DNSChanger 2, FlappyDNS Saudara Flappy Bird yang memalsukan Update Your Flash Player

Vietnam rupanya bukan saja sumber programmer jago pembuat game seperti Flappy Bird yang sangat populer, namun disinyalir menjadi sumber dari malware yang menggemparkan dunia internet dan berhasil menginjeksi lebih dari 300.000 router di seluruh dunia termasuk Indonesia. Jika rata-rata router memberikan koneksi kepada 5 komputer, maka diperkirakan lebih dari 1,5 juta komputer di dunia yang mengalami pengalihan DNS oleh saudara jauh Flappybird ini.

Malware yang satu ini sangat meresahkan, jika sudah terinfeksi akan sangat sulit untuk dikembalikan dan kebanyakan user angkat tangan karena ia tidak mempan dibersihkan menggunakan antivirus apapun, atau bahkan format dan instal ulang komputer tidak akan memecahkan masalah ini. Hal ini terjadi karena yang diinjeksi bukan komputer melainkan router internet. Jika anda pengguna router sejuta umat TP-Link yang menurut data IDC 2013 merupakan merek router dengan penjualan terbesar di dunia, anda perlu ektra hati-hati karena banyak produk TP-Link yang rentan terhadap eksploitasi yang jika berhasil mengubah DNS router akan mengalihkan akses dari situs Google, Facebook dan Youtube ke IP lain yang telah dipersiapkan, meskipun tampilan alamat situs tidak berubah dan tetap www.google.com (lihat gambar 1), www.facebook.com dan www.youtube.com. Sebagai catatan, karena DNS server yang digunakan kemungkinan besar dibawah kendali pembuat malware ini, maka sangat mudah bagi pemilik DNS ini melakukan aksi lain dan mengalihkan akses selain tiga situs besar di atas. Beberapa hal yang dikhawatirkan adalah jika yang dialihkan adalah akses e-commerce dan internet banking yang sudah jelas akan menimbulkan kerugian finansial yang besar. Jika anda bukan pengguna TP-Link, anda jangan bergembira dulu, karena eksploitasi ini juga bisa berjalan pada router Airlive, D-Link, Micronet, Tenda dan Zyxel.

Gambar 1 : Tampilan Update Your Flash Player

Jika anda mengklik tombol install ia akan mengunduh aplikasi dengan nama setup.exe. Jika dijalankanklik, maka bukan update Flash Player yang anda dapatkan, melainkan gerombolan siberat alias malware lain yang akan dijalankan pada komputer anda.

Gambar 2 : Tampilan Setup.exe

Mengubah IP situs tujuan ke situs lain

Laboratorium Vaksincom mengadakan pengetesan untuk membuktikan kalau DNS server yang diinjeksikan ini mengubah akses dari IP yang seharusnya ke IP lain (lihat tabel 1 di bawah)

Website	Original IP	DNSChanger 2 - IP
Google.com	111.94.248.24	194.28.172.232
facebook.com	173.252.110.27	194.28.172.232
Youtube.com	74.125.200.93	194.28.172.232

Tabel 1, Pengalihan IP server yang dilakukan oleh DNSChanger 2.

Dari tabel 1 di atas terlihat dari komputer yang menggunakan DNS yang belum diinjeksi di Indonesia mengakses ketiga situs di atas mala IP Google.com adalah 117.102.117.208, Facebook.com 173.252.110.27 dan Youtube 74.125.200.136 (lihat gambar 3).

Gambar 3 : IP situs asli

Namun jika diakses dari DNS yang telah diinjeksi semuanya mengarahkan ke server dengan alamat IP 194.28.172.232. (lihat gambar 4).

Gambar 4 : Tampilan PING ke situs Google, Facebook dan Youtube dari DNS yang telah diinjeksi

Menurut penelusuran Laboratorium Vaksincom, IP tersebut kemungkinan besar berasal dari Ukraina, bisa dilihat pada gambar 4 di bawah ini :

Gambar 4 : Server IP sumber malware berasal dari Ukraina

Untuk menuntaskan masalah ini cukup sulit dan menutup server phishing yang dipersiapkan tidak akan efektif karena pembuat malware tinggal menginjeksikan malware yang telah dipersiapkan ke IP lain yang telah dipersiapkan. Lalu informasi IP tersebut diupdate ke DNS server yang dikuasainya. Dan dalam banyak kasus besar kemungkinan pemilik IP tersebut tidak mengetahui bahwa servernya dijadikan sebagai hosting malware dan servernya berhasil dikuasai karena kecerobohannya tidak melakukan update atau melakukan perlindungan yang baik pada servernya.

Jika DNSserver jahat yang dibasmi, hal ini bisa menghentikan aksi DNSserver tersebut, namun kembali pembuat malware bisa dengan mudah mengalihkan DNSserver dan mengupdate informasi ini ke agen-agen infeksinya yang kebanyakan disebarkan di situs-situs yang sering dikunjungi dan secara otomatis akan mengupdate kembali informasi IP DNSserver jahat yang telah dimatikan ini dengan IP baru.

Cara paling efektif untuk mencegah diri anda menjadi korban adalah melakukan update firmware router yang memiliki celah keamanan, mengubah settingan default dan mengubah password administrator default. Sebagai informasi, meskipun anda sudah mengubah password administrator default dan anda belum melakukan update firmware, skrip injeksi DNS yang telah dipersiapkan akan mampu tetap mengubah DNS router anda. Karena itu, update firmware merupakan salah satu hal yang sangat penting anda lakukan agar terhindar dari eksploitasi. Namun Vaksincom menyarankan anda ektra hati-hati dalam mengupdate firmware karena kesalahan dalam update firmware akan menyebabkan router anda menjadi rusak / tidak bisa berfungsi dengan baik. Jika anda tidak mengerti cara mengupdate firmware silahkan berkonsultasi dengan toko penjual router anda atau teknisi yang berkompeten seperti Vaksinis.

Menurut catatan Vaksincom, beberapa tipe reouter yang memiliki celah keamanan dan bisa diinjeksi oleh skrip pengubah malware adalah :

• TP-Link WR1043ND V1 dengan firmware 3.3.12 build 120405 ke bawah.
• TP Link TL-MR3020 firmware 3.14.2 build 120817 release 55520n
• TP-Link TL-MR3020 firmware 3.15.2 build 130326 release 58517n
• TP-Link TL-MR3220 firmware 3.13.1 build 121123 release 57760n
• TP-Link WDR3500 firmware 3.13.22 build 120807 release 36604n
• TP-Link MR3420 V1 firmware 3.13.1 build 121123 release 57630n
• TP-Link TD-W8901G firmware 3.0.0 build 090730 release 08665
• TP-Link TD-W8901G firmware 3.0.0 build 090730 release 08665
• TP-Link TD-W8961ND

Untuk mengetahui apakah router anda memiliki kelemahan atau tidak, silahkan ikuti petunjuk dari Jakob Lell sebagai berikut :

1. Buka peramban anda dan login ke router anda.
2. Masuk ke setting DHCP server dan perhatikan Primary DNS dan Secondary DNS. Seharusnya IP DNSserver adalah 0.0.0.0 atau IP DNS server ISP anda. (lihat gambar 5)

Gambar 5, Setting DNS server di TPLink

3. Jalankan skrip di bawah ini di peramban anda klik pada "script" di bawah ini : 

Script :

Gambar 6, Jalankan skrip untuk mengetahui apakah router anda bisa dieksploitasi

4. Jika alamat primary dan secondary DNS anda berubah menjadi seperti gambar 7 di bawah ini, maka router anda rentan terhadap eksploitasi DNSchanger 2.

Gambar 7, DNS yang dieksploitasi oleh router

PENTING !!!
DNS 180.131.144.144 dan 180.131.145.145 adalah DNS Nawala dan bukan DNS jahat. Script ini dibuat untuk mengecek apakah setting router anda bisa dirubah dengan script yang dijalankan dari browser. Vaksincom menggunakan DNS Nawala hanya sebagai contoh untuk memberikan gambaran kalau DNS router anda rentan terhadap perubahan yang dilakukan dari browser.