Virus Game Online ” Diam2 Jagoan “

Game Halo 2 dalam sehari mencatat penjualan 125 juta dolar, mengalahkan pendapatan film Spiderman yang dalam 3 hari menghasilkan 115 juta dolar. Dari kejadian di tahun 2007 tersebut tentunya kita semua setuju bahwa industri game (mainan) sudah tidak bisa dianggap main-main lagi. Lihat saja game populer seperti Ragnarok, Warcraft dan yang ditunggu-tunggu Starcraft II mampu membius pemainnya seakan-akan berada di dunianya sendiri. Mass multiplayer game online seperti World of Warcraft mampu menembus jumlah pemain online aktif 10 juta di seluruh dunia pada bulan Januari 2008, lebih banyak dari jumlah seluruh penduduk Singapura.

Ada gula ada semut, seperti kata pepatah, selain menarik banyak pemain online yang jika ingin bermain harus membayar biaya berlangganan dan menghabiskan banyak waktu untuk meningkatkan karakter kemampuan karakter yang dimainkannya. Ternyata hal ini juga mengundang pihak-pihak yang tidak bertanggungjawab yang ingin mencuri karakter yang dimiliki oleh pemain World of Warcraft dengan membuat virus yang berfungsi sebagai trojan dan keylogger. Dan kabar buruknya, selain mencuri data World of Warcraft, virus yang disebarkan juga memiliki aksi mencuri data account Yahoo dan Google.

Menurut pantauan Vaksincom baik dari data infeksi di komputer client dan traffic ISP yang di hentikan oleh NNP (Norman Network Protector), virus dengan nama W32/OnlineGames ini selalu menempati peringkat tinggi dalam penyebaran virus di Indonesia dan bahkan pada bulan Agustus 2009 menjadi virus nomor satu mengalahkan penyebaran virus Alman dan Conficker.

Jika anda termasuk salah satu pengguna game online maka anda perlu berhati-hati, karena telah  menyebar berbagai varian trojan game online. Anda dapat melihat statistik update trojan ini pada alamat http://www.vaksin.com/2009/0809/virus0709/stat0709.htm.

Norman mendeteksi salah satu varian trojan ini sebagai W32/OnlineGames.JGEV. (lihat gambar 1)

Gambar 1, Norman mendeteksi sebagai W32/OnlineGames.JGEV

Pencuri Informasi

Secara umum, beberapa varian trojan OnlineGames hanya digunakan untuk mencuri informasi account pemain game online yang kemudian akan dikirimkan ke link URL (Uniform Resources Locator) terenkripsi yang dituju oleh trojan tsb. Untuk W32/OnlineGames.JGEV ini bukan hanya informasi account game online, tetapi beberapa account lain yang juga ikut dicuri. Pada beberapa varian trojan sebelumnya hanya mengincar beberapa game online seperti World of Warcraft (WOW), Perfect World dan Cabal Online.  Trojan ini juga mencari beberapa account yang tercatat pada script file trojan tsb yaitu :

Worldofwarcraft.com

Woweurope.com

Battle.net

Yahoo.com

Google.com

Trojan menggunakan aktifitas keylogging yang tujuan awalnya untuk mendapatkan username dan password dari game online. Pada perkembangannya trojan juga mencari informasi yang berusaha didapatkan berdasarkan script yang mengandung string sebagai berikut :

file

complete

accountName

text

password

email

login

passwd

Email

Passwd

Tentunya akan sangat berbahaya jika yang berhasil didapatkan merupakan data penting seperti username dan password pada rekening bank, kartu kredit dan lainnya yang dicuri dan dikirimkan ke link URL pembuat trojan tsb.

Cara Penyebaran

Banyak cara yang coba dilakukan untuk menjebak korbannya untuk menjalankan trojan. Beberapa hal yang dilakukan sebagai berikut :

Posting pada forum umum, kemudian memberikan link file untuk didownload. (lihat gambar 2)

Gambar 2, Topik umum & link trojan yang diberikan untuk didownload.

