Khasanah Islam

[Malware Info]BitCoinMiner, Sentinel Primenya malware menyedot bandwidth anda

Gbr illustrasi


Pernahkah Anda mendengar sebuah mata uang digital ? Jika pernah tentu-nya akan familiar dengan nama-nama seperti BitCoin, e-Gold, Liberty, e-Bullion, Pecunix dan lain-lain yang sering digunakan untuk membeli barang-barang secara online. Sama dengan dunia nyata, semua orang berlomba-lomba mencari uang, baik cara yang legal maupun cara ilegal.

Salah satu mata uang digital yang cukup nge-trend adalah BitCoin yang dibuat sejak tahun 2009 dan dikenal sebagai mata uang peer-to-peer. Dengan peer-to-peer, maka tidak ada otoritas pusat yang mengeluarkan uang baru atau melihat transaksi yang berjalan. Semua proses dilakukan dan di kontrol secara kolektif dalam jaringan. Anda dapat melihat informasi lebih lengkap mengenai BitCoin pada wiki dan website-nya.

Selain berfungsi sebagai mata uang digital, BitCoin memiliki salah satu program yang disebut BitCoin Mining, yang merupakan salah satu solusi bisnis yang ditawarkan pengembang BitCoin kepada seluruh pengguna BitCoin. BitCoin Mining merupakan cara untuk menghasilkan blok-blok BitCoin untuk digunakan pada Block Chain. Block Chain sendiri adalah sebuah database transaksi yang dimiliki oleh semua node/titik pada jaringan BitCoin yang berpartisipasi dalam proses transaksi dan verifikasi mata uang digital BitCoin. Untuk menghasilkan blok-blok BitCoin tidak lah mudah, karena harus memecahkan angka-angka yang sudah ter-kriptografi/enkripsi dan juga membutuhkan waktu dan sumber daya (CPU resources) yang cukup. Jika berhasil, maka akan mendapatkan hadiah sebesar 50 BitCoins per blok. Pada Juli 2011, sudah beredar sekitar 6,9 juta BitCoins. Dengan perdagangan mata uang BitCoins yang mendekati harga $20 dolar, BitCoin Mining terlihat sebagai salah satu cara untuk mendapatkan uang yang banyak. Dan tentu-nya hal ini pun disadari oleh para penjahat dunia maya yang akan berpikir sama seperti itu.

Salah satu yang juga digunakan bagi para penjahat dunia maya yaitu dengan mengirim sebuah trojan/backdoor yang memiliki kemampuan mencatat data aktif pengguna BitCoin seperti user name dan password, yang kemudian data tersebut akan dikirim kembali ke pengirim tersebut. Selain itu komputer yang sudah terinfeksi trojan pun dijadikan sebagai alat bagi pengirim tersebut untuk ikut memecahkan blok-blok kriptografik BitCoin menggunakan akun BitCoin dari si pemilik trojan tersebut. Dan salah satu trojan yang dapat melakukan aksi tersebut yaitu trojan BitCoinMiner/BtcMine. Dan hingga saat ini, tercatat sudah puluhan varian BitCoinMiner/BtcMine yang menyerang pengguna komputer. Motivasi finansial ini jelas menjadi motivator yang kuat bagi pengembang trojan untuk membuat dan mengembangkan malware bitcoin ini.

Bagi anda yang para pengguna komputer di Indonesia, harap berhati-hati karena sejak pertengahan Juni hingga saat ini banyak pengguna komputer yang sudah terinfeksi oleh serangan trojan ini, dan salah satu varian baru yang terdeteksi yaitu W32/BitCoinMiner.B (Trojan.BtcMine.11) (lihat gambar 1). Kabar buruknya adalah, Trojan ini termasuk sulit dibersihkan dan jika komputer anda terinfeksi Trojan ini, anda perlu menggunakan Safe Mode untuk membersihkannya.
http://vaksin.com/2011/0811/bitcoin/BitCoinMiner1_html_m49353fa.jpg
Gambar 1, Norman mendeteksi varian W32/BitCoinMiner.B (Trojan.BtcMine.11)

Keluarga ZBOT : Pencuri data pribadi
Keluarga ZBOT merupakan salah satu kelompok trojan/backdoor yang dirancang untuk mencuri informasi/data dari pengguna komputer terutama hal-hal yang berhubungan dengan data pribadi keuangan khususnya yang berhubungan dengan Internet Banking.

