Masih ingatkah anda pada artikel virus “Agent.FUVR” atau yang biasa dikenal sebagai virus “arp spoofing”, dimana virus ini mampu menggemparkan kalangan pengguna internet Indonesia. Bukan hanya pengguna komputer biasa yang menjadi korban, tetapi justru sangat merepotkan bagi pengguna korporat/jaringan yang tidak memiliki team yang memiliki pengalaman perlindungan antivirus korporat.
Melengkapi aksi Antivirus Palsu / Rogue Antivirus XP 2008 dan gerombolannya, antivirus/antispyware palsu kian marak, maka virus “arp spoofing” part II ini tidak mau kalah dan ikut menjalankan aksinya. Dan kali ini dengan kemampuan yang lebih baik dari ARP terdahulu, ibaratnya Son Go Ku (Dragon Ball) sudah mencapai level 3 (Super Sanya :P). ARP Spoofing bagian dua ini memiliki ciri khas dimana file penyebarannya memiliki nama Gameeeeeee.vbs dan Gameeeeeee.pif (dua-duanya bernama game dengan jumlah huruf "e" 7 buah).
Untuk virus dengan tahap level pertama tentu-nya anda sudah familiar dengan nama “Agent.FUVR”, virus yang menggunakan nama MicroSoft (MicroSoft.bat, MicroSoft.vbs dan MicroSoft.pif) sebagai file virus yang berlokasi pada root drive C:\, dengan menggunakan file ThunderAdvise.dll (lokasi pada C:\WINDOWS\Downloaded Program Files) sebagai media update melalui internet & Jview.dll (lokasi pada C:\WINDOWS\AppPatch) sebagai media penyebaran melalui jaringan (anda dapat melihat artikel virus ini pada http://vaksin.com/2008/0608/microsoft/microsoft.html).
Kemudian pada tahap level kedua, virus ini menggunakan file virus wmsetup.dll dan QQ_Update.cab yang berlokasi pada C:\WINDOWS\Temp, dengan menggunakan file ThunderAdvise.dll (lokasi pada C:\WINDOWS\Downloaded Program Files) sebagai media update melalui internet & DesktopWin.dll (lokasi pada C:\WINDOWS\AppPatch) sebagai media penyebaran melalui jaringan.
Selanjutnya, yang saat ini makin marak menyebar pada pengguna internet sudah memasuki tahap level 3, dengan menggunakan file virus Gameeeeeee.vbs & Gameeeeeee.pif yang berlokasi pada C:\Documents and Settings\%user%\Local Settings\Temporary Internet Files, dan file system.exe (lokasi pada C:\WINDOWS\system32) serta file HBKernel32.sys (lokasi pada C:\WINDOWS/system32/drivers). Selain itu masih menggunakan file ThunderAdvise.dll (lokasi pada C:\WINDOWS\Downloaded Program Files) sebagai media update melalui internet & Update.dll (lokasi pada C:\WINDOWS) sebagai media penyebaran melalui jaringan.
Source: http://vaksin.com/2008/1108/arp%20spoofing2/arp%20spoofing2.html