ARP Spoofing: Keganasan W32/Agent.FUVR
Tutup celah keamanan di jaringan komputer yang Anda kelola dan waspadai keganasan virus W32/Agent.FUVR yang memanfaatkan teknik ARP Spoofing.

Sebelum Windows XP SP2 diluncurkan, cara favorit virus menyebarkan dirinya adalah dengan mengeksploitasi celah keamanan sistem operasi, seperti Windows 98, 2000 / NT Workstation, Windows Server NT/2000, dan Windows XP. Hal ini terlihat ketika CodeRed dan Slapper sukses masuk ke IIS Server berbasis Microsoft serta Apache di Linux.

Pengembang sistem operasi dan aplikasi­ tidak tinggal diam. Mereka menganalisis penyebab celah keamanan tersebut dapat dieksploitasi oleh virus. Sebagai informasi, celah keamanan adalah kelemahan dalam sistem sehingga dapat dimanfaatkan oleh pihak yang tidak bertanggung jawab. Celah keamanan akan selalu ada dan ditemukan setiap harinya. Celakanya, virus yang meng­eksploitasi celah keamanan akan menguasai komputer yang diserangnya sekalipun perangkat tersebut terlindungi dengan antivirus yang di-update. Solusinya, Anda harus rajin melakukan patching untuk menutup celah keamanan tersebut.

Mengapa celah keamanan itu selalu ada? Apakah sengaja diciptakan oleh pembuat aplikasi agar bisnis mereka tetap berjalan? Penjelasannya, software adalah ciptaan­ manusia. Apapun yang dihasilkan oleh manusia, tentu tidak sempurna. Pengembangan software terkini dapat menghasilkan ukuran file yang cukup besar.­ Sangat sulit rasanya menciptakan sebuah aplikasi yang sempurna dan terbebas dari celah keamanan.

Oleh karena itu, pertanyaan yang tepat diajukan berkaitan dengan keamanan data adalah, apakah hacker ingin mengeksploitasi sistem operasi tersebut atau tidak? Dan, apakah sistem operasi tersebut cukup menantang untuk diserang? Banyak fakta yang mendukung kenyataan di atas, seperti keberhasilan sis­tem­ operasi Macintosh yang dieksploitasi dalam kompetisi hacking.

Jawabannya: Automatic Patching
Keberhasilan CodeRed dan Slapper menyerang sebuah sistem disebabkan server yang berhasil ditaklukkan belum melakukan patching secara berkala. Hal ini karena tenggang­ waktu antara ditemukannya celah keamanan dan keluarnya patch sangat panjang, mencapai waktu lebih dari 30 hari. Akibatnya, virus yang mengeksploitasi celah keamanan memiliki tenggang waktu sekitar 30 hari untuk merusak sistem tanpa ada yang mencegahnya. Untuk diketahui bersama, waktu yang dibutuhkan oleh virus mencapai penyebaran secara maksimal ke seluruh dunia adalah kurang dari satu minggu.

Pengembang aplikasi dan sistem operasi belajar dari kejadian tersebut. Tenggang waktu untuk mengeluarkan sebuah patch semakin dipersempit dan puncaknya ketika Service Pack 2 Windows XP diluncurkan. Sejak itu, virus yang mengeksploitasi celah keamanan menurun drastis dan penyebarannya cukup terhambat. Hal ini semakin baik ketika Windows Vista di luncurkan. Berbeda dengan Windows sebelumnya, konfigurasi awal Vista adalah “Automatic Update”. Jadi, setiap kali Windows Vista di instalasikan ke PC, secara otomatis, PC tersebut sudah dapat melakukan automatic update untuk patching dirinya sehingga memungkinkan terjadi­nya Zero Day Vulnerability.

Perkembangan selanjutnya menunjukkan masalah ancaman virus masih jauh dari selesai dan pembuat malware berusaha mencari teknik terbaru untuk mencapai tujuannya, yaitu mengusai komputer atau sistem yang ada. Kini yang menjadi target utama eksploitasi adalah non-sistem operasi yang popu­ler, seperti Adobe, Firefox, IE, Winamp, dan sebagainya. Prinsipnya, pembuat malware ingin­ mendapatkan dampak maksimal. Celakanya, yang memiliki celah keamanan bukan hanya aplikasi saja, tetapi juga hardware dan sistem IP Address.

Hal ini terlihat dari perkembangan virus terbaru yang memanfaatkan celah keamanan ARP (Address Resolution Protocol) atau dikenal APR (ARP Poison Routing). Virus ini sukses menyebar di seluruh dunia dan celakanya, tidak ada cara yang efektif untuk menjamin jaringan komputer tidak dieksploitasi oleh virus ini kecuali memaksimalkan hardware jaringan yang terpasang dengan menerapkan feature “DHCP Snooping”.

