Craft3: Trojan Untuk Para Gamers DotA

[RyougiShiki]

Nih gan ane iseng iseng cari info tentang virus.. eh ketepu bginian cekidot



Craft3. Baru-baru ini kami mendapatkan sampel malware dari user yang asalnya dari Jakarta. Sekilas file tersebut sama seperti file loader untuk menjalankan Game WarCraft, dalam hal ini WarCraft III. Pada tahap awal analisa, kami sengaja langsung menjalankan malware ini, untuk meyakinkan bahwa file tersebut sejenis malware atau memang loader game warcraft. Menariknya setelah di jalankan, secara umum file tersebut tidak mencirikan adanya hal-hal yang mencurigakan. Tetapi, kami coba dengan file loader game warcraft yang asli yang dijalankan sama seperti file yang di duga adalah malware, dan file tersebut menunjukan perbedaan yang benar-benar mendasar, Karena loader game yang sebenarnya tidak akan berjalan tanpa komponen pendukung dari game tersebut. Sedangkan sampel malware yang di jalankan sebelumnya, sudah aktif di memory.

A. Info File
Nama Worm : Craft3
Asal : Jakarta
Ukuran File : 94.0 KB (96,256 bytes)
Packer : ~
Pemrograman : C++
Icon : Loader Game WarCraft III
Tipe : Trojan, Worm



Seperti yang sudah dijelaskan di atas, malware yang kami beri nama sesuai dengan iconnya yaitu Craft3 adalah malware tipe trojan. Untuk mengelabui user, sebenarnya Craft3 menggunakan 2 buah teknik social engineering. Yang pertama adalah icon yang sama dengan loader Warcraft III, dan yang kedua adalah properties name dari salah satu tools (Gateaway Editor) yang berfungsi untuk memilih server mana yang akan digunakan dalam game Warcraft. Berikut adalah hasil komparasi yang menunjukan perbedaan antara Loader Warcraft, tools Gateaway Editor, sdan Trojan Craft3.

1. Setelah Craft3 dijalankan, maka akan langsung membuat host di salah satu direktori di folder system32, sedangkan loader Warcraft tidak akan berjalan tanpa adanya komponen pendukung lainnya untuk game Warcraft. Hal ini ditandai dengan keluarnya pesan sepert di bawah ini:

2. Craft3 menggunakan properties name yang sama seperti Gateaway Editor. Memang jarang ada yang menyadari, dan melakukan pengecekan sebelum memainkan game, karena Gateaway Editor yang asli di-pack menggunakan UPX, sedangkan Craft3, tidak menggunakan packer. Gateaway Editor adalah tools yang dibuat oleh Quixotic Yawl Studio, dan digunakan oleh beberapa user untuk game online seperti StarCraft, Diablo 2, dan Warcraft 3. Fungsinya adalah untuk memilih server mana yang akan digunakan untuk bermain. Berikut adalah screenshotnya:


C. Companion/File yang dibuat
Setelah aktif, worm ini akan menghapus host-nya sendiri setelah dijalankan, akan tetapi mengcopykan beberapa companionnya ke direktori seperti:

Spoiler untuk :

C:\Documents and Settings\[user profile]\Local Settings\Temp\[nama acak].tmp
C:\WINDOWS\system32\spool\prtprocs\w32x86\[nama acak].tmp

D. Hasil Infeksi
User yang sudah terinfeksi Craft3, tidak akan menyadari aktivitas / payload yang dibuatnya. Karena untuk prosesnya saja Craft dibuat agar tidak dapat terdeteksi. Selain itu, meski hostnya ditemukan tidak akan bisa dihapus manual, karena di-lock oleh proses spoolsv.exe. meski demikian tetap saja proses Craft3 tidak bisa terdeteksi. Berikut ini adalah aktivitas Craft3 yang memanfaatkan adanya koneksi komputer yang terinfeksi dengan suatu jaringan.


E. Pembersihan

PCMAV 5.5 Update Build3

Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 5.5 Update Build3 telah hadir dengan penambahan 81 pengenal varian virus baru. Bagi Anda pengguna PCMAV 5.5, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.

Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet. Jika koneksi Internet menggunakan proxy, tentukan konfigurasi proxy pada file proxy.txt . Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV. Anda juga dapat mengupdate kapan saja dengan klik kanan icon PCMAV pada system tray dan pilih Update.
( Yang terbaru juga bisa )

Letakkan file hasil download tersebut (update.vdb) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah update.vdb, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.

Sumber : PCMEDIA

Kalo theard ini bermanfaat tolong beri "Thanks" atau "CendolZ"

[[Fdn]-1996]

nice share bro
tapi seumur hidup ga pernah nemuin beginian