Waspada Malware Yang Menyamar Game

Waspada Malware Yang Menyamar Game - Tondano Dan Ajakan Malware Bermain Poker, yaa ini adalah penting untuk anda yang gemar bermain game poker, harus waspada terhadap serangan malware yang kini banyak menyerupai game tersebut.

Teknik Social Engineering Pembuat Malware

Teknik social engineering sering digunakan oleh pembuat malware agar pengguna terjebak menjalankan file yang terlihat menarik, seperti Worm Tondano yang membuat file dengan nama "Free Chip Poker.exe". Jika dijalankan dan malware aktif pada sistem komputer, relatif cukup sulit untuk membersihkannya, karena worm ini memiliki beberapa teknik pertahanan yang berusaha mencegah upaya pembersihan secara manual maupun dengan menggunakan antivirus.

Dalam artikel ini akan menjelaskan bagaimana sepak terjang worm ini, dan menunjukan trik untuk membuka pertahanan, yang mungkin juga dapat digunakan untuk mengatasi worm lain yang menggunakan teknik serupa.

Saat Warm Tondano Aktif

Worm Tondano berukuran sekitar 41 KB, dibuat dengan bahasa pemograman Visula Basic, dan di Pack dengan PECompact. ia akan menampilkan sebuah form putih bertuliskan "Welcome In Tondano Poker Chip Free HHA...HA..Ha..." dan biasanya kurosor menggambarkan icon tengkorak saat cursor mouse berada di dalam form.

Icon pada dekstop maupun pada system tray dibuat tidak terlihat, sebuah file dengan nama "Pesan.txt" dan startup.txt" akan diciptakan oleh worm dan berisi teks berikut ini :

Worm Tondano juga membuat folder dengan mana "Tondano" pada setiap drive (termasuk removable disk) yang berisi duplikat worm dengan nama "Poker.exe". File ini akan dieksekusi melalui file Autorun.inf yang diciptakan, selain duplikat worm juga diciptakan dengan nama dan folder, antara lain :

C:\Tondano.exe

C:\WINDOWS\system32\IExplore.exe

C:\WINDOWS\system32\shell.exe

C:\WINDOWS\system32\smsx.scr

C:\ WINDOWS\Tondano.exe

Agar dapat berjalan otomatis saat startup Windows, ia juga meng=copy-kan diri ke folder Startup :

C:\Documents and settings\all user\start menu\programs\startup\empty.pif

Worm Tondano dapat membuat banyak duplikat worm dengan mengikuti nama file yang ditemui diikuti dengan spasi, misalnya "PCMAV.exe" tidak hanya satu file, tetapi dapat mencapai puluhan file yang hanya dibedakan dari jumlah spasi. File lain dengan ekstensi lain seperti *.mp3, *.xls, hingga nama folder juga tidak luput dari incaran worm yang menduplikasikan diri berdasarkan nama-nama tersebut.

Jika komputer telah terinfeksi worm tondano, konfigurasi Folder Options akan dibuat tidak menampilkan file yang ter- hidden, dan tidak menampilkan extension file. Payload lain yang ditimbulkannya, saat anda menutup Windows Explorer/ internet explorer, akan tampil pesan : "this operation has been cancelled due to restrictions in effect on this computer, please contact your system administartor".

Pertahanan Diri Worm Tondano

Worm Tondano memiliki beberapa teknik pertahanan, misalnya mengaktifkan cukup banyak proses worm di memory, memblok Task Manager, Regedit, Command Prompt, dan aplikasi/tools tertentu, akan melakukan shutdown jika anda mengakses folder tertentu (antara lain folder Windows) klik kanan pada windows explorese juga dibuat menjadi tidak berfungsi.

Selain file-file Windows, file dengan ekstensi berikut ini akan di blok oleh worm tondano :

• Batfile
• Comfile
• Exefile
• Lnkfile
• Piffile

Beberapa manipulasi registry yang dilakukan worm, antara lain meliputi pengaturan-pengaturan sebagai berikut :

• NoControlPanel
• NoCommonGroups
• NoPropertiesMyComputer
• NoManageMyComputer
• NoRunsAs
• NoExpendedNewMenu
• NoToolbarCustomize
• NoFileURL
• NotrayItemsDisplay
• NoViewContextMenu
• NoDekstop
• NoStartMenuMoreProgram
• DisableMCD
• NoVirtMemPage
• NoDispCPL
• DisableRegistryTools
• SystemRestore

Pemanggilan PCMAV Dengan Cara Lain

Jika worm ini terlanjur menginfeksi sistem komputer dan anda dibuat pusing dengan pertahanan worm, ikuti cara berikut ini.

Sediakan sebuah flash disk yang berisis PCMAV terbaru, tetapi ganti nama PCMAV.exe menjadi sebuah nama acak, misalnya XYZ.exe. ingat bahwa eksekusi PCMAV (walau telah diubah nama file-nya) ataupun tool lainnya dengan menjalankan file executable akan digagalkan oleh worm, maka anda perlu membuat file batch sederhana yang mengeksekusi PCMAV.

Anda dapat membuatnya dengan cara memanggil Windows Explores, lalu pilih menu file-new-tek document, klik danda dan file teks yang bercipta sehingga tampil Notepad. Ketikan perintah dibawah ini :

@echo off

xyz.exe /NORTP

Pilih menu file - save as, dan simpan pada folder yang sama dengan XYZ.exe (file PCMAV.exe yang sudah di ubah) dengan nama *.cmd, misalnya clean.cmd ekstensi *.bat hindari karena worm juga men-disable pemanggilan file *.bat.

Parameter /NORTP digunakan sebagai opsi agar PCMAV tidak mengaktifkan RealTime Protector, dan hanya berfungsi sebagai scanner untuk pembersihan ini. pasang falsh disk tersebut pada sistem komputer yang terinfeksi, klik ganda pada clean.cmd, dan bersihkan worm tondano dari memory drive anda, yang mungkin sudah menyebar hingga ribuan file.

Baca Juga Cara Mesin Google Menjawab Pertanyaan Di Seluruh Dunia

Kesimpulan

Untuk anda yang hobi dengan main game, harap selalu waspada dengan malware yang makin hari makin canggih dalam menyusup, semoga artikel tentang malware yang menyamar game ini dapat membantu anda mengamankan perangkat anda seaman mungkin sebelum walmare menyerang perangkat anda.

Baca Juga 10 Tools Sysinternal Pengelola Sistem

Share this post

Related Posts