Sudah banyak permintaan terhadap Network Spoofing From JS Injection In Browser terutama dari kalangan komunitas warnet, forum diskusi, dan berbagai milist… berikut ini kupas tuntas permasalahan dari berbagai sumber dan hasil percobaan di tempat kerja gw.. minimal bisa memberi sedikit pencerahan..
Berikut kronologis yang sempat saya kumpulkan dari berbagai sumber :
Dari Mana Asal Virus di Depkeu.go.id?
Jakarta – Situs Departemen Keuangan Republik Indonesia (Depkeu.go.id) dihalangi aksesnya oleh Google karena sempat mengandung program jahat. Google mendeteksi virus itu sebagai sejenis trojan, yaitu program yang mampu menyusup dalam komputer dan ‘membuka pintu’ sehingga keamanan komputer pun tak lagi terjamin. Dari mana asal program sejenis virus itu?
Google Halangi Akses ke Situs Depkeu.go.id
Wicaksono Hidayat – detikinet
Jakarta – Google menghalang-halangi akses pengguna internet ke situs Departemen Keuangan Indonesia di depkeu.go.id. Ada masalah apa Google dengan Depkeu? Ternyata Google menganggap situs Depkeu melakukan penyebaran program jahat.
Kira-kira seperti apasih virus yang menyerang situs pemerintah tersebut ? berdasarkan “
So, beberapa virus dapat menyebar melalui serangan teknik SQL Injection lewat jaringan internet yang diakibatkan oleh kita saat mendownload program tertentu maupun email yang didalamnya terdapat aplikasi Trojan ini. Seperti diketahui pada saat uji coba ini dilakukan belum satu antivirus ternama sekalipun dapat mengenalin Trojan ini, sehingga penulis masih trus berupaya mencari removal virus tertentu untuk dapat mengenali serangan ini.
Seperti apa kira2 tanda yang muncul saat setelah terjadi serangan Trojan ini : bagi yang sudah terkena silahkan coba langkah berikut ini :
1. Buka Browser anda baik Internet Eksplorer maupun Mozilla
2. Jika anda memiliki domain sendiri misal: www.yourdomain.com silahkan dibuka, atau buka salah satu website apa saja. Prinsipnya ini akan menyerang semua DNS dibawah domain nama web anda. Baik service untuk web port 80 dan email port 25 — untuk pengguna email terutama email server seperti wordclient akan menemukan keganjilan ini–
3. Selanjutnya Klik kanan >> View Souce
4. Perhatikan Line 1 terdapat Js-Script yang menuliskan alamat website tertentu misal :
www. 404txc.cn/ads.js
5. Berhati-hatilah jika anda menemukan tulisan tersebut atau menyerupainya, yang diakhiri oleh kata-kata “ads.js” semacam java script yang di injection-kan untuk melakukan proses update ke server mereka yang tidak diketahui keberadaanya .
6. Selanjutnya virus ini akan secara otomatis menambahkan alamat server-server tertentu pada komputer anda, jika ada anda dapat melihatnya lewat C:\Windows\System32\Drivers\etc\
File host : klik kanan >> open with >> notepad
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a ‘#’ symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host
127.0.0.1 localhost
202.165.102.205 972.aksjd11.com
202.165.102.205 w3og.cn
203.208.35.100 qazc.fourtw.cn
203.208.35.100 www.aujoy.cn
203.208.35.101 www.hao601.cn
203.208.35.101 www.psp476.cn
72.14.235.99 222.1212l112.net
72.14.235.99 444.1212l112.netn
72.14.235.99 555.1212l112.net
72.14.235.99 111.1212l112.net
65.55.21.250 111.3243l24.com
65.55.21.250 222.3243l24.com
65.55.21.250 333.3243l24.com
125.64.8.112 kao2.gmwo03.com
125.64.8.112 kao.gmwo06.com
125.64.8.112 444.gmwo07.com
116.252.185.15 ru.update365.us
116.252.185.15 ad.update365.us
207.46.232.182 popmails.net
203.208.37.99 3.goodhh.com
220.181.37.55 down.rwixr.com
160.79.42.52 www.xdj2008.com
63.175.76.152 www.revtr.cn
219.133.40.91 qq.ljsll.com
203.208.35.102 www.aassccwe.cn
209.132.177.50 973.aksjd11.com
209.132.177.50 974.aksjd11.com
209.132.177.50 971.aksjd11.com
209.132.177.50 975.aksjd11.com
72.14.235.104 user1.12-39.net
72.14.235.147 www.infomt.net
192.150.18.101 ata1.sysions.net
192.150.18.101 ata2.sysions.net
192.150.18.101 ata3.sysions.net
192.150.18.101 ata4.sysions.net
193.120.42.226 8nnnnn99.cn
24.39.54.34 www.haoaoao.cn
127.0.0.1 971.lkjdasa12.com
127.0.0.1 974.lkjdasa12.com
127.0.0.1 111.213l23.net
127.0.0.1 111.313l23.com
127.0.0.1 222.313l23.com
Masih banyak lagi, saya hanya mengambil sebagian aja ….. 
liat aja sendiri ya…
Selanjutnya kalo sudah ketemu mo digimanain nih? Didiemin aja atau sampai goggle ngeblok domain kita, dan muncul di detikINET hihihi.. trus kira2 server perlu di scan juga ga ya..?? atau ikutin tahap berikutnya seperti ini :
1. Coba cek jaringan berapa banyak computer yang terhubung ke internet, syukur2 dikit client yang ada, jadi tambah cepet beres masalahnya….. kalo banyak disarankan menggunakan tools ARPprotect..software yang satu ini cukup handal mendeteksi serangan si-Trojan dengan menganalisa komputer cliet yang mengirimkan paket ARP.
2. Nah kalo sudah ketemu tinggal dipilah-pilah deh mana computer yang terkena dan tidak, disarankan untuk segera mendisable dari jaringan, biasanya saat mendisable akan muncul “blue screen “ secara tiba-tiba dan selanjutnya lakukan proses scanning melalui Safe Mode lebih bagus.
3. Scan virus apa donk..?? kira2 yang ampuh…. saat saya mencoba tulisan ini Vcleaner.exe dari grisoft dapat mendeteksi Trojan dengan nama W32/Hidrag.A tapi itu bisa berbeda-beda jenis dengan removal yang lain…seperti gambar berikut :
sory gambarnya ada diatas … 
4. Nah kalo sudah beres, coba kembali ke tahap awal, dengan membuka browser kembali, apakah si alamat yang dikenal tersebut masih ada atau sudah hilang.. dengan demikian ada baiknya anda segera melakukan patch terhadap client yang terinfeksi dan update antivirus yang terbaru… mudah2an sudah dikenali oleh berbagai jenis antivirus.
5. Selesai deh mudah2an membatu. Selamat Mencoba
