8:59:00 AM
welcome to my blog
Craft3. Baru-baru ini kami mendapatkan sampel malware dari user yang asalnya dari Jakarta. Sekilas file tersebut sama seperti file loader untuk menjalankan Game WarCraft, dalam hal ini WarCraft III. Pada tahap awal analisa, kami sengaja langsung menjalankan malware ini, untuk meyakinkan bahwa file tersebut sejenis malware atau memang loader game warcraft. Menariknya setelah di jalankan, secara umum file tersebut tidak mencirikan adanya hal-hal yang mencurigakan. Tetapi, kami coba dengan file loader game warcraft yang asli yang dijalankan sama seperti file yang di duga adalah malware, dan file tersebut menunjukan perbedaan yang benar-benar mendasar, Karena loader game yang sebenarnya tidak akan berjalan tanpa komponen pendukung dari game tersebut. Sedangkan sampel malware yang di jalankan sebelumnya, sudah aktif di memory.
A. Info File
Nama Worm : Craft3
Asal : Jakarta
Ukuran File : 94.0 KB (96,256 bytes)
Packer : ~
Pemrograman : C++
Icon : Loader Game WarCraft III
Tipe : Trojan, Worm
Nama Worm : Craft3
Asal : Jakarta
Ukuran File : 94.0 KB (96,256 bytes)
Packer : ~
Pemrograman : C++
Icon : Loader Game WarCraft III
Tipe : Trojan, Worm
B. About Malware
Seperti yang sudah dijelaskan di atas, malware yang kami beri nama sesuai dengan iconnya yaitu Craft3 adalah malware tipe trojan. Untuk mengelabui user, sebenarnya Craft3 menggunakan 2 buah teknik social engenering. Yang pertama adalah icon yang sama dengan loader Warcraft III, dan yang kedua adalah properties name dari salah satu tools (Gateaway Editor) yang berfungsi untuk memilih server mana yang akan digunakan dalam game Warcraft. Berikut adalah hasil komparasi yang menunjukan perbedaan antara Loader Warcraft, tools Gateaway Editor, sdan Trojan Craft3.
1. Setelah Craft3 dijalankan, maka akan langsung membuat host di salah satu direktori di folder system32, sedangkan loader Warcraft tidak akan berjalan tanpa adanya komponen pendukung lainnya untuk game Warcraft. Hal ini ditandai dengan keluarnya pesan sepert di bawah ini:
2. Craft3 menggunakan properties name yang sama seperti Gateaway Editor. Memang jarang ada yang menyadari, dan melakukan pengecekan sebelum memainkan game, karena Gateaway Editor yang asli di-pack menggunakan UPX, sedangkan Craft3, tidak menggunakan packer. Gateaway Editor adalah tools yang dibuat oleh Quixotic Yawl Studio, dan digunakan oleh beberapa user untuk game online seperti StarCraft, Diablo 2, dan Warcraft 3. Fungsinya adalah untuk memilih server mana yang akan digunakan untuk bermain. Berikut adalah screenshotnya:
C. Companion/File yang dibuat
Setelah aktif, worm ini akan menghapus host-nya sendiri setelah dijalankan, akan tetapi mengcopykan beberapa companionnya ke direktori seperti:
C:\Documents and Settings\[user profile]\Local Settings\Temp\[nama acak].tmp
C:\WINDOWS\system32\spool\prtprocs\w32x86\[nama acak].tmp
D. Hasil Infeksi
User yang sudah terinfeksi Craft3, tidak akan menyadari aktivitas / payload yang dibuatnya. Karena untuk prosesnya saja Craft dibuat agar tidak dapat terdeteksi. Selain itu, meski hostnya ditemukan tidak akan bisa dihapus manual, karena di-lock oleh proses spoolsv.exe. meski demikian tetap saja proses Craft3 tidak bisa terdeteksi. Berikut ini adalah aktivitas Craft3 yang memanfaatkan adanya koneksi komputer yang terinfeksi dengan suatu jaringan.
sumber:
virusindonesia.com
Posted in: Pengetahuan
0 komentar:
Posting Komentar