Jika Anda bukan pengguna TP-Link, jangan bergembira dulu,
karena eksploitasi ini juga bisa berjalan pada router Airlive, D-Link,
Micronet, Tenda dan Zyxel.
Gambar 1: Tampilan Update Your Flash Player.
Jika Anda mengklik tombol instal ia akan mengunduh aplikasi dengan nama setup.exe. Jika dijalankan, maka bukan update Flash Player yang Anda dapatkan, melainkan gerombolan si berat alias malware lain yang akan dijalankan pada komputer.
Gambar 2: Tampilan Setup.exe.
Mengubah IP Situs Tujuan
Laboratorium Vaksincom mengadakan pengetesan untuk membuktikan kalau DNS server yang diinjeksikan ini mengubah akses dari IP yang seharusnya ke IP lain (lihat tabel 1 di bawah)
Tabel 1: Pengalihan IP server yang dilakukan
oleh DNSChanger 2
Gambar 1: Tampilan Update Your Flash Player.
Jika Anda mengklik tombol instal ia akan mengunduh aplikasi dengan nama setup.exe. Jika dijalankan, maka bukan update Flash Player yang Anda dapatkan, melainkan gerombolan si berat alias malware lain yang akan dijalankan pada komputer.
Gambar 2: Tampilan Setup.exe.
Mengubah IP Situs Tujuan
Laboratorium Vaksincom mengadakan pengetesan untuk membuktikan kalau DNS server yang diinjeksikan ini mengubah akses dari IP yang seharusnya ke IP lain (lihat tabel 1 di bawah)
Tabel 1: Pengalihan IP server yang dilakukan
oleh DNSChanger 2
Dari tabel 1 di atas terlihat dari komputer yang menggunakan
DNS yang belum diinjeksi di Indonesia mengakses ketiga situs di atas malah IP
Google.com adalah 117.102.117.208, Facebook.com 173.252.110.27 dan Youtube
74.125.200.136 (lihat gambar 3).
Gambar 3: IP situs asli.
Namun jika diakses dari DNS yang telah diinjeksi semuanya mengarahkan ke server dengan alamat IP 194.28.172.232. (lihat gambar 4).
Gambar 4: Tampilan PING ke situs Google,
Facebook dan Youtube dari DNS yang telah diinjeksi.
Menurut penelusuran Laboratorium Vaksincom, IP tersebut kemungkinan besar berasal dari Ukraina, bisa dilihat pada gambar 5 di bawah ini:
Gambar 5: Server IP sumber malware berasal dari
Ukraina.
Untuk menuntaskan masalah ini cukup sulit dan menutup server phishing yang dipersiapkan tidak akan efektif karena pembuat malware tinggal menginjeksikan malware yang telah dipersiapkan ke IP lain yang telah dipersiapkan. >NEXT<
Gambar 3: IP situs asli.
Namun jika diakses dari DNS yang telah diinjeksi semuanya mengarahkan ke server dengan alamat IP 194.28.172.232. (lihat gambar 4).
Gambar 4: Tampilan PING ke situs Google,
Facebook dan Youtube dari DNS yang telah diinjeksi.
Menurut penelusuran Laboratorium Vaksincom, IP tersebut kemungkinan besar berasal dari Ukraina, bisa dilihat pada gambar 5 di bawah ini:
Gambar 5: Server IP sumber malware berasal dari
Ukraina.
Untuk menuntaskan masalah ini cukup sulit dan menutup server phishing yang dipersiapkan tidak akan efektif karena pembuat malware tinggal menginjeksikan malware yang telah dipersiapkan ke IP lain yang telah dipersiapkan. >NEXT<
sumber : detikinet
0 comments:
Post a Comment
Terima kasih sudah membaca artikel blog saya, silahkan tinggalkan komentar.