21
Okt
08

ARP Spoofing, Microsofts.pif

Artikel ini saya ulas / repost karena saya sendiri repot menghadapi virus ini, ya setidak tidaknya bingung mau cari artikel dimana. Walau dah basi tapi kali aja berguna bagi yang lagi search di google untuk masalah yang sama.

Virus ini agak berbeda dari virus-virus yang lain, karena dia cukup menginfeksi satu komputer pada jaringan LAN. Dari satu komputer itulah dia mengatasnamakan gateway, jadi semua aktivitas routing akan di samarkan oleh fake MAC addrs router/proxy sehingga melewati komputer yang sudah terinfeksi. Dalam hal ini aksess tersebut tidak hanya lewat, akan tetapi “menitipkan” juga satu link download yang berisi virus-virus. Karena yang menjadi sasaran adalah router, maka tanpa ba bi bu langsung semua komputer yang ada pada jaringan akan terjangkit. Virus yang terdeteksi berasal dari cina ini berjalan bersama aktivnya browser, termasuk yahoo messenger dan msn yang secara tidak langsung mereka juga melakukan aktivitas browsing. Pada messenger yang telah terinfeksi biasanya dia akan mengeluarkan pesan error scripts.

Serangan virus ini sebenarnya bisa di cegah dengan adanya anti virus yang terinstal dan terupdate, disini saya tekankan di update karena virus ini juga melakukan update. Sehingga bila tidak melakukan up
date maka virus akan dapat tembus ke dalam komputer. Virus ini akan menginfeksi semua komputer yang ada dalam jaringan, karena dalam waktu singkat dia akan mengambil alih gateway dengan menyamarkan MAC Addrs untuk menyebarkan virus keseluruh komputer dalam jaringan intranet. ( catatan: switch belum di lengkapi dengan perlindungan anti ARP Spoofing atau lebih dikenal dengan nama DHCP Snooping.

Gejala:
Gejala yang harus di waspadai adalah ketika koneksi anda terasa lambat padahal dari pihak ISP menyatakan tidak ada gangguan, serta adanya pesan “An error has occured in the script on this page” pada yahoo messenger p
ada saat online. Pada saat browsing atau menggunakan messenger ada beberapa antivirus yang dapat mendeteksi virus ini, antara lain norman, AVG, Avira, dll. Selain itu pada windows ada file asing bernama microsofts.vbs, microsofts.pif dan microsofts.bat maka dapat di pastikan komputer anda terinveksi virus Agent.FUVR. Untuk keterangan lanjutan tentang virus ini silakan baca di Vaksin.com.

Aksi sang virus dalam beberapa OS :

» Windows XP tanpa antivirus / antivirus tidak terupdate.

tidak akan ada tanda-tanda virus akan menginfeksi dan akan langsung terinfeksi sehingga akan menyamarkan MAC Addrs gateway.

» Windows XP dengan antivirus terupdate dan mampu mendeteksi virus ini.

antivirus tersebut akan mendeteksi adanya virus yang beraktivitas di windows ketika anda browsing atau menggunakan messenger.

» Windows Vista

saat browsing anda akan mendapatkan pesan download error script dari site:

-http://root.51113.com/root.gif
-http://hk.www404.cn:53/ads.js
-http://err.www404.cn:443/014.html

itu hanya beberapa contoh site yang terdeteksi, dan akan selalu terupdate.

Dari segi tampilan browser tidak akan ada perbedaan komputer yang sudah terinveksi dan belum terinveksi.


tampilan site yang belum terinfeksi virus.

Dari tampilan tersebut tidak bisa di bedakan apa komputer itu sudah terinfeksi atau belum, baru setelah kita view source page maka akan nampak bahwa pada baris pertama akan ada script download yang mengarah ke ads.js yang akan aktiv bila browser atau messenger beraktivitas.


pada baris paling atas terlihat script aneh.

Dalam kasus ini antivirus saja tidak cukup, karena antivirus tersebut hanya mendeteksi tanpa bisa mencegah datangnya virus tersebut. Masalah utamanya adalah patching, selama bugs yang ada dalam komputer tidak ditutup maka “dia” akan leluasa keluar masuk jaringan walau sudah terdeteksi antivirus.

Bagaimanakah caranya?

Berdasarkan Vaksin[dot]com kita harus mengganti switch yang didukung DHCP Snoop, namun cara itu tidak efisien dan terlalu mengeluarkan banyak biaya. Cara praktisnya adalah menggunakan perintah arp -s dari DOS promt guna mengunci IP dan MAC Addrs di tiap PC. Namun kelemahannya adalah jika networknya berupa ratusan/ribuan komputer, maka akan kesulitan dalam melakukan command arp -s karena harus di lakukan di tiap komputer.

Cara kerja virus ini adalah mengeksploitasi ARP vulnerability dengan memalsukan MAC Addrs Gateway/Router. Jadi yang perlu dilakukan adalah mencari komputer yang menjadi Fake Gateway.
Untuk scan IP Addrs dan MAC Addrs anda dapat menggunakan Tool ini klik disini

Jalan software tersebut dan mulailah scan intranet anda. dari hasil scan tersebut akan di ketahui bahwa ada salah satu IP Addrs yang mempunyai MAC Addrs yang sama dengan IP Gateway. Silahkan ada matikan jaringan pada komputer tersebut, dan segeralah scan total menggunakan Antivirus anda.

Sebagai langkah terakhir, gunakanlah Command arp -s [IP Addrs] [MAC Addrs] pada tiap komputer. Bagi yang memiliki komputer dalam jumlah besar, silahkan gunakan switch yang telah support DHCP Snoop.

Thanks to Vaksin[dot]com

millis on


0 Responses to “ARP Spoofing, Microsofts.pif”



  1. Tinggalkan sebuah Komentar

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s


%d blogger menyukai ini: