Posted by: Efrizal | June 28, 2008

Solved : Network Spoofing From JS Injection In Browser

Sudah banyak permintaan terhadap Network Spoofing From JS Injection In Browser  terutama dari kalangan komunitas warnet, forum diskusi, dan berbagai milist… berikut ini kupas tuntas permasalahan dari berbagai sumber dan hasil percobaan di tempat kerja gw.. minimal bisa memberi sedikit pencerahan..

Berikut kronologis yang sempat saya kumpulkan dari berbagai sumber :

 

 

Dari Mana Asal Virus di Depkeu.go.id?

Jakarta – Situs Departemen Keuangan Republik Indonesia (Depkeu.go.id) dihalangi aksesnya oleh Google karena sempat mengandung program jahat. Google mendeteksi virus itu sebagai sejenis trojan, yaitu program yang mampu menyusup dalam komputer dan ‘membuka pintu’ sehingga keamanan komputer pun tak lagi terjamin. Dari mana asal program sejenis virus itu?

 

Source : http://www.detikinet.com/index.php/detik.read/tahun/2008/bulan/06/tgl/11/time/111531/idnews/954256/idkanal/323

 

Google Halangi Akses ke Situs Depkeu.go.id
Wicaksono Hidayat – detikinet

 

Jakarta – Google menghalang-halangi akses pengguna internet ke situs Departemen Keuangan Indonesia di depkeu.go.id. Ada masalah apa Google dengan Depkeu? Ternyata Google menganggap situs Depkeu melakukan penyebaran program jahat.

 

 

 

Source : http://www.detikinet.com/index.php/detik.read/tahun/2008/bulan/06/tgl/11/time/094049/idnews/954158/idkanal/323

 

 

 

 

 

 

Kira-kira seperti apasih virus yang menyerang situs pemerintah tersebut ? berdasarkan “

Hasil analisa Google, seperti dikutip detikINET, Rabu (11/6/2008), menunjukkan adanya program jahat yang menyusup ke situs Depkeu.go.id melalui alamat domain killpp.cn dan nihao112.com. Meskipun situs beralamat .cn belum tentu berada di atau berasal dari China, informasi dari CyberInsecure.com menunjukkan adanya kecurigaan bahwa pelakunya memang berasal dari China.
Merujuk pada informasi di CyberInsecure, situs Depkeu.go.id kemungkinan dieksploitasi melalui SQL Injection. Teknik SQL Injection umumnya dilakukan dengan memasukkan kode untuk mengakses database SQL melalui browser.”
 

 

 

So, beberapa virus dapat menyebar melalui serangan teknik SQL Injection lewat jaringan internet yang diakibatkan oleh kita saat mendownload program tertentu maupun email yang didalamnya terdapat aplikasi Trojan ini. Seperti diketahui pada saat uji coba ini dilakukan belum satu antivirus ternama sekalipun dapat mengenalin Trojan ini, sehingga penulis masih trus berupaya mencari removal virus tertentu untuk dapat mengenali serangan ini.

 

Seperti apa kira2 tanda yang muncul saat setelah terjadi serangan Trojan ini : bagi yang sudah terkena silahkan coba langkah berikut ini :

 

1.       Buka Browser anda baik Internet Eksplorer maupun Mozilla

2.       Jika anda memiliki domain sendiri  misal: www.yourdomain.com silahkan dibuka, atau buka salah satu website apa saja. Prinsipnya ini akan menyerang semua DNS dibawah domain nama web anda. Baik service untuk web port 80 dan email port 25 — untuk pengguna email terutama email server seperti wordclient akan menemukan keganjilan ini–

3.       Selanjutnya Klik kanan >> View Souce

4.       Perhatikan Line 1 terdapat Js-Script yang menuliskan alamat website tertentu misal :

www. 404txc.cn/ads.js

5.       Berhati-hatilah jika anda menemukan tulisan tersebut atau menyerupainya, yang diakhiri oleh kata-kata  “ads.js” semacam java script yang di injection-kan untuk melakukan proses update ke server mereka yang tidak diketahui keberadaanya .

