Craft3: Trojan Untuk Para Gamers WarCraft III
Craft3. Baru-baru ini kami mendapatkan sampel malware dari user yang asalnya dari Jakarta. Sekilas file tersebut sama seperti file loader untuk menjalankan Game WarCraft, dalam hal ini WarCraft III. Pada tahap awal analisa, kami sengaja langsung menjalankan malware ini, untuk meyakinkan bahwa file tersebut sejenis malware atau memang loader game warcraft. Menariknya setelah di jalankan, secara umum file tersebut tidak mencirikan adanya hal-hal yang mencurigakan. Tetapi, kami coba dengan file loader game warcraft yang asli yang dijalankan sama seperti file yang di duga adalah malware, dan file tersebut menunjukan perbedaan yang benar-benar mendasar, Karena loader game yang sebenarnya tidak akan berjalan tanpa komponen pendukung dari game tersebut. Sedangkan sampel malware yang di jalankan sebelumnya, sudah aktif di memory.
A. Info File
Nama Worm : Craft3
Asal : Jakarta
Ukuran File : 94.0 KB (96,256 bytes)
Packer : ~
Pemrograman : C++
Icon : Loader Game WarCraft III
Tipe : Trojan, Worm
B. About Malware
Seperti yang sudah dijelaskan di atas, malware yang kami beri nama sesuai dengan iconnya yaitu Craft3 adalah malware tipe trojan. Untuk mengelabui user, sebenarnya Craft3 menggunakan 2 buah teknik social engineering. Yang pertama adalah icon yang sama dengan loader Warcraft III, dan yang kedua adalah properties name dari salah satu tools (Gateaway Editor) yang berfungsi untuk memilih server mana yang akan digunakan dalam game Warcraft. Berikut adalah hasil komparasi yang menunjukan perbedaan antara Loader Warcraft, tools Gateaway Editor, sdan Trojan Craft3.
1. Setelah Craft3 dijalankan, maka akan langsung membuat host di salah satu direktori di folder system32, sedangkan loader Warcraft tidak akan berjalan tanpa adanya komponen pendukung lainnya untuk game Warcraft. Hal ini ditandai dengan keluarnya pesan sepert di bawah ini:
2. Craft3 menggunakan properties name yang sama seperti Gateaway Editor. Memang jarang ada yang menyadari, dan melakukan pengecekan sebelum memainkan game, karena Gateaway Editor yang asli di-pack menggunakan UPX, sedangkan Craft3, tidak menggunakan packer. Gateaway Editor adalah tools yang dibuat oleh Quixotic Yawl Studio, dan digunakan oleh beberapa user untuk game online seperti StarCraft, Diablo 2, dan Warcraft 3. Fungsinya adalah untuk memilih server mana yang akan digunakan untuk bermain. Berikut adalah screenshotnya:
C. Companion/File yang dibuat
Setelah aktif, worm ini akan menghapus host-nya sendiri setelah dijalankan, akan tetapi mengcopykan beberapa companionnya ke direktori seperti:
C:\Documents and Settings\[user profile]\Local Settings\Temp\[nama acak].tmp
C:\WINDOWS\system32\spool\prtprocs\w32x86\[nama acak].tmp
D. Hasil Infeksi
User yang sudah terinfeksi Craft3, tidak akan menyadari aktivitas / payload yang dibuatnya. Karena untuk prosesnya saja Craft dibuat agar tidak dapat terdeteksi. Selain itu, meski hostnya ditemukan tidak akan bisa dihapus manual, karena di-lock oleh proses spoolsv.exe. meski demikian tetap saja proses Craft3 tidak bisa terdeteksi. Berikut ini adalah aktivitas Craft3 yang memanfaatkan adanya koneksi komputer yang terinfeksi dengan suatu jaringan.
E. Pembersihan
PCMAV 5.5 Update Build3
Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 5.5 Update Build3 telah hadir dengan penambahan 81 pengenal varian virus baru. Bagi Anda pengguna PCMAV 5.5, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.
Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet. Jika koneksi Internet menggunakan proxy, tentukan konfigurasi proxy pada file proxy.txt . Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV. Anda juga dapat mengupdate kapan saja dengan klik kanan icon PCMAV pada system tray dan pilih Update.
Bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui beberapa link ini:
ZippyShare.com (mirror)
RapidShare.com (mirror)
Letakkan file hasil download tersebut (update.vdb) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah update.vdb, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.
Daftar tambahan virus hingga PCMAV 5.5 Update Build3:
Autoit-ReplaceIcon.L
Craft3
Craft3.tmp
Elize.B
ErrorLove.vbs
ErrorLove.vbs.inf
ErrorLove.vbs.txt
FBSurprise
FBSurprise.drp
FBSurprise.exe.A
FBSurprise.exe.B
FBSurprise.job.A
FBSurprise.job.B
FBSurprise.jpg
FBSurprise.tmp.A
FBSurprise.tmp.B
FBSurprise.tmp.C
FluX
FluX.DLL
Flw
FontPorn.B
FontPorn.B.exe.A
FontPorn.B.exe.B
FontPorn.B.lnk
FontPorn.B.tmp
FontPorn.C
FontPorn.C.ini
GooDown
Gphone
IntreNat
LegendMir
LegendMir.dll
Mbzuchi
NgrBot.A.dat.variant
NgrBot.A.drp.A.variant
NgrBot.A.drp.B.variant
NgrBot.A.drp.C.variant
NgrBot.A.exe.A.variant
NgrBot.A.exe.B.variant
NgrBot.A.inf.variant
NgrBot.A.lnk.variant
NgrBot.A.variant
NgrBot.B.inf.variant
NgrBot.B.variant
NgrBot.C.variant
NgrBot.D.variant
NgrBot.E.variant
NgrBot.F.variant
NgrBot.G.variant
NgrBot.H.variant
Noa
Noa.inf
None
Retfig
Romantic
Romantic.inf
Rose-Loren.F
SevenTech
SevenTech.host
SmallSmile.vbs
SmallSmile.vbs.inf
Sopian
Sopian.htm
TODO
TODO.drp
TroSystem
TroSystem.dat
TroSystem.inf
UltraSurf.A
UltraSurf.A.bat
UltraSurf.B
UltraSurf.C
UltraSurf.D
UltraSurf.D.bat
VLyc
VLyc.ico
VLyc.url
X-Sample.vbs.C
X-Sample.vbs.C.inf
X-Sample.vbs.C.ini
X-Sample.vbs.C.mp3
sumber : http://virusindonesia.com
Tidak ada komentar:
Posting Komentar