Pada suatu hari yang cerah, ketika anda ingin menjalankan ritual pagi di kantor dengan membuka d*tik.com melalui PC kantor atau mengecek email dari gebetan di warnet atau ngapain aja di komputer yang terhubung ke internet melalui sebuah LAN dan anda merasa koneksinya tidak secepat biasanya, bahkan sangat sangat lambat. Anda sudah komplain ke ISP dan tidak ada masalah pada koneksi internet nya.. Bisa jadi komputer anda lah biang masalahnya, komputer anda mungkin sudah terserang sebuah virus baru yang sedang menjadi trend saat ini, mungkin komputer anda malu dengan teman-temannya karena dia akan dianggap kurang mengikuti trend jika tidak ikut memiliki virus tersebut.
Virus ini patut disebut sebagai virus yang kreatif dan inovatif karena dia menawarkan cara penginfeksian yang tergolong masih baru, virus ini menyerang melalui jaringan internet dengan memanfaatkan kelemahan sebuah jaringan..
Begini ceritanya.. Virus ini memiliki kemampuan untuk memalsukan alamat router/proxy/gateway yang ada di dalam jaringan anda sehingga setiap komputer yang terhubung ke internet melalui sebuah gateway (kita singkat sebagai kytkimsg) dalam sebuah jaringan yang telah terinfeksi virus ini (disingkat sebagai sjyttvi) akan mengira bahwa komputer yang mengandung virus (disingkat jadi kymv) adalah gateway yang benar (gyb), sehingga setiap kali komputer tersebut mengakses sesuatu di dalam internet, jalur yang seharusnya melalui gateway yang asli, akan membelok terlebih dahulu ke kymv kemudian baru diteruskan ke gateway yang asli untuk dilanjutkan ke internet. Data yang didapat oleh router asli, akan diserahkan ke peminta, dalam hal ini kymv, kemudian oleh kymv dilanjutkan ke kytkimsg. Tapi tentu hal ini tidak gratis, kymv mau repot-repot menyerahkan data tersebut ke kytkimsg karena dia memiliki agenda tersembunyi, jeng jeng jeeennggg.. Dalam data yang akan diterima oleh kytkimsg, disisipi sebuah bonus, yaitu sebuah link java script yang tugasnya men download kode virus dari internet untuk meracuni kytkimsg.. Malang sekali nasib mu nak..
Cara untuk mengetahui apakah komputer anda terkena virus ini atau tidak, dapat dilakukan dengan menggunakan perintah arp pada DOS prompt, perhatikan contoh berikut:
C:\>arp -a
Interface: 192.168.1.130 — 0x2
Internet Address Physical Address Type
192.168.1.1 00-08-5c-78-72-39 dynamic
Jika yang keluar hanya satu baris seperti hasil capture dari komputer keren diatas, artinya anda aman, tetapi jika hasilnya lebih dari satu baris, misalnya:
C:\>arp -a
Interface: 192.168.1.130 — 0x2
Internet Address Physical Address Type
192.168.1.1 00-08-5c-78-72-39 dynamic
192.168.1.100 00-08-5c-78-72-39 dynamic
Artinya, anda tamat, selesai, the end.. Komputer anda sudah terserang virus mematikan ini.. sudah tidak sehat lagi dan hal ini sudah tidak dapat dibiarkan, ya.. komputer anda sudah tidak sehat lagi.. harus segera dijual murah ke saya.. ya ya.. silahkan hubungi via japri..
Satu lagi sebuah ciri-ciri penting, jika keluarnya begini:
C:\>arp -a
Samuel ganteng sekali
Itu tandanya komputer anda terlalu jujur….
