mikrotik

1. ARP Spoofing 26 Juni 2008
Otak intelektual dibalik misteri kesaktian virus Microsoft.pif.
Mengapa penyakit Demam Berdarah sangat ditakuti dan setiap tahun selalu memakan korban jiwa ?
Sebenarnya jika penderita Demam Berdarah dapat mendeteksi bahwa dia di serang oleh kuman dengue,
kemungkinan yang fatal akan jauh lebih kecil dan dapat di hindari. Tetapi yang menjadi masalah adalah
gejala-gejala awal DB ini pada awalnya sulit dibedakan dari demam biasa dan hanya dapat dipastikan
dengan pemeriksaan darah di laboratorium beberapa hari sesudah demam.
Hal yang serupa saat ini sedang terjadi di jaringan intranet Indonesia. Saat ini, ada satu virus impor dari
Cina yang memiliki kemampuan memalsukan MAC Address router / proxy sehingga seluruh komputer
intranet yang terhubung ke internet melalui proxy akan dikelabui untuk melewati komputer yang terinfeksi
virus dan celakanya komputer yang terinfeksi virus ini akan meneruskan akses router ini (transparent
proxy) sambil "menitipkan" satu link download yang berisi virus. Praktis pengakses internet dalam
jaringan akan mendapatkan kiriman virus setiap kali membuka browser. Karena yang “dikerjai” adalah
router, maka link berisi virus ini tidak akan pandang bulu dikirimkan ke seluruh komputer dalam jaringan,
tidak perduli apa merek browser yang dipakai, baik IE, Firefox atau Safari sekalipun tetap mendapatkan
kiriman virus. Menurut pengetesan Vaksincom, selain Windows XP yang menjadi sasaran tembak virus,
ternyata OS Windows Vista dan Linux sekalipun akan tetap mendapatkan kiriman virus ini setiap kali
melakukan browsing. Hanya saja virus yang dikirim saat ini bisa berjalan di platform Windows XP. Tetapi
setidaknya hal ini menunjukkan proof of concept bahwa secara teknis platform apapun dapat dicapai oleh
virus.
Kembali ke analogi Demam Berdarah di atas, menurut pengamatan Vaksincom korban virus ini cukup
banyak, khususnya menyerang jaringan intranet yang tidak terlindung oleh antivirus dengan
"sempurna"**. Dan kebanyakan korbannya tidak menyadari. Biasanya korban mulai menyadari kalau
masalahnya sudah cukup besar seperti tahu-tahu jaringannya jadi lambat dan setiap kali menyalakan
komputer dimana komputer akan otomatis mengaktifkan Yahoo Messenger, MSN Messenger atau
aplikasi apapun yang mengaktifkan Javascript browser maka akan mendapatkan pesan error.
**
Yang dimaksudkan dengan perlindungan antivirus yang sempurna adalah SEMUA komputer dalam
jaringan (khususnya Windows XP) sudah terlindung dengan antivirus yang terupdate. Disini dikatakan
semua karena virus ini hanya membutuhkan satu saja komputer di dalam jaringan intranet terinfeksi virus
ini dan dalam waktu singkat ia akan mengambil alih Gateway internet dan menyebarkan dirinya ke
seluruh komputer dalam jaringan intranet (dengan catatan jaringan / switch belum dilengkapi dengan
perlindungan anti ARP Spoofing atau lebih dikenal dengan nama DHCP Snooping).
Gejala jaringan terinfeksi virus
Jika koneksi internet di kantor anda tahu-tahu mengalami kelambatan yang signifikan padahal koneksi
internet dari ISP tidak ada masalah di tambah komputer dalam jaringan “berulang-ulang” mendapatkan
insiden virus atau ketika menjalankan Yahoo Messenger anda mendapatkan pesan “An error has
occured in the script on this page”. Jika anda menggunakan Norman Virus Control setiap kali
menjalankan Yahoo Messenger / MSN Messenger atau menjalankan browser terdeteksi virus dengan
nama W32/Agent.FUVR. Atau di sistem Windows anda ada file dengan nama Microsoft.vbs,
Microsoft.bat atau Microsoft.pif maka kemungkinan besar komputer anda / jaringan ada yang terinfeksi
virus Agent.FUVR. Lihat artikel virus ini di situs vaksin.com.
Aksi virus ini pada beberapa OS adalah sebagai berikut :
 Windows XP tanpa antivirus / antivirus tidak terupdate.
Tidak ada gejala apa-apa dan dapat langsung terinfeksi, sekaligus PC yang terinfeksi akan
menjadi host virus di dalam jaringan yang kemudian akan memalsukan MAC Address Gateway.
 Windows XP dengan antivirus terupdate dan mampu mendeteksi virus ini.
“Setiap kali” menjalankan aplikasi yang mengakses fitur browser seperti menjalankan Internet
Explorer, Firefox, login Yahoo Messenger, login MSN Messenger akan mendapatkan pesan
bahwa ada virus terdeteksi di sistem Windows.
 Windows Vista