Sedangkan varian trojan BitCoinMiner/BtcMine merupakan salah satu varian dari ZBOT yang muncul sejak pertengahan Juni 2011. Varian ini juga memiliki kemampuan mencatat informasi/data yang berhubungan dengan data pribadi seperti username, password, data kartu kredit dan lain-lain. Selain itu komputer yang sudah terinfeksi trojan pun dijadikan sebagai alat bagi pengirim tersebut untuk ikut memecahkan blok-blok kriptografi BitCoin menggunakan akun BitCoin dari si pemilik trojan tersebut demi keuntungan pembuat trojan.

Trojan BitCoinMiner/BtcMine merupakan salah satu trojan yang telah di modifikasi oleh pembuat malware dengan tujuan yang baru (mendapatkan uang dari BitCoin). Trojan ini memiliki kemiripan (atau mungkin merupakan bagian) dengan kelompok malware YM (ChyMine/YiMfoca, yang identik menyebar menggunakan akun YM, Skype, Gtalk, dan lain-lain) karena memiliki file dan lokasi yang sama persis dengan malware YM.

Manfaatkan Celah Keamanan dari Windows (tren shortcut)
Tampaknya, trend shortcut sudah menjadi kiblat baru bagi para pembuat malware untuk melancarkan aksinya untuk menginfeksi pengguna komputer dengan mudah (khusus-nya pengguna Windows). Dengan memanfaatkan celah keamanan pada Windows yaitu Windows Shell Icon Handler / LNK (MS10-046), maka trojan BitCoinMiner/BtcMine dapat dengan mudah masuk dan menginfeksi komputer serta melakukan penyebaran dengan cepat.

Gejala & Efek Trojan BitCoinMiner/BtcMine
Beberapa gejala yang terjadi jika anda sudah terinfeksi yaitu :

  • CPU 100%
Sama seperti pendahulu-nya, trojan BitCoinMiner/BtcMine juga akan menggunakan CPU resource anda menjadi 100%, dan hal ini karena aktivitas dari trojan yang berusaha menembus kriptografi blok BitCoin dan mencoba aktif terus untuk melakukan pengiriman data. (lihat gambar 2)
Gambar 2, Proses trojan yang aktif hingga CPU menjadi 100%

  • Boros Bandwith
Dengan sering-nya melakukan aktivitas kriptografi yang menggunakan sumber daya dari komputer (CPU resource) tentunya akan membuat penggunaan CPU menjadi 100 %. Tetapi dibalik itu perlu diperhatikan dari aktivitas penggunaan bandwith internet, karena akibat dari trojan BitCoinMiner/BtcMine justru membuat bandwith anda menjadi boros. Sering-nya melakukan pengiriman kriptografi ke server BitCoin selama komputer terhubung internet, akan membuat status pada LAN Card anda berbeda dengan komputer lain dimana pada umumnya paket receive (download) akan jauh lebih besar daripada sent (upload) tetapi untuk komputer terinfeksi virus ini akan mengakibatkan paket sent (upload) lebih besar dari receive (download) (lihat gambar 3). Hal ini perlu menjadi perhatian anda khususnya yang menggunakan koneksi internet yang dihitung berdasarkan bandwidth yang anda gunakan.
Gambar 3, Paket "sent" lebih besar dari "receive"

  • Menyembunyikan drive USB / removable disk
    Agar tidak mudah dilakukan pembersihan dari antivirus atau removal tools, trojan BitCoinMiner/BtcMine menyembunyikan drive USB / removable disk pada Windows Explorer. Walaupun coba di akses melalui Computer Management, tetapi drive akan hilang kembali. (lihat gambar 4)
http://vaksin.com/2011/0811/bitcoin/BitCoinMiner1_html_7b50a46e.jpg
Gambar 4, Trojan menyembunyikan drive USB / removable disk

  • Menyembunyikan folder pada drive USB / removable disk
    Jika sebelumnya trojan BitCoinMiner/BtcMine telah berhasil menyembunyikan USB / removable disk pada komputer yang terinfeksi, maka sebenarnya folder-folder pada USB / removable disk tersebutpun telah berhasil disembunyikan dan dipalsukan dengan membuat sebuah shortcut yang mirip nama folder tersebut. Sepertinya trik shortcut juga menginspirasi trojan ini. (lihat gambar 5)
http://vaksin.com/2011/0811/bitcoin/BitCoinMiner1_html_m5cd3c649.jpg
Gambar 5, Trojan menyembunyikan folder pada drive USB / removable disk

  • Berjalan-nya aplikasi Command Prompt pada Task Manager
    Muncul secara terus menerus aplikasi Command Prompt yang tersembunyi pada Windows Task Manager. (lihat gambar 6)
Gambar 6, File Command Prompt yang berjalan pada Windows Task Manager


