Menganalisa C99Shell Sebagai Salah Satu Variant Malicios Code

Maaf bukannya sok ataupun sejenisnya, JUST SHARING [mohon dikoreksi]
Sebelum menganalisa c99 shell, ada baiknya kita mengetahui beberapa perbedaan dari virus, worm, trojan, backdoor, dan spyware.

1. Virus
Virus adalah program/script ‘jahat’ yang dapat menggandakan atau menyalin dirinya sendiri dan menyebar dengan cara menyisipkan salinan dirinya ke dalam program atau dokumen lain sehingga virus dapat menjadikan file tersebut menjadi infector. Virus dapat merusak data pada dokumen sehingga membuat pengguna yang terjangkit virus terganggu.


2. Worm
Worm hampir sama dengan virus yaitu dapat mengganggu pengguna yang terjangkitnya. Bedanya worm tidak menginfeksi program yang dijangkitinya. Worm dapat menduplikasikan dirinya dan menginfeksi computer lain (umumnya lewat jaringan) dan sebuah worm dapat merusak program dan mengubah data pada computer yang dijangkitinya.


3. Trojan
Trojan dimasukan sebagai variant virus dikarenakan trojan dapat menjalankan suatu program yang tidak diinginkan dan bekerja sendiri tanpa diketahui oleh pemilik asli yang telah dijangkiti trojan. Trojan biasanya digunakan untuk mengendalikan suatu computer target dari jarak jauh. Biasanya Trojan disisipkan ke suatu program tertentu sehingga pengguna(target) dan antivirus tertipu


4. Backdoor
Backdoor adalah suatu program atau script yang dapat mengakses dan memasuki suatu system computer tanpa menggunakan mekanisme yang biasanya seperti autentifikasi login. Backdoor adalah ‘pintu belakang’ dalam memasuki suatu system computer.Backdoor biasanya digunakan oleh penyerang untuk memasuki suatu system computer yang telah diserangnya tanpa melakukan tahap exploitasi lagi terhadap target yang diserangnya.


5. Spyware
Spyware adalah suatu program yang mematai pengguna computer tanpa diketahui pengguna computer tersebut.

C99 shell adalah script php shell yang dapat menjalankan perintah shell/command line pada browser. Sebuah jalan alternative jika kita tidak mempunyai hak akses menjalankan aplikasi ssh atau command line. Atau lebih kerennya dapat menjalankan perintah ssh atau command line melalui port http:port 80.
Dapat dikatakan pula bahwa c99 shell merupakan pedang bermata dua. Mengapa? Karena c99 shell dapat digunakan oleh admin sebagai file manager dan database manager. Namun jika c99 shell ini ditemukan oleh orang yang tidak berkepentingan maka c99 shell dapat ‘memberitahu’ isi dari seluruh direktori suatu computer/server yang ditanam c99 shell ini. C99 shell juga sering dijadikan backdoor oleh admin maupun penyerang untuk memasuki suatu system tanpa melalukan login lagi ke system yang telah diserangnya.
Menurut www.kecoak-elektronik.net, c99shell merupakan webshell produksi dari CCTeam rusia, C99 memiliki cukup banyak fitur yang terus dikembangkan dan saat ini banyak jenis private webshell menggunakan C99 sebagai template/base nya.

Contoh bentuk dari c99 shell :


C99 shell pun dapat melihat configurasi pada website kita.


Dalam menyelasaikan tugas ini, saya melakukan percobaan dengan menggunakan c99 shell,antivirus McAfee 8.0.0 dengan update terakhir pada tanggal 3 April 2009, dan appserv-win32-1.8.0.exe.

C99 shell pun saya upload atau copy ke direktori C:\AppServ\www\tugas\file .Tiba-tiba muncul form yang memberitahu bahwa ada varian virus tipe trojan dan terdeteksi sebagai BackDoor. Untuk lebih jelas silakan lihat gambar dibawah ini :


File c99 shell pun langsung dihapus oleh McAfee tanpa kompromi.

Menurut saya c99 shell termasuk gabungan kategori Trojan dan backdoor karena c99 shell selain dapat mematamatai admin yang diserang juga dapat melihat isi seluruh dari direktori system computer yang ditanam c99 shell ini sehingga penyerang dapat bekerja selevel admin terhadap system computer yang diserangnya. Penyerang tersebut dapat melihat isi configurasi, melihat file manager (berarti bisa upload maupun download), mengedit file di system komputer, dan menjadikan penyerang sebagai database manager.


Contoh kasus c99 shell dapat bekerja sebagai database manager antara lain penyerang telah melihat isi dari configurasi.php yang berfungsi sebagai konektor ke database, maka c99 shell pun menyediakan ‘aplikasi sql’ sehingga penyerang dapat melihat isi database target. Untuk lebih jelas silakan lihat gambar dibawah ini :


C99 shell tidak menjadikan file atau program pada system computer yang ditanam c99 shell ini menjadi infector layaknya sebuah virus. C99 shell ini juga tidak melakukan penyerangan dan menduplikasikan dirinya sendiri ke system computer yang ditanam c99 shell. Namun ditegaskan sekali lagi bahwa c99 shell ini dapat berfungsi sebagai backdoor penyerang dalam memasuki sebuah system computer tanpa menggunakan mekanisme pada umumnya seperti autentifikasi login.

Dan berhati-hatilah jika system computer yang anda jaga terdapat c99 shell atau backdoor sejenisnya, kemungkinan system computer anda telah dikunjungi oleh penyerang.

Saya pun bertanya, mengapa script php bisa dianggap salah satu varian virus dan langsung dihapus lagi oleh antivirus.

Untuk mendapatkan jawabannya saya mencoba mengganti c99 shell (c99.php) menjadi tampan.php. begitu juga jika saya mengubah extension menjadi tampan.txt. Tetap saja dihapus oleh antivirus. Untuk lebih jelas, silakan lihat gambar :


Berdasarkan informasi dari http://keren.bangetz.com/c99-shell-trojan-horse-php-di-windows.bangetz.com , ditemukan mengapa c99 shell dianggap sebagai sejenis variant virus. Adapun langkah-langkah untuk menghindarkan c99 shell dianggap sebagai antivirus, antara lain :

• Menggantikan semua kata c99 menjadi bukan kata c99, contohnya c101
• Mengganti default port untuk $bindport_port selain 31373
• Mengganti semua kata ftpquickbrute, selain kata ftpquickbrute

Namun jujur saja, c99 shell yang telah diedit tersebut tetap dianggap sebagai variant virus. Menurut saya memang database dari McAfee telah ‘merekam’ segala sesuatu mengenai c99 shell sebagai salah satu variant virus yang antara lain bekerja pada port 31372, sehingga McAfee menganggap sebagai varint virus. McAffe memiliki ‘crawl’ yang bekerja sendiri, sebab McAfee telah manghapus c99 shell tanpa saya men-scan direktori tempat c99 shell yang saya simpan. Saya setuju terhadap Antivirus apapun yang menganggap c99 shell sebagai virus, karena c99 shell cukup berbahaya bagi pemilik asli system computer yang ditanami c99 shell. Jikalau memang ditanam admin sebagai ‘pintu belakang’ untuk memasuki system jika system yang dibuat mengalami crash, masih dapat ditolerir. Namun jika ditemukan oleh orang yang tidak bertanggung jawab, maka akan menjadi senjata makan tuan.

Kesimpulan :

C99 shell adalah script web shell yang dibuat dengan php, yang dapat menjalankan fungsi layaknya aplikasi ssh dan command line pada browser. C99 shell sering digunakan oleh penyerang sebagai backdoor dalam memasuki system computer target tanpa autenfikasi login dan tanpa melakukan tahap exploitasi lagi ke system computer yang telah diserang oleh penyerang.


C99 shell ini dianggap sebagai variant Trojan dan backdoor yang pada umumnya berfungsi sebagai mengendalikan system computer target tanpa diketahui oleh admin target asli. Dengan c99 shell yang ditanamnya ke system computer target, panyerang dapat berlaku selayaknya pemilik system computer yang asli, karena penyerang dapat berlaku sebagai database manager dan dapat mengetahui isi direktori di system computer yang telah ditanam c99 shell ini.

C99 shell tidak menginfeksi file dan document di system computer yang ditanami c99 shell layaknya sebuah virus dan c99 shell juga tidak melakukan penduplikasian dirinya secara otomatis layaknya sebuah worm. C99 shell ini menurut saya dapat berfungsi sebagai Trojan, backdoor, dan spyware, karena dengan c99 shell ini, penanam c99 shell dapat ‘mengendalikan’ system computer yang ditanam c99 shell ini. Walaupun c99 shell tidak bekerja seperti Trojan ‘murni’ yang dapat mengendalikan computer target seperti men-shutdown-kan computer target tersebut menjadi mati. C99 shell ini dapat menjadikan penyerang sebagai layaknya admin, penyerang dapat mengakses ‘file manager’ dan database administrator system computer yang ditanam c99 shell.

Ada banyak web shell yang berfungsi layaknya c99 shell, antara lain r57 shell dan c100 shell. C100 shell merupakan perkembangan dari c99 shell. Saya mencoba menggunakan c100 shell pada percobaan kali ini dan hasilnya c100 shell tidak pernah terdeteksi oleh antivirus yang saya gunakan. Berbeda dengan c99 shell, saya edit dengan berbagai cara, tetap saja c99 shell dianggap sebagai variant malware dan langsung dihapus oleh antivirus.


Namun biasanya penyerang, dapat menganti nama c99 shell sebelum menanamnya ke system computer target. Ini berfungsi untuk membuat bingung admin dalam menebak apakah backdoor atau bukan.

Variant malcode tidak hanya dibuat dengan bahasa c,c++, visual basic, bahasa rakitan(assembler), variant malcode juga dapat diolah dengan menggunakan PHP dan mungkin disisipkan kode Perl,

Bahan referensi :
www.kecoak-elektronik.net
http://keren.bangetz.com/c99-shell-trojan-horse-php-di-windows.bangetz.com