Senin, 05 September 2011

W32/BitCoinMiner.B : Sentinel Prime-nya Virus


Sebagian pengunjung setia Pustaka Digital Indonesia mungkin sudah pernah menyaksikan kedasyatan film Transformers 3 : Dark of The Moon, jika belum anda bisa mendownload film tersebut melalui link torrent berikut : http://thepiratebay.org/search/transformers%203/0/99/0


 Di film ini anda akan menyaksikan betapa jahatnya Sentinel Prime ketika dia hendak menghancurkan dan menguasai Bumi, bagi anda penyuka trilogi film Transformers The Movie pasti mengenal kejahatan Megatron yang hendak menguasai Bumi. Jika anda cermati kata bercetak tebal di atas tentu dapat membandingkan tingkat kejahatan 2 tokoh tersebut.


Dalam dunia nyatapun tokoh mirip Sentinel Prime juga ada, khususnya di dalam dunia keamanan komputer ada Worm yang dinamakan W32/BitCoinMiner.B atau disebut Trojan.BtcMine.11. Anda mungkin pernah mendengar bahkan merasakan keganasan virus Ramnit, Sality, atau Stuknet, namun itu semua masih "mendingan" jika dibandingkan dengan kedasyatan Worm W32/BitCoinMiner.B ini.  Virus Ramnit, Sality, atau Stuknet ibarat Megatron yang "hanya" ingin menguasai koputer anda, namun W32/BitCoinMiner.B ini ibarat Sentinel Prime yang hendak menguasai, merusak, memanfaatkan sumber daya, melumpuhkan sistem keamanan dan menggunakannya untuk mengundang "bala kurawanya" (yang juga jahat), mengambil harta (data) komputer anda dan serangkaian aksi jahat lainnya.


Seberapa dasyatkah W32/BitCoinMiner.B ini jika menyerang komputer anda ?, simak uraian berikut :
  • Mengkonsumsi sumber daya komputer sehingga CPU resources komputer menjadi 100 %, trojan BitCoinMiner/BtcMine juga akan menggunakan CPU resource anda menjadi 100%, dan hal ini karena aktivitas dari trojan yang berusaha menembus kriptografi blok BitCoin dan mencoba aktif terus untuk melakukan pengiriman data.

  • Menghabiskan bandwith internet pada komputer yang di infeksinya, akibat dari trojan BitCoinMiner/BtcMine justru membuat bandwith anda menjadi boros. Sering-nya melakukan pengiriman kriptografi ke server BitCoin selama komputer terhubung internet, akan membuat status pada LAN Card anda berbeda dengan komputer lain dimana pada umumnya paket receive (download) akan jauh lebih besar daripada sent (upload) tetapi untuk komputer terinfeksi virus ini akan mengakibatkan paket sent (upload) lebih besar dari receive (download)

  • Muncul secara terus menerus aplikasi Command Prompt yang tersembunyi pada Windows Task Manager, Aplikasi Command Prompt yang berjalan ternyata menjalankan script file cmd/bat dari trojan BitCoinMiner/BtcMine




  • Menyembunyikan drive USB / removable disk pada Windows Explorer. Agar tidak mudah dilakukan pembersihan dari antivirus atau removal tools, trojan BitCoinMiner/BtcMine menyembunyikan drive USB / removable disk pada Windows Explorer. Agar tidak mudah dilakukan pembersihan dari antivirus atau removal tools, trojan BitCoinMiner/BtcMine menyembunyikan Walaupun coba di akses melalui Computer Management, tetapi drive akan hilang kembali. USB / removable disk pada Windows Explorer.


  • Menyembunyikan USB / removable disk pada komputer yang terinfeksi, maka sebenarnya folder-folder pada USB / removable disk tersebutpun telah berhasil disembunyikan dan dipalsukan dengan membuat sebuah shortcut yang mirip nama folder tersebut.


  • Dapat medownload file malware lain baik dari internet, remote server maupun IRC server. Ibarat Sentinel Prime yang menggunakan teleport dalam rangka mengundang bangsa robot menaklukkan bumi, trojan BitCoinMiner/BtcMine juga melakukan download beberapa file malware tertentu dari IRC/Remote Server agar tetap terupdate dan tidak mudah dikenali oleh antivirus. File malware yang berbeda-beda inilah yang kadang membuat antivirus sulit mendeteksi keberadaan trojan BitCoinMiner/BtcMine. 


  • Membuka port-port di komputer korbannya dan melakukan upload data tanpa sepengetahuan dan persetujuan pemilik komputer, Trojan BitCoinMiner/BtcMine juga membuka berbagai port pada komputer korban agar dapat dengan mudah terkoneksi oleh IRC/Remote Server, serta melakukan berbagai aksi dengan leluasa. 
  • Memdownload file malware lain baik dari internet, remote server maupun IRC server, Trojan BitCoinMiner/BtcMine berusaha melakukan koneksi ke IRC/Remote Server untuk melakukan pengiriman informasi BitCoin pengguna komputer yang dibutuhkan oleh pembuat malware. Dengan menggunakan user yang acak dan password “ngrBot”, trojan BitCoinMiner/BtcMine melakukan koneksi ke Remote Server dengan mudah dan pengiriman informasi berjalan dengan lancar.Hebat-nya, untuk melakukan hal tersebut trojan BitCoinMiner/BtcMine menggunakan bantuan dari Windows Explorer (dengan kata lain menumpang/mendompleng aplikasi.
  • Mendownload file Certificate Authority (CA), Certificate Authority (CA) digunakan pada transaksi pembayaran online seperti bank, paypal, dan ribuan situs lain yang menggunakan protokol SSL. Dengan mendownload file CA, pembuat malware ingin memastikan bahwa komputer korban yang terinfeksi sudah memiliki CA yang terupdate sehingga dapat melakukan transaksi BitCoin yang sah (seperti mengirim poin BitCoin yang sudah didapat oleh komputer korban ke pemilik trojan, dan sebagainya). 
  • Melakukan transfer data yang telah didapatkan, Tujuan utama dari trojan BitCoinMiner/BtcMine adalah mendapatkan informasi dari pengguna komputer yang sudah terinfeksi. Untuk melakukan hal tersebut, trojan BitCoinMiner/BtcMine mengirimkan informasi kepada IP/hostname pembuatnya.


Bagaimana ciri komputer yang terserang Worm W32/BitCoinMiner.B ?
  • Komputer anda bekerja sangat-sangat keras (ngoyo sekali) resource digunakan 100 %
  • Pada Task Manager terdapat aplikasi CMD.EXE dan aplikasi lain bernamamamita.exe, svchoost.exe, taskmgr.exe, dan cgminer.exe (gambar dia atas).
  • Drive USB (Flashdisk) "hilang"
  • Aktivitas internet anda sangat tinggi dan janggal paket sent (upload) lebih besar dari receive (download) (data anda di ekspor/ dicuri bos...s)
  • File dan folder anda tersembunyi dan digantikan shortcut dengan nama yang identik
  • BitCoinMiner ini adalah ia akan menampilkan dirinya dalam icon-icon kotak warna-warni dan di dalam kotak tersebut akan ada huruf-huruf abjad (lihat gambar 12). Menurut perkiraan penulis, abjad tersebut merupakan cara pembuat torjan ini untuk mengidentifikasi jenis trojan BitCoinMiner yang dibuatnya. Trojan BitCoinMiner/BtcMine dibuat menggunakan bahasa pemrograman C++.
  • mengakibatkan membengkaknya tagihan internet anda.
  • pada USB / removable disk akan membuat beberapa file : [nama_folder].lnk (tergantung banyak-nya jumlah folder pada USB / removable disk, File Desktop.ini dan file [acak].exe (file trojan BitCoinMiner/BtcMine) didalam Folder RECYCLER


BitCoinMiner/BtcMine melakukan penyebaran melalui fasilitas (aset anda ) USB Flashdisk atau melalui jaringan internet.




Pembersihan trojan BitCoinMiner/BtcMine : 

  1. Putuskan koneksi jaringan/internet.
  2. Lakukan pembersihan trojan pada mode “safe mode”.Caranya lakukan langkah-langkah berikut : Restart komputer (jika dalam keadaan mati tinggal tekan tombol power), Saat akan booting tekan tombol F8 pada keyboard secara secara terus menerus hingga muncul layar “Safe Mode”
  3. Pilih mode “Safe Mode”, dan klik [Enter]
  4. Biarkan berjalan hingga masuk menu Login Windows.


Langkah-langkah Matikan dan hapus trojan BitCoinMiner/BtcMine :
  • Download removal tools (pada komputer yang bersih) untuk membersihkan trojan BitCoinMiner/BtcMine pada komputer yang belum terinfeksi pada link berikut : (lihat gambar 18)
Dr.Web Cure-It!
Norman Malware Cleaner
  • Setelah selesai, kompres file tersebut hingga menjadi file zip.
  • Copy file tersebut dan letakkan dimana saja pada komputer yang terinfeksi.
  • Klik kanan file zip tersebut, kemudian klik explore.
  • Klik 2x file yang sudah di-explore tersebut untuk menjalankan, kemudian klik Run.
  • Jika sudah muncul jendela Dr.Web CureIt, klik OK untuk menjalankan dalam mode EPM (Enhanced Protection Mode).
  • Klik Start untuk memulai Scan, dan klik Yes untuk memulai.

  • Biarkan hingga proses scan selesai.
  • Repair registri yang telah dimodifikasi.
  • Salin script dibawah ini dengan notepad :

[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee

[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, ShowSuperHidden,0x00010001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, SuperHidden,0x00010001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, HideFileExt,0x00010001,0
HKLM, SOFTWARE\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell, 0, "Explorer.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit, 0, C:\WINDOWS\System32\userinit.exe

[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, MSConfig
HKCU, Software\WinRAR SFX
    • Simpan file dengan nama “repair.inf”. Gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan.
    • Klik kanan file “repair.inf”, kemudian pilih “install”.
    • Restart komputer.


    Bersihkan temporary file dari jejak trojan BitCoinMiner/BtcMine.
    • Klik Menu Start -> Run
    • Ketik perintah pada kotak open : cleanmgr , kemudian klik OK.
    • Pada drive system (C) klik OK, biarkan proses scan drive.
    • Setelah muncul jendela Disk Cleanup, beri tanda file yang akan di hapus (terutama Temporary Files), kemudian klik OK.
    • Tunggu hingga selesai.
    • Install security patch MS10-046 sesuai dengan versi windows yang anda miliki. Silahkan download pada link berikut : http://www.microsoft.com/technet/security/Bulletin/MS10-046.mspx
    • Untuk pembersihan yang optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang ter-update dan mengenali trojan BitCoinMiner/BtcMine dengan baik.
    Disarikan dengan modifikasi sumber,lebih lanjut baca di link sumber : http://www.vaksin.com/, 24 Agustus 2011