Thanks For vaksin.com ==> 6 Desember 2011
Salah satu nya malware yang menyebar pada awal bulan ini yang terdeteksi oleh PT. Vaksincom sebagai Trojan.Generic.KD.440xxx atau W32.Dorkbot.Bx. (lihat gambar 1)
Gambar 1, Dorkbot
terdeteksi oleh Gdata Antivirus
Jika
sebelumnya
pernah menyebar varian trojan BitCoinMiner
dan trojan Kolab,
maka varian ini merupakan "jelmaan baru"
dari trojan BitCoinMiner
yang menggunakan metode trojan Kolab.
Entah apakah merupakan sebuah "merger"
antara pembuat malware atau justru sebuah
ide kreasi dan inovasi terbaru dari
pembuat malware. Artikel BitCoinMiner
pernah dibahas oleh Vaksincom pada part1
dan part2.
Begitu juga untuk artikel Kolab pada part1
dan part2.
DorkBot.Bx, keluarga ZBOT pencuri
data dan pengirim pesan
Umumnya
malware
ZBOT yaitu sekelompok trojan/backdoor yang
dirancang untuk mencuri informasi/data
dari pengguna komputer terutama hal-hal
yang berhubungan dengan data pribadi keuangan
khususnya
yang berhubungan dengan Internet
Banking.
Sedangkan
untuk varian trojan DorkBot.Bx merupakan
salah satu varian dari malware ZBOT yang
muncul pada awal bulan Desember 2011.
Dan sama seperti trojan BitCoinMiner,
varian DorkBot.Bx juga memiliki
kemampuan mencatat informasi/data yang
berhubungan dengan data pribadi seperti
username, password, kartu kredit, dan
lain-lain. Selain itu komputer yang
sudah terinfeksi trojan pun dijadikan
sebagai alat bagi pengirim tersebut
untuk ikut memecahkan blok-blok
kriptografi BitCoin menggunakan
akun BitCoin dari si
pemilik trojan
tersebut
Trojan DorkBot.Bx merupakan
salah satu trojan yang telah di
modifikasi oleh pembuat malware ZBOT
dengan tujuan yang sama dengan trojan BitCoinMiner (yaitu
mendapatkan uang dari BitCoin). Trojan ini
juga memiliki kemiripan (untuk tidak
mengatakan merupakan bagian) malware YM (ChyMine/YiMfoca, yang
identik menyebar menggunakan akun YM, Skype, Gtalk, dan
lain-lain) karena memiliki file dan
lokasi yang sama persis dengan malware
YM.
Gejala
& Efek Trojan DorkBot.Bx
Beberapa hal yang akan
di-alami jika komputer sudah
terinfeksi yaitu sebagai berikut :
-
CPU 100%
Sama
seperti
pendahulu-nya (trojan BitCoinMiner),
trojan DorkBot.Bx juga
akan membuat CPU anda menjadi “bolot”
(100%), dan hal ini karena aktivitas dari
trojan yang berusaha menembus kriptografi
blok BitCoin
dan mencoba aktif terus untuk melakukan
pengiriman data (lihat gambar 2).
Gambar 2, CPU load
tinggi karena digunakan untuk dekripsi
kriptografi
-
Boros BandwithDengan sering-nya melakukan aktivitas kriptografi yang menggunakan sumber daya dari komputer (CPU resource) tentunya akan membuat penggunaan CPU menjadi bolot (100%). Tetapi dibalik itu perlu diperhatikan dari aktivitas penggunaan bandwith internet, karena akibat dari trojan DorkBot.Bx justru membuat bandwith anda menjadi boros. Bagi pengguna internet dengan kuota bandwidth base akan menimbulkan trafik yang tinggi dan tagihan internet yang membengkak. Sering-nya melakukan pengiriman kriptografi ke server BitCoin selama komputer terhubung internet, akan membuat status network “Sent and Recieved” pada LAN Card anda berbeda dengan komputer lain dimana akan lebih banyak paket “sent” dibanding “received”. (lihat gambar 3)
Gambar 3, Paket Sent
akan lebih besar dari Recieved
-
Menyembunyikan folder pada drive USB / removable disk
Sama seperti trojan BitCoinMiner,
trojan DorkBot.Bx pun juga melakukan
hal yang sama yaitu dengan menyembunyikan
folder-folder pada USB / removable disk dan
membuat sebuah shortcut palsu yang mirip nama
folder tersebut. Seperti-nya tren shortcut
juga menginspirasi trojan DorkBot.Bx (lihat gambar 4)
Gambar 4, Aksi Dorkbot
menyembunyikan folder di USB Flash Disk
-
Trojan DorkBot.Bx berusaha melakukan koneksi ke Server BitCoin untuk melakukan pengiriman kriptografi blok-blok BitCoin menggunakan akun pembuat malware pada BitCoin. Dengan cara tersebut, maka pembuat malware diuntungkan karena dapat dengan cepat dan mudah melakukan kriptografi blok-blok BitCoin melalui bantuan komputer-komputer yang sudah terinfeksi. Koneksi ke server BitCoin dilakukan pada IP dan host berikut :
Kedua
host
tersebut sendiri merupakan nama lain dari
server BitCoin BTCGuild (http://www.btcguild.com)
yang memiliki beberapa IP yang berbeda.