Indikasi
Jika koneksi Internet di kantor mengalami kelambatan atau ketika Anda menjalankan Yahoo Messenger lalu mendapatkan pesan “An error has occured in the script on this page”, kemungkinan besar jaringan yang Anda gunakan telah terinfeksi virus W32/Agent.FUVR.

Aksi virus W32/Agent.FUVR adalah sebagai berikut :

* Windows XP tanpa antivirus / antivirus tidak terupdate. Tidak ada gejala apa-apa dan dapat langsung terinfeksi, sekaligus menjadi host virus di jaringan.

* Windows XP dengan antivirus di-update dan mampu mendeteksi virus ini.Ketika menjalankan sejumlah aplikasi, seperti IE, Firefox, Safari, Yahoo Messenger, dan MSN Messenger akan mendapatkan pesan ada virus terdeteksi di Windows.

* Windows Vista. Ketika menjalankan aplikasi IE, Firefox, Yahoo Messenger, MSN Messenger akan mendapatkan pesan untuk men-download error script dari website http://root.51113.com/root.gif, http://hk.www404.cn:53/ads.js, dan http://err.www404.cn:443/014.html.

Antivirus saja tidak cukup
Hampir semua program antivirus dapat mendeteksi virus tersebut. Norman Virus Control mendeteksinya sebagai W32/Agent.FUVR. Sebagai Trojan-Downloader.JS.Agent.byh terdeteksi oleh Kaspersky. HEUR/Exploit.HTML oleh Avira, Mal/ObfJS-X oleh Sophos, dan JS_PSYME.CPZ oleh antivirus Trend Micro. Dapat Anda perhatikan, virus ini tidak dapat menginfeksi komputer yang terlindungi apliaksi antivirus yang telah di-update.

Namun, sangat sulit rasanya melindungi seluruh komputer di jaringan walau pun telah terpasang antivirus yang telah update. Masalah lainnya, jika ada komputer atau notebook yang dihubungkan ke jaringan intranet dan perangkat tersebut telah terinfeksi virus ini, dalam waktu singkat, perangkat tersebut dapat memalsukan dirinya sebagai router atau geteway lalu menyebarkan dirinya ke seluruh komputer lain dalam jaringan.

Selain itu, virus W32/Agent.FUVR memiliki kemampuan mengupdate dirinya secara otomatis. Hal ini sangat berbahaya, karena dapat menaklukkan semua program antivirus yang ada.

Lalu, bagaimana menutup celah keamanan yang disebabkan jaringan komputer mengandung kelemahan ARP Spoofing? Solusinya segeralah beralih menggunakan perangkat yang mendukung DHCP Snooping. Solusi lainnya yang cukup menghemat biaya yaitu dengan menggunakan perintah “arp-s” dari DOS Prompt guna mengunci IP dan Mac Address gateway di tiap PC. Namun solusi ini akan menjadi kendala jika PC yang akan dikonfigurasi jumlahnya ribuan dan tersebar di banyak lokasi.

Mengatasi sistem terinfeksi
Jika sistem jaringan yang Anda gunakan terinfeksi virus ini, Anda dapat melakukan beberapa tindakan. Tindakan pertama yaitu mencari komputer yang terinfeksi dengan bantuan tools gratis Mac Scanner (www.colasoft.com/mac_scanner/mac_scanner.php). Anda dapat menjalankan tool ini di komputer yang terhubung ke jaringan intranet. Lalu lihat IP yang memiliki Mac Address yang sama dengan Gateway atau Proxy (gambar 1).

Dalam gambar 1, terlihat Gateway IP 192.168.1.1 memiliki MAC Address yang sama dengan IP 192.168.1.106, yaitu 00:01:6C:CD:D5:24. Langkah selanjutnya memutuskan hubungan IP 192.168.1.106 dari jaringan dan membersihkan virus yang ada di dalam perangkat tersebut.

Sebagai langkah pamungkas, Anda dapat­ menggunakan perintah “arp -s [IP Gateway / Proxy] [MAC Address Gateway / Proxy]” untuk menetapkan static IP dan MAC Address di setiap komputer. Jika Anda memiliki banyak komputer yang terhubung ke jaringan, disarankan memanfaatkan perangkat jaringan, seperti switch yang telah mendukung feature DHCP Snooping. Oleh karena itu, cek apakah switch yang digunakan telah memiliki feature ini. Jika mendukung, langsung atur paremeternya guna menghindari keganasan virus W32/Agent.FUVR.