24 August 2011

Awas!!! Virus Baru 'BitCoin'

Jakarta - Virus BitCoin Miner yang membuat penciptanya bak memiliki tambang uang mulai terdeteksi di Indonesia. Berikut adalah ciri-ciri komputer yang terjangkit program jahat tersebut.

CPU 100%
Sama seperti pendahulu-nya, trojan BitCoinMiner/BtcMine juga akan menggunakan CPU resource anda menjadi 100%, dan hal ini karena aktivitas dari trojan yang berusaha menembus kriptografi blok BitCoin dan mencoba aktif terus untuk melakukan pengiriman data. 

Boros Bandwith
Dengan seringnya melakukan aktivitas kriptografi yang menggunakan sumber daya dari komputer (CPU resource) tentunya akan membuat penggunaan CPU menjadi 100%. Tetapi di balik itu perlu diperhatikan dari aktivitas penggunaan bandwith internet, karena akibat dari trojan BitCoinMiner/BtcMine justru membuat bandwith anda menjadi boros. 

Seringnya melakukan pengiriman kriptografi ke server BitCoin selama komputer terhubung internet, akan membuat status pada LAN Card anda berbeda dengan komputer lain dimana pada umumnya paket receive (download) akan jauh lebih besar daripada sent (upload) tetapi untuk komputer terinfeksi virus ini akan mengakibatkan paket sent (upload) lebih besar dari receive (download) (lihat gambar 3). 

Hal ini perlu menjadi perhatian anda khususnya yang menggunakan koneksi internet yang dihitung berdasarkan bandwidth yang anda gunakan.

Menyembunyikan drive USB / removable disk
Agar tidak mudah dilakukan pembersihan dari antivirus atau removal tools, trojan BitCoinMiner/BtcMine menyembunyikan drive USB / removable disk pada Windows Explorer. Walaupun coba di akses melalui Computer Management, tetapi drive akan hilang kembali.



Menyembunyikan folder pada drive USB / removable disk
Jika sebelumnya trojan BitCoinMiner/BtcMine telah berhasil menyembunyikan USB / removable disk pada komputer yang terinfeksi, maka sebenarnya folder-folder pada USB / removable disk tersebutpun telah berhasil disembunyikan dan dipalsukan dengan membuat sebuah shortcut yang mirip nama folder tersebut. Sepertinya trik shortcut juga menginspirasi trojan ini.



Berjalannya aplikasi Command Prompt pada Task Manager
Muncul secara terus menerus aplikasi Command Prompt yang tersembunyi pada Windows Task Manager



Melakukan koneksi ke Server BitCoin
Trojan BitCoinMiner/BtcMine berusaha melakukan koneksi ke Server BitCoin untuk melakukan pengiriman kriptografi blok-blok BitCoin menggunakan akun pembuat malware pada BitCoin. 

Dengan cara tersebut, maka pembuat malware diuntungkan karena dapat dengan cepat dan mudah melakukan kriptografi blok-blok BitCoin melalui bantuan komputer-komputer yang sudah terinfeksi. Koneksi ke server BitCoin dilakukan pada IP dan host berikut :

http://b.mobinil.biz:8332/

host http://b.mobinil.biz sendiri merupakan nama lain dari server BitCoin BTCGuild (http://www.btcguild.com) yang memiliki beberapa IP yaitu :



  • 46.4.116.147
  • 46.4.123.12
  • 69.42.216.173
  • 108.60.208.157

Melakukan koneksi ke IRC/Remote Server
Trojan BitCoinMiner/BtcMine berusaha melakukan koneksi ke IRC/Remote Server untuk melakukan pengiriman informasi BitCoin pengguna komputer yang dibutuhkan oleh pembuat malware. Koneksi ke IRC server dilakukan pada IP dan host berikut :


  • http://92.243.1.61:3212/
  • http://92.243.1.63:3212/
  • http://92.243.4.133:5900/
  • http://92.243.9.86:3211/
  • http://92.243.9.86:3212/
  • http://92.243.9.86:3333/
  • http://92.243.9.86:4949/
Dengan menggunakan user yang acak dan password 'ngrBot', trojan BitCoinMiner/BtcMine melakukan koneksi ke Remote Server dengan mudah dan pengiriman informasi berjalan dengan lancar. 



Hebatnya, untuk melakukan hal tersebut trojan BitCoinMiner/BtcMine menggunakan bantuan dari Windows Explorer (dengan kata lain menumpang/mendompleng aplikasi tersebut)

Mengunduh file malware
Ibarat Sentinel Prime yang menggunakan teleport dalam rangka mengundang bangsa robot menaklukkan bumi, trojan BitCoinMiner/BtcMine juga melakukan download beberapa file malware tertentu dari IRC/Remote Server agar tetap terupdate dan tidak mudah dikenali oleh antivirus.



File malware yang berbeda-beda inilah yang kadang membuat antivirus sulit mendeteksi keberadaan trojan BitCoinMiner/BtcMine. Umumnya link download yang digunakan adalah sebagai berikut : 

http://[acak1].fileave.com/[acak1].exe (file malware baru yang sudah ter-update)
http://[acak2].fileave.com/[acak2].exe
http://[acak3].fileave.com/[acak3].exe

Mengunduh file Certificate Authority (CA)
Pada dasarnya, Certificate Authority (CA) digunakan pada transaksi pembayaran online seperti bank, paypal, dan ribuan situs lain yang menggunakan protokol SSL.

Dengan mendownload file CA, pembuat malware ingin memastikan bahwa komputer korban yang terinfeksi sudah memiliki CA yang terupdate sehingga dapat melakukan transaksi BitCoin yang sah (seperti mengirim poin BitCoin yang sudah didapat oleh komputer korban ke pemilik trojan, dan sebagainya). Trojan BitCoinMiner/BtcMine mengunduh Certificate Authority (CA) pada link berikut :

http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab

http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt

Melakukan transfer data yang telah didapatkan
Tujuan utama dari trojan BitCoinMiner/BtcMine adalah mendapatkan informasi dari pengguna komputer yang sudah terinfeksi. Untuk melakukan hal tersebut, trojan BitCoinMiner/BtcMine mengirimkan informasi kepada beberapa IP/hostname berikut : 



http://api.wipmania.com/ atau http://213.251.170.52 (informasi IP komputer yang terinfeksi)

https://216.246.8.230:443 (transfer BitCoin via SSL)

http://67.228.81.181/ atau http://195.122.131.7/ (menyimpan informasi pada media server yang sudah tersedia)

Membuka berbagai port
Trojan BitCoinMiner/BtcMine juga membuka berbagai port pada komputer korban agar dapat dengan mudah terkoneksi oleh IRC/Remote Server, serta melakukan berbagai aksi dengan leluasa. Beberapa port yang teridentifikasi yaitu sebagai berikut :

80, 443, 1056, 1059, 3211, 3212, 3333, 4949, 5900, 8332

Tidak tertutup kemungkinan port-port lain pun akan digunakan oleh BitCoinMiner/BtcMine.

Source : DetikNet

No comments:

Post a Comment