Aplikasi Command Prompt yang berjalan ternyata menjalankan script file cmd/bat dari trojan BitCoinMiner/BtcMine yang memiliki perintah sebagai berikut : (lihat gambar 7)
Gambar 7, Isi script file cmd/bat dari trojan BitCoinMiner/BtcMine

  • Melakukan koneksi ke Server BitCoin
Trojan BitCoinMiner/BtcMine berusaha melakukan koneksi ke Server BitCoin untuk melakukan pengiriman kriptografi blok-blok BitCoin menggunakan akun pembuat malware pada BitCoin. Dengan cara tersebut, maka pembuat malware diuntungkan karena dapat dengan cepat dan mudah melakukan kriptografi blok-blok BitCoin melalui bantuan komputer-komputer yang sudah terinfeksi. Koneksi ke server BitCoin dilakukan pada IP dan host berikut :

host http://b.mobinil.biz sendiri merupakan nama lain dari server BitCoin BTCGuild (http://www.btcguild.com) yang memiliki beberapa IP yaitu :
  • 46.4.116.147
  • 46.4.123.12
  • 69.42.216.173
  • 108.60.208.157

  • Melakukan koneksi ke IRC/Remote Server
Trojan BitCoinMiner/BtcMine berusaha melakukan koneksi ke IRC/Remote Server untuk melakukan pengiriman informasi BitCoin pengguna komputer yang dibutuhkan oleh pembuat malware. Koneksi ke IRC server dilakukan pada IP dan host berikut :

Dengan menggunakan user yang acak dan password "ngrBot", trojan BitCoinMiner/BtcMine melakukan koneksi ke Remote Server dengan mudah dan pengiriman informasi berjalan dengan lancar. (lihat gambar 8)
Gambar 8, Koneksi trojan BitCoinMiner/BtcMine meng-akses Remote Server

Hebat-nya, untuk melakukan hal tersebut trojan BitCoinMiner/BtcMine menggunakan bantuan dari Windows Explorer (dengan kata lain menumpang/mendompleng aplikasi tersebut). (lihat gambar 9)
Gambar 9, Trojan BitCoinMiner/BtcMine melakukan koneksi via Windows Explorer

  • Mendownload file malware
Ibarat Sentinel Prime yang menggunakan teleport dalam rangka mengundang bangsa robot menaklukkan bumi, trojan BitCoinMiner/BtcMine juga melakukan download beberapa file malware tertentu dari IRC/Remote Server agar tetap terupdate dan tidak mudah dikenali oleh antivirus. File malware yang berbeda-beda inilah yang kadang membuat antivirus sulit mendeteksi keberadaan trojan BitCoinMiner/BtcMine. Umumnya link download yang digunakan adalah sebagai berikut : (lihat gambar 10)
  • http://[acak1].fileave.com/[acak1].exe (file malware baru yang sudah ter-update)
  • http://[acak2].fileave.com/[acak2].exe
  • http://[acak3].fileave.com/[acak3].exe

Gambar 10, Trojan BitCoinMiner/BtcMine mendownload file malware lain

  • Mendownload file Certificate Authority (CA)
Pada dasarnya, Certificate Authority (CA) digunakan pada transaksi pembayaran online seperti bank, paypal, dan ribuan situs lain yang menggunakan protokol SSL. Dengan mendownload file CA, pembuat malware ingin memastikan bahwa komputer korban yang terinfeksi sudah memiliki CA yang terupdate sehingga dapat melakukan transaksi BitCoin yang sah (seperti mengirim poin BitCoin yang sudah didapat oleh komputer korban ke pemilik trojan, dan sebagainya). Trojan BitCoinMiner/BtcMine mendownload Certificate Authority (CA) pada link berikut :

  • Melakukan transfer data yang telah didapatkan
    Tujuan utama dari trojan BitCoinMiner/BtcMine adalah mendapatkan informasi dari pengguna komputer yang sudah terinfeksi. Untuk melakukan hal tersebut, trojan BitCoinMiner/BtcMine mengirimkan informasi kepada beberapa IP/hostname berikut : (lihat gambar 11)
Gambar 11, Transfer data dari dan ke komputer korban

  • Membuka berbagai port
    Trojan BitCoinMiner/BtcMine juga membuka berbagai port pada komputer korban agar dapat dengan mudah terkoneksi oleh IRC/Remote Server, serta melakukan berbagai aksi dengan leluasa. Beberapa port yang teridentifikasi yaitu sebagai berikut :
  • 80, 443, 1056, 1059, 3211, 3212, 3333, 4949, 5900, 8332

Tidak tertutup kemungkinan port-port lain pun akan digunakan oleh BitCoinMiner/BtcMine.

0 comments:

Posting Komentar

Share

Planetcopas