Delete W32/BitCoinMiner.B
File Trojan BitCoinMiner/BtcMine
Salah satu keunikan dari BitCoinMiner ini adalah ia akan menampilkan dirinya dalam icon-icon kotak warna-warni dan di dalam kotak tersebut akan ada huruf-huruf abjad (lihat gambar 12). Menurut perkiraan penulis, abjad tersebut merupakan cara pembuat torjan ini untuk mengidentifikasi jenis trojan BitCoinMiner yang dibuatnya. Trojan BitCoinMiner/BtcMine dibuat menggunakan bahasa pemrograman C++. Varian dari trojan ini memiliki varian yang sangat banyak dan beragam, serta memiliki ukuran yang berbeda-beda. Berikut ciri-ciri file trojan sebagai berikut :
- Memiliki ukuran beragam dari 100 kb s/d 600 kb
- Type file "Application"
- Icon file menggunakan huruf abjad yang berbeda-beda pada setiap varian
- Memiliki ekstensi "exe"
Gambar 12, File trojan BitCoinMiner/BtcMine
Saat trojan BitCoinMiner/BtcMine berhasil dijalankan, trojan akan membuat beberapa file yaitu :
- C:\Documents and Settings\[UserName]\[nama_acak].exe
- C:\Documents and Settings\[UserName]\secupdat.dat
- C:\Documents and Settings\[UserName]\Application Data\[angka_acak1].exe
- C:\Documents and Settings\[UserName]\Application Data\[angka_acak2].exe
- C:\Documents and Settings\[UserName]\Application Data\[nama_acak].exe (file trojan BitCoinMiner/BtcMine)
- C:\Documents and Settings\[UserName]\Application Data\data.dat
- C:\WINDOWS\system32\secupdat.dat
File [angka_acak1].exe dan [angka_acak2].exe merupakan file Winrar SFX archive yang saat dijalankan akan meng-extract file malware lain yaitu : (lihat gambar 13)
- C:\Documents and Settings\[UserName]\Start Menu\Programs\Startup\hahahahaha.exe
Gambar 13, File trojan BitCoinMiner/BtcMine
File "hahahahaha.exe" tersebut jika dijalankan akan meng-ekstrak file malware lain juga yaitu :
- C:\Documents and Settings\[UserName]\Local Settings\Temp\abc\[nama_acak].cmd / [nama_acak].bat
- C:\Documents and Settings\[UserName]\Local Settings\Temp\abc\hstart.exe / hsbc.exe
- C:\Documents and Settings\[UserName]\Local Settings\Temp\abc\mamita.exe / taskmgr.exe / svchoost.exe
Selain itu trojan juga akan berusaha mendownload file malware lain yang baru yaitu :
- C:\Documents and Settings\[UserName]\Application Data\[angka_acak_baru].exe
File [angka_acak_baru].exe tersebut jika dijalankan akan mengekstrak beberapa file yaitu :
- C:\Documents and Settings\[UserName]\Local Settings\Temp\abcd\[nama_acak].cmd / [nama_acak].bat
- C:\Documents and Settings\[UserName]\Local Settings\Temp\abcd\hstart.exe / hsbc.exe
- C:\Documents and Settings\[UserName]\Local Settings\Temp\abcd\cgminer.exe
- C:\Documents and Settings\[UserName]\Local Settings\Temp\abcd\libcurl-4.dll
- C:\Documents and Settings\[UserName]\Local Settings\Temp\abcd\pthreadGC2-w32.dll
- C:\Documents and Settings\[UserName]\Local Settings\Temp\abcd\phatk110722.cl
- C:\Documents and Settings\[UserName]\Local Settings\Temp\abcd\poclbm110717.cl
Untuk file hstart.exe atau hsbc.exe merupakan sebuah aplikasi yang digunakan untuk menyembunyikan script file [nama_acak].cmd atau [nama_acak].bat dari tampilan layar menjadi aktif dan berjalan di background. (lihat gambar 14)
Gambar 14, File Hstart.exe (Hidden Start)
Sedangkan file mamita.exe, svchoost.exe, taskmgr.exe, dan cgminer.exe merupakan file eksekusi yang digunakan untuk melakukan koneksi ke server BitCoin menggunakan user dan password pemilik trojan. Melalui file inilah komputer pengguna yang sudah terinfeksi digunakan untuk memecahkan blok-blok kriptografi dari BitCoin secara terus menerus, sehingga menyebabkan CPU meningkat 100% dan bandwith internet menjadi boros. Jika anda menggunakan internet dengan bandwidth base, hal ini dapat mengakibatkan membengkaknya tagihan internet anda. Cgminer.exe sendiri memiliki beberapa file yang disertakan agar dapat berjalan normal yaitu : libcurl-4.dll, pthreadGC2-w32.dll, phatk110722.cl, poclbm110717.cl. (lihat gambar 15)
Gambar 15, File Cgminer.exe melakukan koneksi ke server BitCoin dan mencoba memecahkan blok-blok BitCoin
Selain itu pada USB / removable disk akan membuat beberapa file yaitu :
- [nama_folder].lnk (tergantung banyak-nya jumlah folder pada USB / removable disk
- RECYCLER\Desktop.ini
- RECYCLER\[acak].exe (file trojan BitCoinMiner/BtcMine)
Modifikasi Registri
Beberapa modifikasi registri yang dilakukan oleh trojan BitCoinMiner/BtcMine antara lain sebagai berikut :
- Menambah Registri
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
MSConfig = C:\Documents and Settings\[UserName]\[nama_acak].exe
