Akhirnya ketemu biang virus jaringan
Setelah lama melakukan investigasi, akhirnya saya menemukan biang atau celah tempat virus jaringan bernama tongji dan sebangsanya.
Ternyata virus ini masuk melalui Yahoo Messenger… Atau lebih tepatnya dari iklan yang berada di bagian bawah aplikasi Yahoo Messenger.
Ini terbukti setelah saya memblok aplikasi Yahoo Messenger melalui router (IM/P2P Blocking) selama 3 hari, jaringan bebas dari virus, tetapi ketika saya membuka blok nya kembali, serangan virus masuk lagi.
Cara untuk melihat ada atau tidaknya virus di jaringan adalah dengan melihat Source dari halaman web yang dibuka. Jika dibagian atas ada statement <SCRIPT …….> maka kemungkinan besar virus telah aktif di jaringan.
Beberapa alamat tujuan script yang sempat saya data antara lain:
do.qwertyy.cn
u.cruze3.cn
fk.au44.info
s.asde0msd.cn
Semuanya rata-rata dari domain China (.cn). Sama seperti virus tongji, sistem kerjanya adalah dengan menginfeksi salah satu komputer dalam jaringan yang tidak memiliki pertahanan yang kuat.
Jika menggunakan AVG Free 8, harap aktifkan option Scan for tracking cookies, karena virus ini masuk melalui cookies YM. Setelah diaktifkan, maka AVG akan melaporkan tracking cookies ketika kita menjalankan YM.
Setelah virus berhasil menginfeksi salah satu komputer di jaringan, maka dia akan memalsukan MAC Addressnya dan menjadikan dirinya sebagai Gateway, sehingga semua komputer yang membuka situs akan dialihkan ke komputer tersebut sebelum benar-benar ke situs yang dimaksud, tujuannya adalah agar halaman situs disisipi dulu dengan scriptnya.
Hal inilah yang menyebabkan koneksi internet terasa lambat karena semuanya harus melewati komputer bervirus itu. Maka tak terelakkan lagi, SEMUAnya kena, pake Internet Explorer, Mozilla, Opera, atau browser apapun pasti kena, juga walaupun menggunakan Linux juga kena. Tapi tenang saja, komputer lainnya hanya terkena dampak tapi tidak ikut terinfeksi (kecuali komputer tersebut tidak punya pertahanan yang cukup).
Salah satu solusi yang cukup manjur adalah dengan menutup iklan di YM, caranya adalah dengan mengubah registri.
- Tutup aplikasi Yahoo Messenger (Exit bukan Close ya)
- Buka Regedit dan cari: HKEY_CURRENT_USERSoftwareYahooPagerLocale
- Kemudian cari key Enable Messenger Ad
- Ganti nilai 1 menjadi 0
Setelah itu, silahkan gunakan kembali YM dan tidak akan ada lagi iklan di bagian bawah YM dan secara otomatis tidak akan ada lagi jalan untuk virus sebangsa tongji.
Lakukan hal tersebut di semua komputer dalam jaringan (termasuk komputer tamu yang ada YMnya) karena 1 saja komputer dengan YM yang beriklan, dapat menyebabkan terinfeksinya jaringan dan mengganggu aktrifitas Internet.
Jadi, sebagai admin jaringan, lakukan perlindungan pada jaringan anda khususnya Wireless, pasang saja password, sehingga setiap orang yang ingin masuk jaringan harus melapor dan sekalian anda setting YM nya. Atau sekalian blok saja YM π
Demikianlah pengalaman saya mengatasi virus sebangsa tongji, semoga bermanfaat.
http://www.romystevenj.com/2008/12/akhirnya-ketemu-biang-virus-jaringan/
Tulisan ini telah dibaca 4518 kali
wah..makasih ya mas atas infonya
sangat berguna,
btw..pertamax
great…. thnk’s bro atas infonya sangat membantu bangets..
cos q admin warnet yang sempat kena virus ini..
tx
Ja, domo arigatou gozaimas..! alexandratian
I’m Vietnamese and I don’t know your language. However, as I understand, steps that you guided:
Open Registry Editor and go to HKEY_CURRENT_USERSoftwareYahooPagerLocale
Find Enable Messenger Ad and change its value by 0 (disable ads).