Link untuk mendownload flash player, padahal yang didownload dan dijalankan adalah trojan. (biasanya dengan pop-up tertentu) lihat gambar 3.

Gambar 3, Link download trojan yang dipalsukan sebagai flash player

Posting link pada forum game sebagai FAQ (Frequently Asked Question) dari game tsb, ataupun dengan memberikan pertanyaan tentang beberapa hal pada game yang disertakan link, hingga yang membuat link tentang adanya patch terbaru pada game tertentu.

Gambar 4, Link download trojan yang dipalsukan sebagai FAQ.

Mengirim e-mail yang disertakan link ataupun attachment tertentu.

File sharing pada jaringan, biasanya berbentuk file executable/application.

File Virus

File trojan yang didownload dan dijalankan dibuat dengan menggunakan bahasa C++. Setelah link maupun attachment tersebut berhasil dijalankan oleh user (baik secara disengaja maupun tidak), maka akan membuat beberapa file pada system sebagai berikut : (lihat gambar 5)

C:\Program Files\Manson (membuat folder “Manson”)

C:\Program Files\Manson\liser.exe (60 kb)

C:\Program Files\Manson\liser.dll (24 kb)

Gambar 5, File virus yang dibuat dan aktif

Registry Windows…

Agar dapat aktif pada saat menjalankan Windows, trojan membuat string registry pada :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Kell = C:\Program Files\Manson\liser.exe

Selain itu, trojan mengubah string registry pada :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

AppInit_DLLs =  c:\progra~1\Manson\liser.dll

Cara Pembersihan Virus…

Matikan System Restore (XP/ME) (pada saat digunakan)

Matikan proses virus. Gunakan Windows Task Manager untuk mematikan proses virus. (gambar 6)

Gambar 6, Kill Process virus

Lakukan End Process pada file virus yang aktif (liser.exe)

Hapus string registry yang telah dibuat oleh virus. Untuk mempermudah dapat menggunakan script registry dibawah ini.

[Version]

Signature=”$Chicago$”

Provider=Vaksincom Oeyy

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,”””%1″” %*”

HKLM, Software\CLASSES\comfile\shell\open\command,,,”””%1″” %*”

HKLM, Software\CLASSES\exefile\shell\open\command,,,”””%1″” %*”

HKLM, Software\CLASSES\piffile\shell\open\command,,,”””%1″” %*”

HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “”%1″””

HKLM, Software\CLASSES\scrfile\shell\open\command,,,”””%1″” %*”

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs, 0

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Run, Kell

Gunakan notepad, kemudian simpan dengan nama “Repair.inf” (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan).

Hapus file virus (liser.exe & liser.dll) secara manual, yaitu pada folder “C:\Program Files\Manson” atau dapat menggunakan tools Norman Malware Cleaner. Anda dapat mendownload pada link berikut (lihat gambar 7)

http://normanasa.vo.llnwd.net/o29/public/Norman_Malware_Cleaner.exe

Gambar 7, Scan virus dengan Norman Malware Cleaner

Untuk pembersihan yang optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang ter-update dan mengenali virus ini dengan baik.

Blok Akses Trojan

Bagi anda yang tidak ingin data penting anda hilang ataupun dicuri sebaiknya jangan sampai terinfeksi trojan ini. Oleh karena itu sebaiknya hindari ekseskusi maupun instalasi pada program maupun software yang tidak anda kenal. Berhati-hati pada forum-forum tertentu yang menyediakan link-link yang mencurigakan / tidak anda yakini keabsahannya.

Khusus untuk perusahaan dengan komputer dalam jaringan yang banyak, Vaksincom menyarankan anda melakukan filter IP-IP yang mencurigakan. Hasil filtering menggunakan NNP yang dilakukan Vaksincom pada traffic ISP di Indonesia mengkonfirmasikan bahwa W32/OnlineGames merupakan ancaman yang nyata yang harus diwaspadai saat ini (lihat gambar 8)

Gambar 8, W32/OnlineGames termasuk sebagai virus yang paling banyak dihentikan oleh NNP di bulan Agustus 2009

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

%d blogger menyukai ini: