Fakta
Berdasarkan informasi dari vaksin.com, virus ARP ini sudah masuk dalam jaringan intranet di Indonesia dan merupakan virus yang berasal dari Cina. Virus ini memiliki kemampuan memalsukan MAC Address router / proxy sehingga seluruh komputer intranet yang terhubung ke internet melalui proxy akan dikelabui untuk melewati komputer yang terinfeksi virus dan celakanya komputer yang terinfeksi virus ini akan meneruskan akses router ini (transparent proxy) sambil “menitipkan” satu link download yang berisi virus. Praktis pengakses internet dalam jaringan akan mendapatkan kiriman virus setiap kali membuka browser. Sehingga virus dikirimkan ke seluruh komputer dalam jaringan, melalui browser, baik IE, Firefox maupun Opera.
Kebanyakan korbannya tidak menyadari. Biasanya korban mulai menyadari kalau masalahnya sudah cukup besar seperti tahu-tahu jaringannya jadi lambat dan setiap kali menyalakan komputer dimana komputer akan otomatis mengaktifkan Yahoo Messenger, MSN Messenger atau aplikasi apapun yang mengaktifkan Javascript browser maka akan mendapatkan pesan error.
Selain itu virus ini juga telah menginfeksi jaringan UGM, contoh kasus yang kami hadapi di beberapa tempat migrasi seperti Rektorat UGM, Fakultas Ilmu Budaya, dan LPPT UGM. Saat melakukan scanning virus terdeteksi Trojan horse Downloader.Generic7.ORH (AVG Antivirus). Virus ARP ini membuat beberapa situs tidak dapat diakses, khususnya situs dibawah domain .ugm.ac.id
Indikasi
1. Jaringan intranet menjadi lambat
2. Yahoo Messenger anda mendapatkan pesan “An error has occured in the script on this page”
3. Beberapa situs tidak dapat di akses, hanya muncul header saja (dalam kasus di UGM, situs-situs di bawah domain ugm tidak dapat diakses, dan juga friendster.com)
4. Jika anda melihat “view source” maka akan manampilkan salah satu dari domain-domain berikut : mx.content-type.cn, ad.5iyy.info, dsb.
5. Pada server, akan terjadi perubahan MAC Address.
Detail teknis penyebaran Virus ARP
Sumber : http://securitylabs.websense.com/content/Blogs/2885.aspx
Virus arp spoofing menjangkiti komputer dengan sistem operasi Windows. Komputer yang memiliki virus arp akan menjadi komputer penyerang. Selanjutnya PC yang menjadi penyerang akan melakukan broadcast arp secara massif keseluruh PC yang berada dalam satu jaringan.
Gambar dibawah adalah alamat gateway yang benar
Ketika pc yang terinfeksi virus melakukan poisoning arp ke seluruh pc dalam satu jaringan, terlihat alamat MAC gateway pada pc korban berubah.
Gambar dibawah menunjukkan tabel arp pada pc korban. Terlihat alamat mac gateway menjadi sama dengan alamat mac pc penyerang
Ketika jaringan sudah terinfeksi dengan alamat Mac gateway baru, semua traffik http akan melalui gateway palsu tersebut, tentu saja gateway baru itu akan menyisipkan script jahat untuk mereka (sniffing) semua informasi yang lewat.
Berikut keterangan langkah2 yang terjadi seperti pada gambar diatas:
Langkah pertama, PC yang terkena virus akan melakukan broadcast paket arp spoofing “saya adalah gateway”
Langkah kedua, setiap PC yang berada dalam satu subnet akan menerima paket arp spoofing dan melakukan update table arp pada PC masing-masing. Sampai tahap ini, arp cache pada PC korban berhasil.
Langkah ketiga, PC yang menjadi korban akan mengakses internet (http port 80) melalui mesin gateway baru, kemudian mesin yang terjangkit virus tersebut akan meneruskan paket http ke gateway sebenarnya (mesin yang terjangkit virus menggunakan Net Driver, untuk menangkap traffic jaringan)
Langkah keempat, gateway palsu menyisipkan kode jahat untuk respon http yang berasal dari gateway asli. Kemudian mengirimkannya ke PC korban
Pada gambar dibawah terlihat virus yang menyisipkan link kode jahat
Dengan data yang telah didapat oelh virus, kemudian virus dapat melakukan scanning jaringan lokal dan mengirimkan paket arp spoofing ke seluruh mesin pada jaringan lokal tersebut.