[nama_acak] = C:\ Documents and Settings\[UserName]\Application Data\[nama_acak].exe
HKEY_CURRENT_USER\Software\WinRAR SFX
C%%Documents and Settings%%UserName%%Start Menu%Programs%Startup = C:\Documents and Settings\[UserName]\Start Menu\Programs\Startup
C%%DOCUME~1%%UserName%%LOCALS~1%Temp%abc = C:\Documents and Settings\[UserName]\Local Settings\Temp\abc
- Mengubah Registry
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit = C:\WINDOWS\System32\userinit.exe
Metode Penyebaran
Beberapa cara trojan BitCoinMiner/BtcMine melakukan penyebaran yaitu sebagai berikut :
- USB / Removable drive
Metode ini adalah metode yang umum dilakukan oleh para pengguna komputer. Trojan membuat beberapa file agar menginfeksi komputer yaitu :
- [nama_folder].lnk (tergantung banyak-nya jumlah folder pada USB / removable disk
- RECYCLER\Desktop.ini
- RECYCLER\[acak].exe (file trojan BitCoinMiner/BtcMine)
Agar dapat langsung aktif saat menghubungkan USB / Removable drive, trojan BitCoinMiner/BtcMine memanfaatkan celah keamanan Windows yaitu MS10-046 (Windows Icon handler) /LNK yang membuat file shortcut/LNK dari trojan akan dapat aktif saat kita mengakses drive tersebut. (lihat gambar 16)
Gambar 16, Trojan BitCoinMiner/BtcMine pada USB / Removable drive
- Internet
Selain menggunakan media USB / Removable drive, trojan BitCoinMiner/BtcMine menyebar melalui media internet (baik melalui e-mail mapun saat akses/browsing internet). Umumnya trojan BitCoinMiner/BtcMine bisa menyebar melalui link-link yang ada pada e-mail, atau link pop-up pada browser pada website-website yang berhasil disusupi malware oleh pembuat trojan BitCoinMiner/BtcMine.
Pembersihan trojan BitCoinMiner/BtcMine
- Putuskan koneksi jaringan/internet.
- Lakukan pembersihan trojan pada mode "safe mode".
Lakukan langkah-langkah berikut :
- Restart komputer (jika dalam keadaan mati tinggal tekan tombol power)
- Saat akan booting tekan tombol F8 pada keyboard secara secara terus menerus hingga muncul layar "Safe Mode" (lihat gambar 17)
Gambar 17, Mode "Safe Mode"
- Pilih mode "Safe Mode", dan klik [Enter]
- Biarkan berjalan hingga masuk menu Login Windows.
- Matikan dan hapus trojan BitCoinMiner/BtcMine.
Lakukan langkah-langkah berikut :
- Download removal tools (pada komputer yang bersih) untuk membersihkan trojan BitCoinMiner/BtcMine pada komputer yang belum terinfeksi pada link berikut : (lihat gambar 18)
Dr.Web Cure-It!
Click here --->>> http://www.freedrweb.com/download+cureit/?nc=t&lng=en
Norman Malware Cleaner
Gambar 18, Dr.Web CureIt! Mendeteksi trojan BitCoinMiner/BtcMine
- Setelah selesai, kompres file tersebut hingga menjadi file zip.
- Copy file tersebut dan letakkan dimana saja pada komputer yang terinfeksi.
- Klik kanan file zip tersebut, kemudian klik explore.
- Klik 2x file yang sudah di-explore tersebut untuk menjalankan, kemudian klik Run.
- Jika sudah muncul jendela Dr.Web CureIt, klik OK untuk menjalankan dalam mode EPM (Enhanced Protection Mode).
- Klik Start untuk memulai Scan, dan klik Yes untuk memulai.
- Biarkan hingga proses scan selesai.
- Repair registri yang telah dimodifikasi.
Lakukan langkah-langkah berikut :
- Salin script dibawah ini dengan notepad :
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, ShowSuperHidden,0x00010001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, SuperHidden,0x00010001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, HideFileExt,0x00010001,0
HKLM, SOFTWARE\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell, 0, "Explorer.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit, 0, C:\WINDOWS\System32\userinit.exe[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, MSConfig
HKCU, Software\WinRAR SFX
- Simpan file dengan nama "repair.inf". Gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan.
- Klik kanan file "repair.inf", kemudian pilih "install".
- Restart komputer.
- Bersihkan temporary file dari jejak trojan BitCoinMiner/BtcMine.
Lakukan langkah-langkah berikut :
- Klik Menu Start -> Run
- Ketik perintah pada kotak open : cleanmgr , kemudian klik OK.
- Pada drive system (C) klik OK, biarkan proses scan drive.
- Setelah muncul jendela Disk Cleanup, beri tanda file yang akan di hapus (terutama Temporary Files), kemudian klik OK.
- Tunggu hingga selesai.
- Install security patch MS10-046 sesuai dengan versi windows yang anda miliki. Silahkan download pada link berikut :
- Untuk pembersihan yang optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang ter-update dan mengenali trojan BitCoinMiner/BtcMine dengan baik.(vaksincom)
0 comments:
Posting Komentar