6.       Selanjutnya virus ini akan secara otomatis menambahkan alamat server-server tertentu pada komputer anda, jika ada anda dapat melihatnya lewat C:\Windows\System32\Drivers\etc\

File host : klik kanan >> open with >> notepad

# Additionally, comments (such as these) may be inserted on individual

# lines or following the machine name denoted by a ‘#’ symbol.

#

# For example:

#

#      102.54.94.97     rhino.acme.com          # source server

#       38.25.63.10     x.acme.com              # x client host

 

127.0.0.1           localhost

202.165.102.205      972.aksjd11.com

202.165.102.205      w3og.cn

203.208.35.100       qazc.fourtw.cn

203.208.35.100       www.aujoy.cn

203.208.35.101       www.hao601.cn

203.208.35.101       www.psp476.cn

72.14.235.99         222.1212l112.net

72.14.235.99         444.1212l112.netn

72.14.235.99         555.1212l112.net

72.14.235.99         111.1212l112.net

65.55.21.250         111.3243l24.com

65.55.21.250         222.3243l24.com

65.55.21.250         333.3243l24.com

125.64.8.112         kao2.gmwo03.com

125.64.8.112         kao.gmwo06.com

125.64.8.112         444.gmwo07.com

116.252.185.15       ru.update365.us

116.252.185.15       ad.update365.us

207.46.232.182       popmails.net

203.208.37.99        3.goodhh.com

220.181.37.55        down.rwixr.com

160.79.42.52         www.xdj2008.com

63.175.76.152        www.revtr.cn

219.133.40.91        qq.ljsll.com

203.208.35.102       www.aassccwe.cn

209.132.177.50       973.aksjd11.com

209.132.177.50       974.aksjd11.com

209.132.177.50       971.aksjd11.com

209.132.177.50       975.aksjd11.com

72.14.235.104        user1.12-39.net

72.14.235.147        www.infomt.net

192.150.18.101       ata1.sysions.net

192.150.18.101       ata2.sysions.net

192.150.18.101       ata3.sysions.net

192.150.18.101       ata4.sysions.net

193.120.42.226       8nnnnn99.cn

24.39.54.34          www.haoaoao.cn

127.0.0.1            971.lkjdasa12.com

127.0.0.1            974.lkjdasa12.com

127.0.0.1            111.213l23.net

127.0.0.1            111.313l23.com

127.0.0.1            222.313l23.com

Masih banyak lagi, saya hanya mengambil sebagian aja  ….. :P liat aja sendiri ya…

 

 

 

Selanjutnya kalo sudah ketemu mo digimanain nih?  Didiemin aja atau sampai goggle ngeblok domain kita, dan muncul di detikINET hihihi.. trus kira2 server perlu di scan juga ga ya..??  atau ikutin tahap berikutnya seperti ini :

 

1.       Coba cek jaringan berapa banyak computer yang  terhubung ke internet, syukur2 dikit client yang ada, jadi tambah cepet beres masalahnya….. kalo banyak  disarankan menggunakan tools ARPprotect..software yang satu ini cukup handal mendeteksi serangan si-Trojan dengan menganalisa komputer cliet yang mengirimkan paket ARP.

2.       Nah kalo sudah ketemu tinggal dipilah-pilah deh mana computer yang terkena dan tidak, disarankan untuk segera mendisable dari jaringan, biasanya saat mendisable akan muncul “blue screen “ secara tiba-tiba dan selanjutnya lakukan proses scanning melalui Safe Mode lebih bagus.

3.       Scan virus apa donk..??  kira2 yang ampuh…. saat saya mencoba tulisan ini Vcleaner.exe dari grisoft dapat mendeteksi Trojan dengan nama W32/Hidrag.A tapi itu bisa berbeda-beda jenis dengan removal yang lain…seperti gambar berikut :

 sory gambarnya ada diatas … :D

 4.       Nah kalo sudah beres, coba kembali ke tahap awal, dengan membuka browser kembali, apakah si alamat yang dikenal tersebut masih ada atau sudah hilang.. dengan demikian ada baiknya anda segera melakukan patch terhadap client yang terinfeksi dan update antivirus yang terbaru… mudah2an sudah dikenali oleh berbagai jenis antivirus.

5.       Selesai deh mudah2an membatu. Selamat Mencoba

 

 

 

 

 

Posted in IT Clinic

« Dual Boot Windows XP dan Vista

Responses

  1. [...] 5. Solved-network-spoofing-from-js-injection-in-browser http://apatuu.wordpress.com/2008/06/…on-in-browser/ [...]

    By: Virus ARP ( 2 ) « www.bukaniseng.wordpress.com on July 26, 2008
    at 6:53 pm

  2. [...] 5. Solved-network-spoofing-from-js-injection-in-browser http://apatuu.wordpress.c…ion-in-browser/ [...]

    By: Virus ARP Spoofing « Kakilima Subang’s Weblog on July 31, 2008
    at 1:56 am

  3. [...] – Membersihkan ARP yang melalui Inject Browser [...]

    By: imamoberst.com » Blog Archive » Virus ARP Spoofing on August 17, 2008
    at 1:44 pm


Leave a response






Your response:

Categories