Berikut adalah fungsi yang dijalankan oleh virus pada mesin yang terinfeksi
Pada kode diatas, virus memanggil file dll iphlpapi.dll untuk mengambil informasi jaringan lokal. Ketika virus berhasil mendapatkan informasi tersebut, kemudian ia akan membuat paket arp spoofing. Berikut detail kode yang dilakukan:
Selanjutnya virus menggunakan WinCap untuk menangkap semua http request dan menyisipkan kode jahat (sniffer) pada http response.
Berikut contoh kode jahat yang sampai ke PC korban
Bahaya
Untuk PC yang menggunakan Windows, sekilas tidak tampak diserang. Gejala yang timbul biasa internet http terasa sangat lambat dan muncul alamat domain tertentu pada browser. Namun internet tetap jalan meskipun terkesan lambat.
Tentu saja, semua informasi yang kita tuliskan, termasuk password, username, dan aktivitas penting lainnya akan direkam dan dikirim oleh virus kedalam database hacker yang sewaktu-waktu dapat dimanfaatkan untuk kepentingan yang tidak bertanggung jawab.
Linux aman, tapi…
Untuk PC yang menggunakan Linux, tabel ARP pada sistem juga akan berubah. Untungnya Linux tidak dapat mengeksekusi kode jahat tersebut, sehingga secara data. PC Linux aman dari aktivitas data mining karena virus tidak dapat mempengaruhi Linux.
Namun secara jaringan, PC yang menggunakan Linux jaringan http seolah2 tidak terkoneksi atau request http tidak dapat di respon oleh gateway, karena teracuni oleh alamat gateway palu. Sedangkan koneksi lainnya seperti https, ssh dan ftp atau ftps masih dapat dilakukan dan aman dari aktivitas virus.
Penanggulangan
Solusi sementara yang bisa dilakukan agar pc tidak terserang paket arp adalah dengan membuat arp statis untuk mac gateway pada tabel arp.
Namun kenyataan dilapangan arp statis belum mampu 100% menyelesaikan masalah dilapangan, karena serangan broadcast arp yang begitu banyak menyebabkan tabel arp menjadi flip-flop.
Cara paling efektif ya memutus jaringan pc yang terinfeksi virus arp. Dan membersihkannya sampai tuntas. Dalam kasus di ugm artinya semua komputer Windows :))
Berdasarkan informasi vaksin.com juga, ada beberapa hal yang perlu dilakukan untuk mengatasi masalah virus ARP ini :
1. Update Windows XP ke SP3
2. Menggunakan Manageable Switch
3. Melakukan pembersihan secara manual pada seluruh komputer Windows yang terkoneksi jaringan.
Referensi :
http://vaksin.com/2008/0608/microsoft2/arp-spoofing.html
http://vaksin.com/2008/0708/laporan-seminar/Laporan-seminar-ARP-Spoofing.html
http://securitylabs.websense.com/content/Blogs/2885.aspx
keluhan:
mengapa??
Ya, sebelumnya juga sempat mendengar tentang arp spoofing ini. Setidaknya sih dengan beralih ke linux tidak akan ada eksekusi kode berbahaya seperti yang terjadi kalo user memakai JENDELAS. Jadi kenapa kita tidak (pelan-pelan) beralih ke open source saja? Tanya ke napa…. 🙂
Untung cuma Rektorat UGM, Fakultas Ilmu Budaya, dan LPPT UGM saja 🙂
habis buat arp static trus gimana lagi solusinya?
Ngobrol2 Proxynya dibuat manual saja, nggak usah transparent.
biar aman.
Sial … ternyata selama ini kena virus tho.
pas tanya ini kok sering banget muncul “error script …” katanya oh itu ip addressnya dipake orang. … wah …
ternyata … virus kurang ajar …
trus gimana nih …
hmmm….
nyerang mac os nda?
Dibersihin aja windowsnya, selesai! 🙂 maksudnya bersih nggak ada windowsnya, kan sekalian akan bersih dari virus, spyware, trojan, worm dan malware yang laen-laen laen yang buanyak, yang seabrek, yang nggak selesai-selesai.
wahhhh gua banget itu mahhhhh …. net gua persis kaya gtu ….. solusina kami membuat arp statis untuk mac gateway pada tabel arp.
mang bener” jadi lemod nih net
Helpppp lahhhh …. koneksi berasa kaya Siput kaya gini … 🙁
Yang sangat dikhawatirkan, klu password dan username operator SIA terinveksi. Gmn nih ? Soalnya Biologi juga sering muncul pesan2 error. Kami hanya membuat arp statis dan selalu update anti virus bahkan hampir setiap hari, lalu discann hampir 3 kali sehari. Selama kurang lebih 2 minggu, tidak muncul error lagi. Saya berusaha untuk tidak membuka/mengakses internet, terutama web maupun situs dari luar untuk menghindari terjadinya inveksi virus. Tolong gmn caranya melindungi password dan username operator ? maturnuwun
Tq, articel yg sudah membantu untuk penyembuhan ARP spoofing di jaringan Intranet.
