Template by:
Free Blog Templates

Senin, 03 November 2008

Virus ARP

Berbahayakah Virus ARP !!!

Berdasarkan informasi dari vaksin.com, virus ARP ini sudah masuk dalam jaringan intranet di Indonesia dan merupakan virus yang berasal dari Cina. Virus ini memiliki kemampuan memalsukan MAC Address router / proxy sehingga seluruh komputer intranet yang terhubung ke internet melalui proxy akan dikelabui untuk melewati komputer yang terinfeksi virus dan celakanya komputer yang terinfeksi virus ini akan meneruskan akses router ini (transparent proxy) sambil “menitipkan” satu link download yang berisi virus. Praktis pengakses internet dalam jaringan akan mendapatkan kiriman virus setiap kali membuka browser. Sehingga virus dikirimkan ke seluruh komputer dalam jaringan, melalui browser, baik IE, Firefox maupun Opera.


Kebanyakan korbannya tidak menyadari. Biasanya korban mulai menyadari kalau masalahnya sudah cukup besar seperti tahu-tahu jaringannya jadi lambat dan setiap kali menyalakan komputer dimana komputer akan otomatis mengaktifkan Yahoo Messenger, MSN Messenger atau aplikasi apapun yang mengaktifkan Javascript browser maka akan mendapatkan pesan error.

Selain itu virus ini juga telah menginfeksi jaringan UGM, contoh kasus yang kami hadapi di beberapa tempat migrasi seperti Rektorat UGM, Fakultas Ilmu Budaya, dan LPPT UGM. Saat melakukan scanning virus terdeteksi Trojan horse Downloader.Generic7.ORH (AVG Antivirus). Virus ARP ini membuat beberapa situs tidak dapat diakses, khususnya situs dibawah domain .ugm.ac.id

Indikasi

1. Jaringan intranet menjadi lambat
2. Yahoo Messenger anda mendapatkan pesan “An error has occured in the script on this page”


ym-error
3. Beberapa situs tidak dapat di akses, hanya muncul header saja seperti pada friendster.com)

4. Jika anda melihat “view source” maka akan manampilkan salah satu dari domain-domain berikut : mx.content-type.cn, ad.5iyy.info, dsb.

5. Pada server, akan terjadi perubahan MAC Address.


view-source-virus-arp
















mac-spoof













Detail teknis penyebaran Virus ARP

Sumber : http://securitylabs.websense.com/content/Blogs/2885.aspx

Virus arp spoofing menjangkiti komputer dengan sistem operasi Windows. Komputer yang memiliki virus arp akan menjadi komputer penyerang. Selanjutnya PC yang menjadi penyerang akan melakukan broadcast arp secara massif keseluruh PC yang berada dalam satu jaringan.

Gambar dibawah adalah alamat gateway yang benar


Ketika pc yang terinfeksi virus melakukan poisoning arp ke seluruh pc dalam satu jaringan, terlihat alamat MAC gateway pada pc korban berubah.







Gambar disamping menunjukkan tabel arp pada pc korban. Terlihat alamat mac gateway menjadi sama dengan alamat mac pc penyerang.












Ketika jaringan sudah terinfeksi dengan alamat Mac gateway baru, semua traffik http akan melalui gateway palsu tersebut, tentu saja gateway baru itu akan menyisipkan script jahat untuk mereka (sniffing) semua informasi yang lewat.







Berikut keterangan langkah2 yang terjadi seperti pada gambar diatas:


Langkah pertama, PC yang terkena virus akan melakukan broadcast paket arp spoofing “saya adalah gateway”

Langkah kedua, setiap PC yang berada dalam satu subnet akan menerima paket arp spoofing dan melakukan update table arp pada PC masing-masing. Sampai tahap ini, arp cache pada PC korban berhasil.

Langkah ketiga, PC yang menjadi korban akan mengakses internet (http port 80) melalui mesin gateway baru, kemudian mesin yang terjangkit virus tersebut akan meneruskan paket http ke gateway sebenarnya (mesin yang terjangkit virus menggunakan Net Driver, untuk menangkap traffic jaringan)

Langkah keempat, gateway palsu menyisipkan kode jahat untuk respon http yang berasal dari gateway asli. Kemudian mengirimkannya ke PC korban

Pada gambar dibawah terlihat virus yang menyisipkan link kode jahat

Dengan data yang telah didapat oelh virus, kemudian virus dapat melakukan scanning jaringan lokal dan mengirimkan paket arp spoofing ke seluruh mesin pada jaringan lokal tersebut.

Berikut adalah fungsi yang dijalankan oleh virus pada mesin yang terinfeksi

Pada kode disamping, virus memanggil file dll iphlpapi.dll untuk mengambil informasi jaringan lokal. Ketika virus berhasil mendapatkan informasi tersebut, kemudian ia akan membuat paket arp spoofing. Berikut detail kode yang dilakukan:




Selanjutnya virus menggunakan WinCap untuk menangkap semua http request dan menyisipkan kode jahat (sniffer) pada http response.


Berikut contoh kode jahat yang sampai ke PC korban
view-source-virus-arp
Bahaya
Untuk PC yang menggunakan Windows, sekilas tidak tampak diserang. Gejala yang timbul biasa internet http terasa sangat lambat dan muncul alamat domain tertentu pada browser. Namun internet tetap jalan meskipun terkesan lambat.

Tentu saja, semua informasi yang kita tuliskan, termasuk password, username, dan aktivitas penting lainnya akan direkam dan dikirim oleh virus kedalam database hacker yang sewaktu-waktu dapat dimanfaatkan untuk kepentingan yang tidak bertanggung jawab.


Linux aman, tapi…
Untuk PC yang menggunakan Linux, tabel ARP pada sistem juga akan berubah. Untungnya Linux tidak dapat mengeksekusi kode jahat tersebut, sehingga secara data. PC Linux aman dari aktivitas data mining karena virus tidak dapat mempengaruhi Linux.
Namun secara jaringan, PC yang menggunakan Linux jaringan http seolah2 tidak terkoneksi atau request http tidak dapat di respon oleh gateway, karena teracuni oleh alamat gateway palu. Sedangkan koneksi lainnya seperti https, ssh dan ftp atau ftps masih dapat dilakukan dan aman dari aktivitas virus.

Penanggulangan
Solusi sementara yang bisa dilakukan agar pc tidak terserang paket arp adalah dengan membuat arp statis untuk mac gateway pada tabel arp.
Namun kenyataan dilapangan arp statis belum mampu 100% menyelesaikan masalah dilapangan, karena serangan broadcast arp yang begitu banyak menyebabkan tabel arp menjadi flip-flop.

Cara paling efektif ya memutus jaringan pc yang terinfeksi virus arp. Dan membersihkannya sampai tuntas. Dalam kasus di ugm artinya semua komputer Windows :))

Berdasarkan informasi vaksin.com juga, ada beberapa hal yang perlu dilakukan untuk mengatasi masalah virus ARP ini :
1. Update Windows XP ke SP3
2. Menggunakan Manageable Switch
3. Melakukan pembersihan secara manual pada seluruh komputer Windows yang terkoneksi jaringan.

Referensi :
http://vaksin.com/2008/0608/microsoft2/arp-spoofing.html
http://vaksin.com/2008/0708/laporan-seminar/Laporan-seminar-ARP-Spoofing.html
http://securitylabs.websense.com/content/Blogs/2885.aspx