol sdrom, dan mematikan aplikasi.
File yang perlu diwaspadai adalah opscript.exe,
winamp34.exe, wingenocid.exe.