Untuk melakukan tersebut,
trojan DorkBot berjalan dalam proses dengan
menggunakan nama file “IKnowYouRWatching.exe”.
(lihat gambar 5)
Gambar
5, Nama prosesnya
“IknowYouRWatching.exe”
-
Melakukan koneksi ke IRC/Remote Server
Trojan
DorkBot.Bx
juga berusaha melakukan koneksi ke
IRC/Remote Server untuk melakukan
pengiriman informasi BitCoin
pengguna komputer yang dibutuhkan oleh
pembuat malware. Koneksi ke IRC server
dilakukan pada IP dan host berikut :
-
dan beberapa IP lain yang acak.
Hebat-nya,
untuk
melakukan hal tersebut trojan DorkBot.Bx
menggunakan
bantuan dari Windows Explorer (dengan kata
lain menumpang/mendompleng aplikasi
tersebut). (lihat gambar 6)
Gambar 6, Aksi Dorkbot
koneksi IRC menggunakan bantuan Explorer.exe
-
Mendownload file malware
Agar
mempermudah
aksi-nya, trojan DorkBot.Bx
juga melakukan download beberapa file
malware tertentu dari IRC/Remote Server
agar tetap terupdate dan tidak mudah
dikenali oleh antivirus. File malware yang
berbeda-beda inilah yang kadang membuat
antivirus sulit mendeteksi keberadaan
trojan DorkBot.Bx.
-
Mendownload file Certificate Authority (CA)
Pada
dasarnya,
Certificate Authority
(CA) digunakan pada transaksi pembayaran
online seperti bank, paypal, dan ribuan
situs lain yang menggunakan protokol SSL.
Dengan mendownload file CA,
pembuat malware ingin memastikan bahwa
komputer korban yang terinfeksi sudah
memiliki CA
yang terupdate sehingga dapat melakukan
transaksi BitCoin
dengan aman (seperti mengirim poin BitCoin
yang sudah didapat oleh komputer korban ke
pemilik trojan, dan sebagainya). Trojan DorkBot.Bx
mendownload Certificate
Authority
(CA) pada link
berikut :
-
-
Melakukan transfer data yang telah didapatkan
Tujuan
utama
dari trojan DorkBot.Bx
adalah mendapatkan informasi dari pengguna
komputer yang sudah terinfeksi. Untuk
melakukan hal tersebut, trojan DorkBot.Bx
mengirimkan
informasi kepada beberapa IP/hostname
berikut :
-
Membuka berbagai port
Trojan
DorkBot.Bx
juga membuka berbagai port pada komputer
korban agar dapat dengan mudah terkoneksi
oleh IRC/Remote Server, serta melakukan
berbagai aksi dengan leluasa. Beberapa
port yang teridentifikasi yaitu sebagai
berikut :
-
80, 443, 666, 1056, 1059, 3211, 3212, 1429, 1431, 1582, 1594, 1602, 1610, 1614, 1626, 1630, 1634, 4291, 4843, 4894, 4898, 4902, 4906, 4910, 4918, 4922, 4930, 4934, 4938, 4942, 8332
Tidak
tertutup
kemungkinan port-port lain pun akan
digunakan oleh trojan DorkBot.Bx.
File
Trojan DorkBot.Bx
Sama
seperti
trojan BitCoinMiner,
Trojan DorkBot.Bx
juga dibuat menggunakan bahasa pemrograman
C++. Hanya saja tampak perbedaan dari segi
icon yang sudah berubah walaupun sama-sama
memiliki ukuran yang ukuran yang
berbeda-beda. Berikut ciri-ciri file
trojan DorkBot.Bx
sebagai berikut :
-
Memiliki ukuran beragam dari 150 kb s/d 600 kb
-
Type file “Application”
-
Icon file menggunakan gambar “pornografi”
-
Memiliki ekstensi “exe” (lihat gambar 7)
Gambar
7, Icon Dorkbot menggunakan gambar
sexy
Jika trojan DorkBot.Bx sudah
menginfeksi, maka akan membuat
beberapa file sebagai berikut :
-
C:\Documents and Settings\[UserName]\Application Data\[1].exe
-
C:\Documents and Settings\[UserName]\Application Data\[1].tmp
-
C:\Documents and Settings\[UserName]\Application Data\[angka_acak].exe
-
C:\Documents and Settings\[UserName]\Application Data\[angka_acak].tmp
-
C:\Documents and Settings\[UserName]\Application Data\[nama_acak].exe
File [1].exe dan
[angka_acak].exe merupakan file Winrar SFX archive yang saat dijalankan akan
meng-extract file malware lain yaitu :
-
C:\Documents and Settings\[UserName]\Start Menu\Programs\Startup\Demokratska2.exe
File
“Demokratska[angka].exe” tersebut jika
dijalankan akan meng-extract file malware
lain yaitu :
-
C:\Documents and Settings\[UserName]\Application Data\PickaVamMaterina2\HDZ.exe
-
C:\Documents and Settings\[UserName]\Application Data\PickaVamMaterina2\Ivo_Sanader.exe
Selain itu, trojan
DorkBot.Bx akan mendownload varian
malware lain yaitu pada :
-
C:\Documents and Settings\[UserName]\Application Data\PickaVamMaterina2\HaHaHa.exe
-
C:\Documents and Settings\[UserName]\Application Data\PickaVamMaterina2\IKnowYouRWatching.exe
Dan pada
USB/Removable drive juga akan membuat
beberapa file yaitu :
-
[nama_folder].lnk (tergantung banyak-nya jumlah folder)
-
RECYCLER\Desktop.ini
-
RECYCLER\[nama_acak].exe
Modifikasi
Registry
Perubahan
registry
yang dilakukan oleh trojan DorkBot.Bx
antara lain sebagai berikut :
-
Menambah Registry
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
[nama_acak] = C:\ Documents
and Settings\[UserName]\Application
Data\[nama_acak].exe
HKEY_CURRENT_USER\Software\WinRAR
SFX
C:\Documents and
Settings%%UserName%%Start
Menu%Programs%Startup = C:\Documents and
Settings\[UserName]\Start
Menu\Programs\Startup
C%%Documents
and
Settings%%UserName%%Application
Data%PickaVamMaterina2 =
C:\
Documents and
Settings\[UserName]\Application
Data\PickaVamMaterina2
Mengadopsi
Facebook Chat
Beberapa
metode yang dilancarkan oleh trojan DorkBot.Bx yaitu
sebagai berikut :
-
Facebook ChatCara ini merupakan metode baru yang digunakan trojan DorkBot.Bx dibandingkan trojan BitCoinMiner atau pun trojan Kolab. Dengan memberikan sebuah link url yang telah di rubah menjadi singkat, sehingga pengguna akan mudah tertipu.Gambar 8, Facebook Chat penyebar DorkBot
Jika
pengguna menjalankan link URL
tersebut, maka akan men-download file
yang menggunakan nama file dan icon
yang cukup “sexy”. (lihat gambar 9)
Gambar 9,
File dengan nama SexyPic dan Icon
gambar sexy digunakan untuk memancing
korbannya menjalankan file.
-
USB / Removable DriveMetode ini adalah metode yang umum dan sering dilakukan oleh para pengguna komputer. Trojan DorkBot.Bx membuat beberapa file agar menginfeksi komputer yaitu :
-
[nama_folder].lnk (tergantung banyak-nya jumlah folder)
-
RECYCLER\Desktop.ini
-
RECYCLER\[nama_acak].exe
Agar dapat langsung aktif saat menghubungkan USB / Removable drive, trojan DorkBot.Bx memanfaatkan celah keamanan Windows yaitu MS10-046 (Windows Icon handler) /LNK yang membuat file shortcut/LNK dari trojan akan dapat aktif saat kita mengakses drive tersebut.Gambar 10, Dorkbot memanfaatkan celah keamanan LNK -
Pembersihan
trojan DorkBot.Bx
-
Putuskan koneksi jaringan/internet.
-
Lakukan pembersihan trojan pada mode “safe mode”.
Lakukan langkah-langkah berikut
:
-
Restart komputer (jika dalam keadaan mati tinggal tekan tombol power)
-
Saat akan booting tekan tombol F8 pada keyboard secara secara terus menerus hingga muncul layar “Safe Mode”
-
Pilih mode “Safe Mode”, dan klik [Enter]
-
Biarkan berjalan hingga masuk menu Login Windows.
-
Matikan dan hapus trojan DorkBot.Bx.
Lakukan langkah-langkah berikut
:
-
Download removal tools (pada komputer yang bersih) untuk membersihkan trojan DorkBot.Bx pada komputer yang belum terinfeksi pada link berikut : (lihat gambar 11)
Norman
Malware Cleaner
Gambar
11,
Gunakan Norman Malware Cleaner untuk
membersihkan Dorkbot dari sistem
komputer anda
-
Setelah selesai, kompress file tersebut hingga menjadi file zip.
-
Kopi file tersebut dan letakkan dimana saja pada komputer yang terinfeksi.
-
Klik kanan file zip tersebut, kemudian klik explore.
-
Klik 2x file yang sudah di-explore tersebut untuk menjalankan, kemudian klik Run.
-
Jika sudah muncul jendela konfirmasi persetujuan, klik Accept untuk menjalankan.
-
Pada tab Scan, pastikan dalam mode Quick.
-
Pada tab Option, pastikan ceklist pada :
-
Enable Quarantine
-
Enable Memory Scanning
-
Enable FakeAV Scanning
-
Enable Cleaning
-
Enable Rootkit Cleaning
-
Enable Sandbox
-
Enable detection of potentially unwanted programs
-
Enable multithreading
-
Klik Start untuk memulai Scan.
-
Biarkan hingga proses scan selesai.
-
Repair registri yang telah dimodifikasi.
Lakukan langkah-langkah berikut
:
-
Salin script dibawah ini dengan notepad :
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKCU,
Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,
ShowSuperHidden,0x00010001,1
HKCU,
Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,
SuperHidden,0x00010001,1
HKCU,
Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,
HideFileExt,0x00010001,0
HKLM,
SOFTWARE\CLASSES\batfile\shell\open\command,,,"""%1""
%*"
HKLM,
SOFTWARE\CLASSES\comfile\shell\open\command,,,"""%1""
%*"
HKLM,
SOFTWARE\CLASSES\exefile\shell\open\command,,,"""%1""
%*"
HKLM,
SOFTWARE\CLASSES\piffile\shell\open\command,,,"""%1""
%*"
HKLM,
SOFTWARE\CLASSES\regfile\shell\open\command,,,"regedit.exe
"%1""
HKLM,
SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon, Shell, 0,
"Explorer.exe
HKLM, SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon, Userinit, 0,
C:\WINDOWS\System32\userinit.exe
[del]
HKCU, Software\WinRAR SFX
-
Simpan file dengan nama “repair.inf”. Gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan.
-
Klik kanan file “repair.inf”, kemudian pilih “install”.
-
Restart komputer.
-
Bersihkan temporary file dari jejak trojan DorkBot.Bx.
Lakukan langkah-langkah berikut
:
-
Klik Menu Start -> Run
-
Ketik perintah pada kotak open : cleanmgr , kemudian klik OK.
-
Pada drive system (C) klik OK, biarkan proses scan drive.
-
Setelah muncul jendela Disk Cleanup, beri tanda file yang akan di hapus (terutama Temporary Files), kemudian klik OK.
-
Tunggu hingga selesai.
-
Install security patch MS10-046 sesuai dengan versi windows yang anda miliki. Silahkan download pada link berikut :
-
Untuk pembersihan yang optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang ter-update dan mengenali trojan DorkBot.Bx dengan baik.
Tidak ada komentar:
Posting Komentar