ARP Spoofing

Otak intelektual dibalik misteri kesaktian virus Microsoft.pif.

Mengapa penyakit Demam Berdarah sangat ditakuti dan setiap tahun selalu memakan korban jiwa ? Sebenarnya jika penderita Demam Berdarah dapat mendeteksi bahwa dia di serang oleh kuman dengue, kemungkinan yang fatal akan jauh lebih kecil dan dapat di hindari. Tetapi yang menjadi masalah adalah gejala-gejala awal DB ini pada awalnya sulit dibedakan dari demam biasa dan hanya dapat dipastikan dengan pemeriksaan darah di laboratorium beberapa hari sesudah demam.

Hal yang serupa saat ini sedang terjadi di jaringan intranet Indonesia. Saat ini, ada satu virus impor dari Cina yang memiliki kemampuan memalsukan MAC Address router / proxy sehingga seluruh komputer intranet yang terhubung ke internet melalui proxy akan dikelabui untuk melewati komputer yang terinfeksi virus dan celakanya komputer yang terinfeksi virus ini akan meneruskan akses router ini (transparent proxy) sambil “menitipkan” satu link download yang berisi virus. Praktis pengakses internet dalam jaringan akan mendapatkan kiriman virus setiap kali membuka browser. Karena yang “dikerjai” adalah router, maka link berisi virus ini tidak akan pandang bulu dikirimkan ke seluruh komputer dalam jaringan, tidak perduli apa merek browser yang dipakai, baik IE, Firefox atau Safari sekalipun tetap mendapatkan kiriman virus. Menurut pengetesan Vaksincom, selain Windows XP yang menjadi sasaran tembak virus, ternyata OS Windows Vista dan Linux sekalipun akan tetap mendapatkan kiriman virus ini setiap kali melakukan browsing. Hanya saja virus yang dikirim saat ini bisa berjalan di platform Windows XP. Tetapi setidaknya hal ini menunjukkan proof of concept bahwa secara teknis platform apapun dapat dicapai oleh virus.

Kembali ke analogi Demam Berdarah di atas, menurut pengamatan Vaksincom korban virus ini cukup banyak, khususnya menyerang jaringan intranet yang tidak terlindung oleh antivirus dengan “sempurna”**. Dan kebanyakan korbannya tidak menyadari. Biasanya korban mulai menyadari kalau masalahnya sudah cukup besar seperti tahu-tahu jaringannya jadi lambat dan setiap kali menyalakan komputer dimana komputer akan otomatis mengaktifkan Yahoo Messenger, MSN Messenger atau aplikasi apapun yang mengaktifkan Javascript browser maka akan mendapatkan pesan error.

**

Yang dimaksudkan dengan perlindungan antivirus yang sempurna adalah SEMUA komputer dalam jaringan (khususnya Windows XP) sudah terlindung dengan antivirus yang terupdate. Disini dikatakan semua karena virus ini hanya membutuhkan satu saja komputer di dalam jaringan intranet terinfeksi virus ini dan dalam waktu singkat ia akan mengambil alih Gateway internet dan menyebarkan dirinya ke seluruh komputer dalam jaringan intranet (dengan catatan jaringan / switch belum dilengkapi dengan perlindungan anti ARP Spoofing atau lebih dikenal dengan nama DHCP Snooping).

Gejala jaringan terinfeksi virus

Jika koneksi internet di kantor anda tahu-tahu mengalami kelambatan yang signifikan padahal koneksi internet dari ISP tidak ada masalah di tambah komputer dalam jaringan “berulang-ulang” mendapatkan insiden virus atau ketika menjalankan Yahoo Messenger anda mendapatkan pesan “An error has occured in the script on this page”. Jika anda menggunakan Norman Virus Control setiap kali menjalankan Yahoo Messenger / MSN Messenger atau menjalankan browser terdeteksi virus dengan nama W32/Agent.FUVR. Atau di sistem Windows anda ada file dengan nama Microsoft.vbs, Microsoft.bat atau Microsoft.pif maka kemungkinan besar komputer anda / jaringan ada yang terinfeksi virus Agent.FUVR. Lihat artikel virus ini di situs vaksin.com.

Aksi virus ini pada beberapa OS adalah sebagai berikut :

• Windows XP tanpa antivirus / antivirus tidak terupdate.

Tidak ada gejala apa-apa dan dapat langsung terinfeksi, sekaligus PC yang terinfeksi akan menjadi host virus di dalam jaringan yang kemudian akan memalsukan MAC Address Gateway.

• Windows XP dengan antivirus terupdate dan mampu mendeteksi virus ini.

“Setiap kali” menjalankan aplikasi yang mengakses fitur browser seperti menjalankan Internet Explorer, Firefox, login Yahoo Messenger, login MSN Messenger akan mendapatkan pesan bahwa ada virus terdeteksi di sistem Windows.

• Windows Vista

“Setiap kali” menjalankan aplikasi yang mengakses fitur browser seperti menjalankan Internet Explorer, Firefox, login Yahoo Messenger, login MSN Messenger akan mendapatkan pesan download error script dari site :

• http://root.51113.com/root.gif

• http://hk.www404.cn:53/ads.js

• http://err.www404.cn:443/014.html

  Catatan : Website di atas hanya beberapa yang teridentifikasi oleh Vaksincom dan tidak tertutup kemungkinan untuk berubah / bertambah.

Tampilan website terinfeksi virus sulit dibedakan

Anda tidak akan dapat membedakan tampilan website yang yang sudah di injeksi oleh script yang mengirimkan virus ini karena pada banyak kasus tampilannya sama saja dengan website asli (lihat gambar 1).

Gambar 1,Tampilan website search di Google dari Gateway yang sudah terinfeksi virus

Baru jika anda melakukan View Source dengan mengklik [View] [Page Source] atau Ctrl U dari Firefox (dari IE anda dapat melakukan View Source dengan cara klik [View] [Source]). Baru akan terlihat bahwa di awal website ternyata ada javascript yang mengarahkan download script dengan nama “ads.js” (lihat gambar 2) yang akan langsung terinstal secara otomatis setiap kali anda mengaktifkan browser atau menjalankan Yahoo Messenger (karena Yahoo Messenger mengaktifkan browser).

Gambar 2, Page Source Google Search yang sudah di injeksi javascript

Bandingkan dengan Page Source asli dari Google Search yang belum terinjeksi virus yang memalsukan Gateway ini. (lihat gambar 3)

Gambar 3, Page Source asli Google Search yang sebenarnya.

Antivirus saja tidak cukup !!

Sebenarnya hampir semua antivirus sudah dapat mendeteksi virus ini. Ada yang mendeteksi sebagai W32/Agent.FUVR (Norman), Trojan Downloader, Trojan-Downloader.JS.Agent.byh (Kaspersky), HEUR/Exploit.HTML (Avira), Mal/ObfJS-X (Sophos), JS_PSYME.CPZ (Trend Micro). Jadi secara teori, virus ini tidak dapat menginfeksi komputer yang terlindung antivirus yang terupdate. Tetapi masalahnya adalah dalam kenyataannya di lapangan sangat sulit “menjamin” seluruh komputer di jaringan terlindung dengan antivirus yang terupdate, apalagi jika ada komputer / notebook dari luar jaringan yang dihubungkan ke jaringan intranet, cukup satu saja komputer yang terinfeksi maka dalam waktu singkat ia akan memalsukan diri sebagai router / geteway dan menyebarkan dirinya ke seluruh komputer lain dalam intranet yang mengakses internet.

Selain itu, virus ini memiliki kemampuan mengupdate dirinya sehingga deteksi antivirus akan menjadi percuma jika pembuatnya meluncurkan varian baru dan dijamin langsung akan menaklukkan semua antivirus sampai vendor antivirus mendapatkan samplenya dan mendeteksi virus tersebut dengan update terbaru.

Masalah mendasar sebenarnya adalah patching. Selama celah kemanan tidak ditutup, maka sekalipun ada antivirus yang melindungi komputer, virus ini tetap akan mampu wara-wiri di dalam jaringan sampai celah keamanan di tutup. Yang menjadi pertanyaan adalah bagaimana menutup celah keamanan yang disebabkan oleh hardware yang mengandung kelemahan ARP Spoofing ini ? Salah satu caranya adalah mengganti switch dengan yang mendukung DHCP Snoop. Sebenarnya ada cara lain yang cukup hemat biaya yaitu dengan menggunakan perintah “arp -s” dari DOS Prompt guna mengunci IP dan Mac Address gateway di tiap PC, tetapi kalau PCnya ribuan dan tersebar di banyak lokasi rasanya solusi ini cukup membawa sengsara bagi administrator. Belum lagi kalau terjadi perubahan IP / Mac Address gateway, jadi perintah “arp -s” tersebut harus dilakukan di setiap PC lagi.

Bagaimana cara mengatasinya ?

Jika anda terinfeksi oleh virus ini dan pusing karena setiap kali dibersihkan kok virusnya kembali lagi. Percayalah, bukan anda saja yang pusing dan para administrator lain juga pusing. Langkah pertama yang harus anda lakukan setiap kali menghadapi masalah yang memusingkan adalah … NGELAMUN dulu. Mohon maaf, kami tidak bermaksud membuat anda di pecat, tetapi jika anda langsung sibuk membersihkan virus di setiap komputer dan belum mendapatkan gambaran masalah sebenarnya dimana, maka yang akan anda alami adalah virusnya kembali lagi dan memboroskan waktu anda. Dengan melamun anda jadi dapat melakukan analisa dengan tenang dan kepala dingin mengumpulkan data kira-kira apa sih yang terjadi. Jika anda pelanggan korporat Vaksincom, biarkan teknisi kami yang melamun dan memecahkan masalah anda …. GRATIS.

Kami juga mengalami hal yang serupa dan setelah “melamun” dua hari baru berhasil mengidentifikasi masalah dengan cukup jelas dimana virus ini mengeksploitasi ARP vulnerability dengan memalsukan Mac Address Gateway / Router. Jadi langkah pertama adalah menemukan gateway palsu tersebut. Bagaimana caranya ?

Anda dapat menggunakan tools gratisan Colasoft Mac Scanner http://www.colasoft.com/mac_scanner/mac_scanner.php dan jalankan di komputer yang terhubung ke jaringan intranet anda. Lalu lihat IP yang memiliki Mac Address yang sama dengan Gateway / proxy (lihat gambar 4)

Gambar 4, Colasoft Mac Scanner mendeteksi IP komputer dan Mac Address

Dalam gambar 4 di atas, Gateway adalah IP 192.168.1.1 dengan MAC Address 00:01:6C:CD:D5:24. Terlihat bahwa IP 192.168.1.106 memiliki MAC Address yang sama dengan Gateway. Jadi langkah pertama yang harus anda lakukan adalah memutuskan hubungan 192.168.1.106 dari jaringan dan membersihkan dari virus ini.

Langkah pamungkas

Sebagai langkah pamungkas, anda dapat mencegah komputer-komputer di jaringan untuk dibodohi oleh ARP Spoofing ini. Gunakan perintah “arp -s [IP Gateway / Proxy] [MAC Address Gateway / Proxy]” untuk menetapkan static IP dan MAC Address Gateway / Proxy di setiap komputer.

Jika anda memiliki banyak komputer dalam jaringan, kami sarankan untuk mempertimbangkan menggunakan switch yang mensupport DHCP Snoop. Jangan langsung beli dulu, cek dulu apakah switch yang anda miliki memiliki fitur ini. Kalau ada, langsung aktifkan dan set paremeter dengan baik guna terhindar dari ARP Spoofing.

-http://vaksin.com/2008/0608/microsoft2/arp-spoofing.html-

new tip:

1. putuskan pc dari lan

2. jalankan killvb

3. scan memakai kaspersky removal tool/ norman malware cleaner (terbaru)

4. jalankan kkiller

5. pacth windows (http://mookhy.wordpress.com/2009/04/28/melakukan-patch-dan-windows-hotfix-mengatasi-conflicker-tanpa-menutup-port-share-file/)