Kembali ke analogi Demam Berdarah di atas, menurut pengamatan Vaksincom korban virus ini cukup banyak, khususnya menyerang jaringan intranet yang tidak terlindung oleh antivirus dengan "sempurna"**. Dan kebanyakan korbannya tidak menyadari. Biasanya korban mulai menyadari kalau masalahnya sudah cukup besar seperti tahu-tahu jaringannya jadi lambat dan setiap kali menyalakan komputer dimana komputer akan otomatis mengaktifkan Yahoo Messenger, MSN Messenger atau aplikasi apapun yang mengaktifkan Javascript browser maka akan mendapatkan pesan error.
**
Yang dimaksudkan dengan perlindungan antivirus yang sempurna adalah SEMUA komputer dalam jaringan (khususnya Windows XP) sudah terlindung dengan antivirus yang terupdate. Disini dikatakan semua karena virus ini hanya membutuhkan satu saja komputer di dalam jaringan intranet terinfeksi virus ini dan dalam waktu singkat ia akan mengambil alih Gateway internet dan menyebarkan dirinya ke seluruh komputer dalam jaringan intranet (dengan catatan jaringan / switch belum dilengkapi dengan perlindungan anti ARP Spoofing atau lebih dikenal dengan nama DHCP Snooping).
Gejala jaringan terinfeksi virus
Jika koneksi internet di kantor anda tahu-tahu mengalami kelambatan yang signifikan padahal koneksi internet dari ISP tidak ada masalah di tambah komputer dalam jaringan “berulang-ulang” mendapatkan insiden virus atau ketika menjalankan Yahoo Messenger anda mendapatkan pesan “An error has occured in the script on this page”. Jika anda menggunakan Norman Virus Control setiap kali menjalankan Yahoo Messenger / MSN Messenger atau menjalankan browser terdeteksi virus dengan nama W32/Agent.FUVR. Atau di sistem Windows anda ada file dengan nama Microsoft.vbs, Microsoft.bat atau Microsoft.pif maka kemungkinan besar komputer anda / jaringan ada yang terinfeksi virus Agent.FUVR. Lihat artikel virus ini di situs vaksin.com.
Aksi virus ini pada beberapa OS adalah sebagai berikut :
Windows XP tanpa antivirus / antivirus tidak terupdate.
Tidak ada gejala apa-apa dan dapat langsung terinfeksi, sekaligus PC yang terinfeksi akan menjadi host virus di dalam jaringan yang kemudian akan memalsukan MAC Address Gateway.
Windows XP dengan antivirus terupdate dan mampu mendeteksi virus ini.
“Setiap kali” menjalankan aplikasi yang mengakses fitur browser seperti menjalankan Internet Explorer, Firefox, login Yahoo Messenger, login MSN Messenger akan mendapatkan pesan bahwa ada virus terdeteksi di sistem Windows.
Windows Vista
“Setiap kali” menjalankan aplikasi yang mengakses fitur browser seperti menjalankan Internet Explorer, Firefox, login Yahoo Messenger, login MSN Messenger akan mendapatkan pesan download error script dari site :
http://root.51113.com/root.gif
http://hk.www404.cn:53/ads.js
http://err.www404.cn:443/014.html
Catatan : Website di atas hanya beberapa yang teridentifikasi oleh Vaksincom dan tidak tertutup kemungkinan untuk berubah / bertambah.
Antivirus saja tidak cukup !!
Sebenarnya hampir semua antivirus sudah dapat mendeteksi virus ini. Ada yang mendeteksi sebagai W32/Agent.FUVR (Norman), Trojan Downloader, Trojan-Downloader.JS.Agent.byh (Kaspersky), HEUR/Exploit.HTML (Avira), Mal/ObfJS-X (Sophos), JS_PSYME.CPZ (Trend Micro). Jadi secara teori, virus ini tidak dapat menginfeksi komputer yang terlindung antivirus yang terupdate. Tetapi masalahnya adalah dalam kenyataannya di lapangan sangat sulit "menjamin" seluruh komputer di jaringan terlindung dengan antivirus yang terupdate, apalagi jika ada komputer / notebook dari luar jaringan yang dihubungkan ke jaringan intranet, cukup satu saja komputer yang terinfeksi maka dalam waktu singkat ia akan memalsukan diri sebagai router / geteway dan menyebarkan dirinya ke seluruh komputer lain dalam intranet yang mengakses internet.
