1. Morris worm – worm ini adalah salah satu worm internet pertama
yang berefek menghancurkan dan mendapat perhatian luas dari media.
Morris worm pertama diluncurkan pada bulan november 1988 oleh Robert
Toppan Morris yang pada saat itu adalah seorang mahasiswa di cornell
university. Ini adalah worm pertama yang dikenal untuk mengeksploitasi
kerentanan buffer overflow, menargetkan pada layanan sendmail and finger
pada 3 host DEC VAX dan Sun.
Berdasarkan klaim penciptanyanya : worm morries tidak dimaksudkan untuk menyebabkan kerusakan apapun, tetapi dirancang untuk menemukan jumlah host di internet. Worm ini dirancang untuk menjalankan proses pada setiap host yang terinfeksi untuk merespon query, apakah sebuah host telah terinfeksi oleh worm morries atau tidak. Jika ya. host yang sudah terinfeksi harus dilewati, jika tidak worm akan menyalin dirinya ke host. Namun sebuah kekurangan dalam program yang menyebabkan kode dapat menyalin dirinya sendiri beberapa kali pada mesin yang sudah terinfeksi dan setiap menjalankan proses baru akan memperlambat host yang terinfeksi ke titik dimana host menjadi tak dapat digunakan.
2. Code red I dan code red II – code red I pertama kali terlihat
pada bulan juli 2001 mempengaruhi komputer yang menjalankan microsoft
Internet Information Server (IIS) web service. Dalam 20-25 hari pertama
setelah masuk ke mesin. Code red I menggunakan skema blind scan pada
port 80 pada alamat IP secara acak untuk menemukan mesin lainnya yang
rentan untuk di serang dan kemudian meluncurkan serangan Denial of
Service (DoS) yang menargetkan satu set alamat IP. Situs-situs yang
terinfeksi akan menampilkan : “HALO! Welcome to http://www.worm.com!
Hacked by Chinese!”.
Code red II dirilis satu bulan kemudian. Ini adalah varian dari code red yang asli. Code Red II tidak lagi meluncurkan serangan DoS terhadap alamat IP yang ditetapkan, melainkan mengisntall backdoor kedalam sistem yang terinfeksi. Masih menggunakan blind scan, tetapi lebih memfokuskan pada subnet local, dan target utama sistem dengan pengaturan bahasa cina. Code red I, mengirimkan payload dalam format monomorphic dan memiliki signature awal dengan “GET / default.ida?NNNNNNN.” code red II memiliki signature yang sama. Tapi menggantikan N dengan X. kedua versi dari Code Red adalah self-carried dan transfer melalui koneksi TCP.
3. Nimda – pertama kali dilaporkan pada bulan september 2001,
yang menjadi target adalah microsoft windows workstation maupun server.
Nimda adalah worm multivector canggih yang menggunakan beberapa
mekanisme untuk menyebarkan dirinya, termasuk dari client ke client
melalui email, dari client ke client melalui network-shares, dari web
server ke client melalui browsing situs web yang telah dikompromikan,
dari client ke web server dengan active scanning untuk kerentanan
microsoft IIS 4.0 / 5.0 dan dari client ke server web dengan memindai
untuk backdoor yg di install oleh Code Red II dan Sadmind / IIS.
Nimda menyebar sendiri dengan mengirimkan email kepada sesuatu yang terlihat seperti alamat email .htm atau html file dalam folder user web cache folder dan juga isi pesan email user diambil melalui layanan MAPI. Pesan subjeck line nya adalah variabel dan juga terpasang biner yang memiliki beberapa variasi yang menghasilkan checksum MD5 yang berbeda tapi semua biner memiliki ukuran yang sama (57,344 bytes). selain itu nimda memindai jaringan untuk menemukan dan menginfeksi server IIS yang rentan pada TCP port 80 serta menggunakan UDP port 69 untuk download worm untuk IIS melalui TFTP. Setelah host terinfeksi, nimda memungkinkan penyerang untuk menjalankan perintah dengan hak yang sama dengan user yang terinfeksi serta menggunakan host yang terinfeksi sebagai zombie untuk berpartisipasi dalam serangan DoS pada pihak ketiga. Selain itu pemindaian dengan high rate Nimda dapat menyebabkan serangan DosS pada bandwith yang bekerja dengan host yang terinfeksi.