2. “Setiap kali” menjalankan aplikasi yang mengakses fitur browser seperti menjalankan Internet
Explorer, Firefox, login Yahoo Messenger, login MSN Messenger akan mendapatkan pesan
download error script dari site :
 http://root.51113.com/root.gif
 http://hk.www404.cn:53/ads.js
 http://err.www404.cn:443/014.html
Catatan : Website di atas hanya beberapa yang teridentifikasi oleh Vaksincom dan tidak
tertutup kemungkinan untuk berubah / bertambah.
Tampilan website terinfeksi virus sulit dibedakan
Anda tidak akan dapat membedakan tampilan website yang yang sudah di injeksi oleh script yang
mengirimkan virus ini karena pada banyak kasus tampilannya sama saja dengan website asli (lihat
gambar 1).
Gambar 1,Tampilan website search di Google dari Gateway yang sudah terinfeksi virus
Baru jika anda melakukan View Source dengan mengklik [View] [Page Source] atau Ctrl U dari Firefox
(dari IE anda dapat melakukan View Source dengan cara klik [View] [Source]). Baru akan terlihat bahwa
di awal website ternyata ada javascript yang mengarahkan download script dengan nama “ads.js” (lihat
gambar 2) yang akan langsung terinstal secara otomatis setiap kali anda mengaktifkan browser atau
menjalankan Yahoo Messenger (karena Yahoo Messenger mengaktifkan browser).

3. Gambar 2, Page Source Google Search yang sudah di injeksi javascript
Bandingkan dengan Page Source asli dari Google Search yang belum terinjeksi virus yang memalsukan
Gateway ini. (lihat gambar 3)
Gambar 3, Page Source asli Google Search yang sebenarnya.
Antivirus saja tidak cukup !!
Sebenarnya hampir semua antivirus sudah dapat mendeteksi virus ini. Ada yang mendeteksi sebagai
W32/Agent.FUVR (Norman), Trojan Downloader, Trojan-Downloader.JS.Agent.byh (Kaspersky),
HEUR/Exploit.HTML (Avira), Mal/ObfJS-X (Sophos), JS_PSYME.CPZ (Trend Micro). Jadi secara teori,
virus ini tidak dapat menginfeksi komputer yang terlindung antivirus yang terupdate. Tetapi masalahnya
adalah dalam kenyataannya di lapangan sangat sulit "menjamin" seluruh komputer di jaringan terlindung
dengan antivirus yang terupdate, apalagi jika ada komputer / notebook dari luar jaringan yang
dihubungkan ke jaringan intranet, cukup satu saja komputer yang terinfeksi maka dalam waktu singkat ia
akan memalsukan diri sebagai router / geteway dan menyebarkan dirinya ke seluruh komputer lain dalam
intranet yang mengakses internet.
Selain itu, virus ini memiliki kemampuan mengupdate dirinya sehingga deteksi antivirus akan menjadi
percuma jika pembuatnya meluncurkan varian baru dan dijamin langsung akan menaklukkan semua
antivirus sampai vendor antivirus mendapatkan samplenya dan mendeteksi virus tersebut dengan update
terbaru.
Masalah mendasar sebenarnya adalah patching. Selama celah kemanan tidak ditutup, maka sekalipun
ada antivirus yang melindungi komputer, virus ini tetap akan mampu wara-wiri di dalam jaringan sampai