Anyway, karena yang diserang pada level routing, maka browser apapun yang digunakan tidak akan kebal, karena pada dasar nya semua browser ngga kenal sekolah, jadi dia tidak sepandai itu untuk dapat mendeteksi kode-kode virus, yang ada dia main percaya dan main buka aja halaman web yang diterimanya.. Hal ini juga membuktikan bahwa tidak ada platform yang aman, karena komputer linux, mac, juga dapat terkena virus ini, untungnya, virus ini hanya dapat berjalan di Windows, jadi sekalipun terinfeksi, tapi virus tersebut tidak dapat berjalan alias hanya bengong saja Analoginya seperti anda yang biasa menggunakan windows tiba-tiba disuruh menggunakan Linux, tanpa tahu menahu tentang perintah-perintahnya, nah kira2 seperti itu bengong nya, karena virusnya ngga ngerti perintah-perintah lain kecuali perintah di Windows (bedanya kalo virus ngga pake ngeces segala).
Virus ini menyerang dengan menggunakan web sebagai medianya. Tampilan halaman web yang telah terkena virus akan asik aja, nampak sama persis dengan aslinya, tidak ada perubahan apapun dalam penampilannya, hanya saja klao kita melakukan view source, akan nampak bahwa di kode HTML nya akan ada tambahan satu link untuk mendownload virus tersebut.
Sebenarnya dengan selalu mengupdate data anti virus yang anda gunakan, apapun anti virus nya (minumnya teh b*t*l s*sr*), virus ini dapat terdeteksi dan dihilangkan, tetapi masalahnya, sering dalam sebuah jaringan ada satu komputer yang jadi biang kerok, dimana majikannya jarang melakukan update, nah komputer-komputer yang seperti ini yang menjadi sasaran empuk bagi si virus.. Itu sebabnya mengapa virus tersebut akan balik lagi dan balik lagi walau sudah di scan berulang kali.. Itu karena tiap kali kita membuka browser, kymv akan menipu kytkimsg dengan berpura-pura menjadi gateway dan bonus virus pun terkirim kembali.
Jadi gimana cara membersihkannya? Pertama-tama, matikan terlebih dahulu jaringan yang ada sehingga virus tersebut tidak merajalela di dalam jaringan anda..
Langkah kedua, buka tutup casing nya, copotin kabel2 yang mengganggu.. Ambil vacum cleaner dan bersihkan kipas-kipas yang ada di dalam komputer..
Ok, kembali ke topik.. Untuk membersihkan virusnya, matikan jaringan untuk melokalisasi virus tersebut, setelah itu baru lakukan scan dengan menggunakan anti virus favorit anda yang sudah di update dengan data virus terbaru (avfaysduddvt.. oh come on..).
Ini adalah jurus penyembuhan, tetapi ada satu cara lagi yang disebut jurus pencegahan, sebenarnya inti permasalahannya ada di hardware yang mengandung kelemahan ARP spoofing, untuk mengatasinya, ganti switch yang digunakan dengan yang mendukung DHCP snoop.
Jika boss anda terlalu pelit/kere sehingga tidak dapat membeli switch tersebut, ada satu cara lagi yang tidak memerlukan biaya, yaitu dengan perintah DOS arp -s untuk mengunci alamat IP dan MAC dari gateway di tiap komputer. Contohnya:
C:\> arp -s 192.168.1.1 00-08-5c-78-72-39
Dimana angka-angka diatas adalah alamat IP dan MAC komputer anda. Bagaimana cara ngeliatnya? Pake arp -a diatas dong..
Sampai disini alamat IP dan MAC sudah dikunci sehingga tidak ada harapan bagi virus tersebut untuk dapat meracuni komputer kita.. Hanya masalahnya, gimana kalo komputer di dalam kantor ada 1346 buah? Di update satu persatu?
boss: “Berkat artikel yang saya temukan di internet, sekarang kita jadi tau bagaimana cara membunuh virus yang sudah merajalela di jaringan kita, admin, tolong di update satu persatu”
admin: “Siap boss”
Tiga hari kemudian, setelah bergadang selama 56 jam tanpa berhenti, akhirnya selesai juga update komputer satu persatu..
admin: “sudah kelar boss, semua sudah saya arp -s”
boss: “oh iya, admin, alamat IP untuk gateway sudah saya ganti, jadi silahkan arp -s nya di update ya menggunakan alamat IP yang baru ya..”
admin: gkgkgkgkgkkk.. cekek leher si boss..