Selanjutnya, nimda menggantikan binary yang ada pada sistem dengan salinan Trojan Horse dan menginfeksi semua isi web seperti Htm, Html dan Asp pada sistem, sehingga setiap pengguna yang membrowsing isi konten ini pada sistem melalui web browser akan mendownload salinan dari worm, dalam beberapa kasus, browser tertentu akan mengeksekusi kode secara otomatis, menginfeksi host user.
4. Slammer/sapphire – Slammer juga dikenal sebagai sapphire,
adalah salah satu worm terkecil yang pernah ada. Ditemukan pada januari
2003 menargetkan microsoft SQL server 2000 atau MSDE 2000. Slammer
menggunakan port UDP 1434 untuk mengeksploitase buffer overflow dalam MS
SQL Server. Ukuran kode nya adalah 376byte setelah di taambahkan header
UDP membuat total panjangnya hanya menjadi 404byte, slammer menggunakan
skema blind dimana nomor acak yang dihasilkan digunakan sebagai alamat
IP dalam mencari Host yang rentan, untuk menginisialisasi generator
nomor acak slammer menggunakan GetTickCount() fungsi dari win32 API.
Kadang-kadang generator acak mengembalikan nilai-nilai alamat broadcast,
seperti a.b.c.255 dan menyebabkan semua host dalam jaringan menerima
packet worm. Membuat penyebaran worm slammer lebih cepat, seperti
kebanyakan worm UDP, slammer adalah self-carried dan memiliki
monomorphic payload. Slammer tidak menulis ke disk mesin yang
terinfeksi, hanya overload sistem korban dan memperlambat lalu lintas.
5. Sasser – Sasser dirilis pada bulan april 2004 menargetkan
sistem microsoft XP atau windows 2000 yang belum di patch untuk Local
Security Authority Subsistem Service (LSASS). Sasser mengeksploitasi
kerentanan buffer overflow dari LSASS untuk mendapatkan akses ke sistem
remote dan penyebaran lebih lanjut, sasser transfer menggunakan second
channel via koneksi TCP dan menggunakan payload monomorfphic.
Jika sasser berhasil menginfeksi sistem, ia akan bertindak sebagai server FTP pada port TCP 5554. sasser kemudian menghasilkan 128 scanning thread (sasser B menggunakan proses, bukan thread) untuk menemukan sistem yang rentan dengan menggunakan alamat IP acak, worm menyelidiki dan mencoba untuk menghubungkan ke korban berikutnya melalui TCP port 445, kemudian mencoba untuk menyambung ke command shell yg tersedia di port TCP 9996. Setelah sambungan berhasil, korban akan mendownload kode worm dari penyerng menggunakan FTP. Ukuran sasser A sampai E 15-16kbytes, sasser F dan versi berikutnya ukurnnya lebih besar, sasser F adalah 74 kb dan sasser G 58kb. Setelah worm sasser memasuki sistem, dia membuat salinan dari dirinya sendiri, menyimpan salinan dalam direktori windows, dan menambahkan dirinya sendiri ke dalam registry.
6. The Witty Worm – worm witty dirilis pada maret 2004, menargetkan kerentanan buffer overflow pada beberapa Internet Security System (ISSs), termasuk realsecure sensor server, dekstop realsecure dan blackICE. Cerdas dalam mengambil keuntungan dari kerentanan modul dari ISS Protocol Analisis Module (PAM) yang digunakan untuk ICQ instant messagging.
Witty adalah worm UDP self-carried monomorphic yang menggunakan skema blind target, worm ini mengirim paket UDP ke 20.000 alamat ip dengan tujuan acak bersumber dari port 4000, dengan ukuran paket acak berkisar 768-1307 byte. Ukuran kode witty hanya 637 byte, dan sisanya dari payload dibungkus dengan data dari system memory. Bungkusan/padding ini tidak mengubah format monomorphic dari witty.
Payload berisi pesan teks “(^.^) insert witty message here (^.^),” yang itulah kenapa disebut witty. Witty secara acak menulis datan kedalam disk yg terinfeksi. Witty lebih sulit di deteksi dibandingkan dengan worm yang ukuran paketnya tetap dan mentarget fixed destination karena karakteristiknya yang acak. Ukuran witty lebih besar dari pada worm slammer (bisa sampai 2 kali lipat), tetapi witty menyebar lebih cepat dari pada slammer. Ini membuktikan ukuran tidak selalu menjadi hambatan penyebaran worm. Yang Signifikan dari worm witty bahwa witty adalah worm yang pertama dikenal di distribusikan menggunakan botnet.