I have applied these steps for my computer but it can’t disable s.asde0msd.cn.
Plz help me to solve this problem.
Waiting for your response. Thanks in advance.
Sincerely.
adhu makasih bgt..
tp koq pas ud di ganti 0 dia Nongol lagi yah ga lama kemudian..
s.asde0msd.cn kodenya….
ini da pake script mozilaa…
terus jg pas bukan YM sama MSN kedetect virusnya…
ada cara laen??? Thx b4
tetep ga bsa bos… balex lg tuh virusnya…
ada cara lain tidak?? selain Instal ulang,,,
ini awalnya jg ga ad virus. terus pas update Yahoomassanger langsung kena d…
thx b4
mungkin ini satu alternatif, bang, dari mikrotik pun bisa drop port yang dia lewati untuk mengantisipasi aktifitas dia keluar jaringan kita :D.
Btw thanks dah berkunjung ke blog ku hehe
nice artikel, thanks
Hello,
I’am a network administrator and I have the same virus, can you help me with more informations?
Thanks in advance
And btw that trick with yahoo messenger it doesn’t work as well as arp -s ip gateway mac gateway . I have Avg 8.0( with scan cookies checked) and atf cleaner but avg scans the computer and it doesn’t find anything, anyway I will close the ports for yahoo messenger and search the internet for solution untill you’ll get time to anwser me,
Hope to hear very soon from you.
thx masukannya bro
bulan september saya juga pernah di serang semacam virus ini, tapi saya lakukan dari sisi personal, krn dari jaringan bukan area kerja saya.. π http://indra.chaidir.info/2008/09/memblokir-traffic-domain-jahat-seperti-vfreeflinfo-dll/
trims berat mas sangat membantu sudah hampir 2 bln virus ini menggaggu selalu kuncul di server
salam
gede bali
keren juga pak…langsung dipraktekkan…
Waduh Saya Dah telanjur patch pake SP3 Nh!!..,
Sharing Antar folder N Printer Juga GA Bs,
Ad ya Bs Ngasih Solusi Gmn Caranya Buat
Aktifin file And printer sharing
SP3 ngak masalah koq, malah dianjurkan untuk pake SP3,, nah kalo ngak bisa share printer artinya, sistem kamu sudah terinfeksi virus, jadi mesti install ulang..
tapi ingat waktu install, lepas dulu koneksi ke jaringan, krn virus akan masuk jika di komputer lain (dalam jaringan) ada yang terinfeksi juga.
Fitur autorun di non aktifkan, kemudian pasang anti virus dan deep freeze, nah baru deh pasang jaringannya lagi π
virus jaringan memang merepotkan, tapi itulah cara yang terbaik untuk membersihkan jaringan yaitu: instal satu per satu komputer tanpa jaringan, trus disable autorun, pasang anti virus dan deep freeze π
Lebih bagus lagi kalo setiap komputer di ghost supaya kalo kena virus, tinggal file ghostnya di restore dibandingkan harus install ulang lagi π
Tambahan ya dikit..
semoga berguna. Selain registry, bagi admin warnet atau kantor yang menggunakan modem adsl router bisa ip filter http://insider.msg.yahoo.com kalau di ping ada 3 ip untuk sementara yaitu 68.142.231.252, 209.191.120.30 dan 68.180.219.51 blok juga portnya semua.
Adsnya Yahoo gak muncul lagi. Ini berkat Mas Romy dikembangkan tip triknya.
wah..,maksih mas…..,ada pertanyaan nih mas, opera saya gak bisa sign in,baik itu facebook,friendster,pokoknya semua sign in dia gak mau mas,itu katanya kena cokies,cara membasmi nya gimana ya mas….
ada saran cara untuk menentukan kompi mana yang terkena ga mas?capek dah 3 kali ini maintenance terus 40 komp, pencegahannya juga selain dari yahoo, di tunggu di http://kurtdoniecobain.blogspot.com/.thx bgt
wah bagus sekali infonya… sebagai bahan saat nanti klo saya terkena virus itu.. tapi jangan sampai sich saya kena….
waduw menakutkan