Biarpun saya telah membacanya, tetapi saya sudah melakukan apa yang di sarankan dalam articel ini.
Salam,
Jenkilat
halo semua nya saya mau tanya ni warnet saya di serang virus arp na
uda sebulan ini virus nya gak mau bersih2 solusi nya gmn ya ada yang bisa
ngasi tau ga plz ya om2 semau nya
eh salah semua nya
plz ya butuh banget info nyani
Saya pake fedora di kantor dan gak bisa tuk browsing padahal ssh dan ftp bisa ternyata jaringan kena virus ini ya… Dah tak kasih statis ARP pun juga tetap gak bisa.
Anehnya yang pake ubuntu kok masih bisa ya mas? Jadi bingung nih kalo harus ganti distro 🙁
klo pake deepfreeze aman ga ya??
dah 2x neh kena,,minta solusinya donk!!
ARP statis itu maksud nya gimana, mas?
wah ini lebih parah lagi mas2 uda ilang tuh arp part 1 nya
eh malah timbul lagi arp part 2
yang ini lebih parah lagi bisa bikim komputer hang saya trinveksi arp part 2
jadi bingung gmn cara nya biar benar2 bersih ilang yang 1 timbul yang dua
mas2 kalo ada yang tau solusi nya tolongin ya
uda cukup puisng ni di bikin virus arp
sumber arp part2 nya di sini mas
http://www.vaksin.com
gimana nih?
tempat saya juga kena..
bisa tolong dibantu?
instal anti arp, di GOOGLE instal, beres dol………..
Salah satu cara untuk mengetahui adanya ARP spoofing yang pernah saya lakukan adalah dengan cara ketik netstat dulu di salah satu komputer yang terhubung jaringa, dan apabila ada ip lokal yang melakukan aktivitas di komputer yang kita ketikkan tersebut, coba chek IP nya dan langsung cari aja komputer yang mana. Jika kita sudah mengetahui komputer yang mana yang mencoba terus mengirimpak paket data tersebut, coba kita lihat bagian file host nya.
Apabila file host tersebut tidak tertulis 127.0.0.1 localhost atau ada tambahannya misalkan 127.0.0.1 remove.it maka itulah target server yang selalu mengirimkan paket data arp spoofing tersebut. Kalau kita pengen mengetahui komputer mana yang diserang server ini, coba ketik netstat pada cmd prompt maka kita akan mendapatkan ip lokal jaringan yang berusaha dia serang, dan ini akan berjalan secara acak. Chek terus kekomputer yang diserang.
Cara pembersihan adalah :
Putuskan ke jaringan, matikan autoplay, matikan sytem restore
pastikan memang komputer tersebut hostnya telah tercemar, jangan salah coba membersihkan komputer yang tidak tercemar lho 🙂 , lihatnya kalau masih bingung bisa dengan menggunakan aplikasi hijack this yang freeware tentunya (jangan yang bajakan 🙂 )
scan dengan antivirus update terbaru sampai tuntas (yang sabar ya) 🙂
coba remove bagian yang tidak menunjukkan 127.0.0.1 localhost
kalau sudah bersih virusnya, usahakan komputer terproteksi hostnya dengan cara install scotty WinPatrol (freeware) untuk melindungi hostnya dan jika ada perubahan host maka kita akan mengetahuinya, karena anjing scotty ini akan “njegok” kalau ada penyusup.
statikkan arp lokal komputer tersebut dengan cara ketik dahulu arp -a di cmd prompt kalau belum ada dan masih dinamic coba ketik dahulu arp -d untuk mendelete nya.
Kemudian ketik ipconfig /all untuk mengetahui ip dan mac kita.
Ketik arp -s IP MAC untuk membuat mac kita statis
coba chek dengan cara ketik arp -a dan trala…. mac kita dah ada tulisanny statis khan????
selamat denh kalau dah berhasil, maka satu langkah sudah kita lakukan, karena masih banyak langkah yang harus kita lakukan agar system kita tidak keserang virus lagi, salah satunya yang paling dominan adalah dari sisi manusianya, karena system tidak akan jalan otomatis tanpa ada sisi manusianya. Coba pikirkan untuk membuat policy dari diri Anda dan orang lain. Karena ingat “Kenyamanan berbanding terbalik dengan keamanan” mana yang akan kamu pilih????? Semua tergantung kebiasaan Anda saat ini…..