4. celah keamanan di tutup. Yang menjadi pertanyaan adalah bagaimana menutup celah keamanan yang
disebabkan oleh hardware yang mengandung kelemahan ARP Spoofing ini ? Salah satu caranya adalah
mengganti switch dengan yang mendukung DHCP Snoop. Sebenarnya ada cara lain yang cukup hemat
biaya yaitu dengan menggunakan perintah “arp -s” dari DOS Prompt guna mengunci IP dan Mac Address
gateway di tiap PC, tetapi kalau PCnya ribuan dan tersebar di banyak lokasi rasanya solusi ini cukup
membawa sengsara bagi administrator. Belum lagi kalau terjadi perubahan IP / Mac Address gateway,
jadi perintah "arp -s" tersebut harus dilakukan di setiap PC lagi.
Bagaimana cara mengatasinya ?
Jika anda terinfeksi oleh virus ini dan pusing karena setiap kali dibersihkan kok virusnya kembali lagi.
Percayalah, bukan anda saja yang pusing dan para administrator lain juga pusing. Langkah pertama
yang harus anda lakukan setiap kali menghadapi masalah yang memusingkan adalah ... NGELAMUN
dulu. Mohon maaf, kami tidak bermaksud membuat anda di pecat, tetapi jika anda langsung sibuk
membersihkan virus di setiap komputer dan belum mendapatkan gambaran masalah sebenarnya
dimana, maka yang akan anda alami adalah virusnya kembali lagi dan memboroskan waktu anda.
Dengan melamun anda jadi dapat melakukan analisa dengan tenang dan kepala dingin mengumpulkan
data kira-kira apa sih yang terjadi. Jika anda pelanggan korporat Vaksincom, biarkan teknisi kami yang
melamun dan memecahkan masalah anda .... GRATIS.
Kami juga mengalami hal yang serupa dan setelah “melamun” dua hari baru berhasil mengidentifikasi
masalah dengan cukup jelas dimana virus ini mengeksploitasi ARP vulnerability dengan memalsukan
Mac Address Gateway / Router. Jadi langkah pertama adalah menemukan gateway palsu tersebut.
Bagaimana caranya ?
Anda dapat menggunakan tools gratisan Colasoft Mac
Scanner http://www.colasoft.com/mac_scanner/mac_scanner.php dan jalankan di komputer yang
terhubung ke jaringan intranet anda. Lalu lihat IP yang memiliki Mac Address yang sama dengan
Gateway / proxy (lihat gambar 4)
Gambar 4, Colasoft Mac Scanner mendeteksi IP komputer dan Mac Address
Dalam gambar 4 di atas, Gateway adalah IP 192.168.1.1 dengan MAC Address 00:01:6C:CD:D5:24.
Terlihat bahwa IP 192.168.1.106 memiliki MAC Address yang sama dengan Gateway. Jadi langkah
pertama yang harus anda lakukan adalah memutuskan hubungan 192.168.1.106 dari jaringan dan
membersihkan dari virus ini.
Langkah pamungkas
Sebagai langkah pamungkas, anda dapat mencegah komputer-komputer di jaringan untuk dibodohi oleh
ARP Spoofing ini. Gunakan perintah “arp -s [IP Gateway / Proxy] [MAC Address Gateway / Proxy]” untuk
menetapkan static IP dan MAC Address Gateway / Proxy di setiap komputer.
Jika anda memiliki banyak komputer dalam jaringan, kami sarankan untuk mempertimbangkan
menggunakan switch yang mensupport DHCP Snoop. Jangan langsung beli dulu, cek dulu apakah switch

5. yang anda miliki memiliki fitur ini. Kalau ada, langsung aktifkan dan set paremeter dengan baik guna
terhindar dari ARP Spoofing.
Jika anda tertarik untuk mengetahui lebih jauh tentang ARP Spoofing, ancaman-ancamannya dan
bagaimana cara menghadapinya. Nantikan seminar yang akan diadakan oleh PT. Vaksincom pada
tanggal 10 Juli 2008 hasil kerjasama antara Trisakti School of Management, Cisco Indonesia dan
Vaksincom. Seminar ini akan dibawakan oleh Adrian Anwar - Microsoft Indonesia, Alberto Rivai - Security
Engineer Cisco Indonesia, Alfons Tanujaya - Antivirus Specialist dan Dani Firmansyah - ARP Spoofing
Expert.
Salam,
Alfons Tanujaya
info@vaksin.com
PT. Vaksincom
Jl. Tanah Abang III / 19E
Jakarta 10160
Ph : 021 3456850
Fx : 021 3456851