Selain itu, virus ini memiliki kemampuan mengupdate dirinya sehingga deteksi antivirus akan menjadi percuma jika pembuatnya meluncurkan varian baru dan dijamin langsung akan menaklukkan semua antivirus sampai vendor antivirus mendapatkan samplenya dan mendeteksi virus tersebut dengan update terbaru.
Masalah mendasar sebenarnya adalah patching. Selama celah kemanan tidak ditutup, maka sekalipun ada antivirus yang melindungi komputer, virus ini tetap akan mampu wara-wiri di dalam jaringan sampai celah keamanan di tutup. Yang menjadi pertanyaan adalah bagaimana menutup celah keamanan yang disebabkan oleh hardware yang mengandung kelemahan ARP Spoofing ini ? Salah satu caranya adalah mengganti switch dengan yang mendukung DHCP Snoop. Sebenarnya ada cara lain yang cukup hemat biaya yaitu dengan menggunakan perintah “arp -s” dari DOS Prompt guna mengunci IP dan Mac Address gateway di tiap PC, tetapi kalau PCnya ribuan dan tersebar di banyak lokasi rasanya solusi ini cukup membawa sengsara bagi administrator. Belum lagi kalau terjadi perubahan IP / Mac Address gateway, jadi perintah "arp -s" tersebut harus dilakukan di setiap PC lagi.
Bagaimana cara mengatasinya ?
Jika anda terinfeksi oleh virus ini dan pusing karena setiap kali dibersihkan kok virusnya kembali lagi. Percayalah, bukan anda saja yang pusing dan para administrator lain juga pusing. Langkah pertama yang harus anda lakukan setiap kali menghadapi masalah yang memusingkan adalah ... NGELAMUN dulu. Mohon maaf, kami tidak bermaksud membuat anda di pecat, tetapi jika anda langsung sibuk membersihkan virus di setiap komputer dan belum mendapatkan gambaran masalah sebenarnya dimana, maka yang akan anda alami adalah virusnya kembali lagi dan memboroskan waktu anda. Dengan melamun anda jadi dapat melakukan analisa dengan tenang dan kepala dingin mengumpulkan data kira-kira apa sih yang terjadi. Jika anda pelanggan korporat Vaksincom, biarkan teknisi kami yang melamun dan memecahkan masalah anda .... GRATIS.
Kami juga mengalami hal yang serupa dan setelah “melamun” dua hari baru berhasil mengidentifikasi masalah dengan cukup jelas dimana virus ini mengeksploitasi ARP vulnerability dengan memalsukan Mac Address Gateway / Router. Jadi langkah pertama adalah menemukan gateway palsu tersebut. Bagaimana caranya ?
Anda dapat menggunakan tools gratisan Colasoft Mac Scanner http://www.colasoft.com/mac_scanner/mac_scanner.php dan jalankan di komputer yang terhubung ke jaringan intranet anda. Lalu lihat IP yang memiliki Mac Address yang sama dengan Gateway / proxyLangkah pamungkas
Sebagai langkah pamungkas, anda dapat mencegah komputer-komputer di jaringan untuk dibodohi oleh ARP Spoofing ini. Gunakan perintah “arp -s [IP Gateway / Proxy] [MAC Address Gateway / Proxy]” untuk menetapkan static IP dan MAC Address Gateway / Proxy di setiap komputer.
Jika anda memiliki banyak komputer dalam jaringan, kami sarankan untuk mempertimbangkan menggunakan switch yang mensupport DHCP Snoop. Jangan langsung beli dulu, cek dulu apakah switch yang anda miliki memiliki fitur ini. Kalau ada, langsung aktifkan dan set paremeter dengan baik guna terhindar dari ARP Spoofing.
vaksin.com
No comments:
Post a Comment