Trims
Mohon beri masukan lain jika saya salah mengungkapkannya, karena nulis, ngomong dengan bertindak langsung bagi saya paling mudah adalah bertindak langsung 😀
Mo tanya ni mas, soale blom lama jd op wnet tp dah ktiban ngurusin si virus arp ini (klo ga slh namanya virus tongji ya ?). Pdhal ilmu jaringan saya jg msh cetek ^_^
Kan di wnet saya akses ke internetnya melalui router, jd server hanya untuk koneksi billingnya aja.
Nah, sbnernya di pc client tuh di-set “arp -s” nya dg ip & mac si client atau punya si router ?
Waktu di pc client saya set “arp -s” dg punyanya router, trus saya cek dg printah “arp -a” memang hslnya menunjukkan ip & mac router dg type/status “static”.
Tapi kmudian wkt saya koneksikan lg dg jaringan dan saya cek dg
“arp -a” kok yg muncul adalah 2 ip & mac (router dan server) dg type/statusnya “dynamic” ?
Apakah memang begitu seharusnya hasilnya ?
Tlg dibantu ya Mas, biar ga bingung … Maklum, msh o2n nih dlm hal ginian .. 😀
Oia, klo ga kberatan, tlg penjelasannya diksh tau ke imel saya ya
Trima kasih
Linux masih aman
Bener banget…. makasih ya mas atas informasinya
Kha….kha…. Setelah aku lakukan percobaan ternyata memakai user account yang limited account lebih sedikit virus arp-nya daripada pakai administrator…… Selamat mencoba chuy!!!
cmd > arp -a untuk melihat dan arp -a -d untuk men-delete arp-arp virus.
makasih banyak atas informasinya, sekalian minta ijin untuk di publish di blog saya.
Salam.
untung pakai linux
cuman sekedar info pengalamn : ternyata Virus ini bisa menembus freeze..
soalny pernah kejadian di warnet saya semua keneksi RTO, selidik selidik satu persatu Curiga HUB dan MODEM terkena HAlilintar, tp setelah diganti semua ( HUB & MODEM) masih terjadi RTO dan sempat Caci Maki Ke profider, namun selidik demi selidik ternyata ada salah satu komputer yg terkena Virus ARP ini, semula tidak Curiga karna semua PC cient aman Mengunakan Freeze ( padahal semua drive D di Format Windows)tapi tetep aja..!
Cara Mengetahui CLient yg terinfeksi VIrus ARP ini saya :
Ping Ke Provider ( CMD prompt )
lalu satu persatu Client saya Pasang Ke HUB ( kabel UTP )
jika masih REPLY berarti komputer tersebut Aman
namun Jika Pada saat Memasang kabel UTP tsb ke HUB TIba tiba RTO,
maka sudah PAsti Komputer Tersebut Terkena Virus ARP
*untuk Memastikan pada saat RTO cabut kabel UTP, jika pada saat kabel UTP di cabut REPLY berarti komputer tersebut yg TErkena VIRUS ARP. dan segera Babad Habis Komputer tersebut.
semoga BerManfaat dan jika ada kekurangan MOHON TAMBAHAN INFO dari SENIOR2 semuanya.. D2net Cafe – Cimahi Bandung
kalo anti arp fungsinya apa?
untuk pengguna linux khususnya ubuntu gunakan: buka terminal kemudian ketikan: arping -I wlan0 192.168.1.1 (jika server alamtanya itu “untuk wireless”) atau arping -I eth0 192.168.1.1 (LAN)
mudah2an anti ARPposioning yg ku beri itu, bermanfaat bagi kita semua AMIN
apa bisa menyerang linux jg?
thx infonya, mt ijin bwt dijadikan literatur ya!
mas saya membangun warnet , terus sudah satu minggu koneksi jaringannya lup lep
kenapa ya ?
terus ip servernya juga gak ke detek,sama ip scan sama arp -a….tapi yang lainnya jalan (client)
di game center saya koneksi tidak lambat tapi koneksi antar pc susah..klopun bisa ada nama2 pc yg bukan bagian dari jaringan kami..ada solusi kah?
Wah jadi kena virus ya kl ada tampilan script error, ini sering kejadian ternyata virus udah mulai mengrogoti.