Beredar kabar bahwa bot WQ di prefect world terindikasi Trojan.. dalam hal ini saya akan mencoba melakukan analisa terhadap 2 tool yang sering di gunakan oleh pemain PW tersebut.
Sekarang kita coba analisa terhadap Bot wq nya..
Kali ini saya membuka 4 buah client ( 3 PW biasa, dan 1 Bot oracle )
Pertama saya akan buka bot wq dan oraclenya terlebih dahulu
Bisa anda netstat, hasil netstat saya adalah :
Buat informasi saja. Terlihat port yang di tuju adalah 29000 dan 80. Seharusnya Game Online hanya menggunakan port 29000 bukan port 80. Kalau mau coba jangan melakukan browsing apapun dan hanya buka PW.
Lalu saya akan melakukan analisa koneksi keluar masuk dan hasilnya adalah :
Di sana terlihat pada network activity terdapat 9 buah client dan pada TCP Connections terdapat 5 buah element client. Sebenarnya saya hanya buka 4 buah element clinet. Lalu dari mana datangnya ?
Kenapa address pada Network Activity yang 5 element client tertulis “H4nk-System” karena IP nya sudah saya forward ke Localhost. Dan IP 89.105.32.11 juga saya masukan daftar list Localhost saya.
Kenapa saya melakukan hal tersebut, jika emang benar Oracle sama WQ bot terindikasi Trojan maka semua ID dan password yang di gunakan oracle akan di kirimkan ke server mereka untuk menampung data ID dan Pass. Kalau begitu IP mereka saya forward ke Localhost jadi data yang terkirim hanya ke localhost bukan ke Server mereka. Jadi untuk hal ini masih aman menggunakan teknik forward IP tersebut.
Untuk melakukan forward Ip tersebut bisa di lihat di sini :
Jika ada yang di ragukan atau salah mohon di maafkan pertanyaan silahkan tinggalkan komentar . Sebelumnya ucapkan terima kasih
KALAU GAMBAR KURANG JELAS KLIK GAMBAR 2 kali
Indikasi IP adalah :
149.6.116.22
89.105.32.11
65.197.197.83
65.54.82.157
168.143.172.52:443
74.125.235.50:443
semoga bermanfaat dan masukan bagi anda...
jadi bot ga masalh kan h3nk
BalasHapusada trojannya pada bot oracle..
BalasHapus