News W32/BitCoinMiner.B (Trojan.BtcMine.11)

W32/BitCoinMiner.B (Trojan.BtcMine.11)

Sentinel Primenya virus

Pengantar :

Kalau motivasi Megatron menaklukkan bumi adalah untuk menjadi CEO di bumi sudah anda anggap cukup jahat, rupanya masih ada Sentinel Prime yang lebih jahat lagi. Ia ingin menjadikan penduduk bumi sebagai budak dan menyedot habis semua sumber daya di bumi. Jika virus Sality atau Ramnit adalah Megatron, maka setelah melihat virus yang satu ini (yang pasti bukan Nazaruddin namanya) anda akan merasa bahwa Ramnit masih kalah jahat. Bagaimana tidak jahat, selain melakukan hal-hal yang dilakukan oleh virus konvensional seperti :

• Berjalan (bukan jalan-jalan ke Columbia) secara sembunyi-sembunyi pada Command Prompt.
• Download file malware lain baik dari internet, remote server maupun IRC server.
• Membuka port-port di komputer korbannya dan melakukan upload data tanpa sepengetahuan (apalagi) persetujuan pemilik komputer.
• Menyembunyikan USB removable disk dan folder-folder di bawahnya

si Nazar...eh.. salah, si virus ini juga mengkonsumsi sumber daya komputer sehingga CPU resources komputer menjadi 100 % dan dengan tidak tahu malunya menghabiskan dana Sea Games .... eeee salah, menghabiskan bandwith komputer yang di infeksinya. Karena panjangnya analisa virus ini, (bukan karena penulisnya melarikan diri keluar negeri :p) kami membaginya menjadi 2 tulisan dimana bagian pertama akan menceritakan latar belakang BitCoin dan aksi / ciri virus ini. Bagian kedua akan membahas sedikit lebih teknis mengenai cara penyebaran, teknik pemrograman dan tentunya bagaimana cara membasmi virus ini.

Pernahkah Anda mendengar sebuah mata uang digital ? Jika pernah tentu-nya akan familiar dengan nama-nama seperti BitCoin, e-Gold, Liberty, e-Bullion, Pecunix dan lain-lain yang sering digunakan untuk membeli barang-barang secara online. Sama dengan dunia nyata, semua orang berlomba-lomba mencari uang, baik cara yang legal maupun cara ilegal.

Salah satu mata uang digital yang cukup nge-trend adalah BitCoin yang dibuat sejak tahun 2009 dan dikenal sebagai mata uang peer-to-peer. Dengan peer-to-peer, maka tidak ada otoritas pusat yang mengeluarkan uang baru atau melihat transaksi yang berjalan. Semua proses dilakukan dan di kontrol secara kolektif dalam jaringan. Anda dapat melihat informasi lebih lengkap mengenai BitCoin pada wiki dan website-nya.

Selain berfungsi sebagai mata uang digital, BitCoin memiliki salah satu program yang disebut BitCoin Mining, yang merupakan salah satu solusi bisnis yang ditawarkan pengembang BitCoin kepada seluruh pengguna BitCoin. BitCoin Mining merupakan cara untuk menghasilkan blok-blok BitCoin untuk digunakan pada Block Chain. Block Chain sendiri adalah sebuah database transaksi yang dimiliki oleh semua node/titik pada jaringan BitCoin yang berpartisipasi dalam proses transaksi dan verifikasi mata uang digital BitCoin. Untuk menghasilkan blok-blok BitCoin tidak lah mudah, karena harus memecahkan angka-angka yang sudah ter-kriptografi/enkripsi dan juga membutuhkan waktu dan sumber daya (CPU resources) yang cukup. Jika berhasil, maka akan mendapatkan hadiah sebesar 50 BitCoins per blok. Pada Juli 2011, sudah beredar sekitar 6,9 juta BitCoins. Dengan perdagangan mata uang BitCoins yang mendekati harga $20 dolar, BitCoin Mining terlihat sebagai salah satu cara untuk mendapatkan uang yang banyak. Dan tentu-nya hal ini pun disadari oleh para penjahat dunia maya yang akan berpikir sama seperti itu.

Salah satu yang juga digunakan bagi para penjahat dunia maya yaitu dengan mengirim sebuah trojan/backdoor yang memiliki kemampuan mencatat data aktif pengguna BitCoin seperti user name dan password, yang kemudian data tersebut akan dikirim kembali ke pengirim tersebut. Selain itu komputer yang sudah terinfeksi trojan pun dijadikan sebagai alat bagi pengirim tersebut untuk ikut memecahkan blok-blok kriptografik BitCoin menggunakan akun BitCoin dari si pemilik trojan tersebut. Dan salah satu trojan yang dapat melakukan aksi tersebut yaitu trojan BitCoinMiner/BtcMine. Dan hingga saat ini, tercatat sudah puluhan varian BitCoinMiner/BtcMine yang menyerang pengguna komputer. Motivasi finansial ini jelas menjadi motivator yang kuat bagi pengembang trojan untuk membuat dan mengembangkan malware bitcoin ini.

Bagi anda yang para pengguna komputer di Indonesia, harap berhati-hati karena sejak pertengahan Juni hingga saat ini banyak pengguna komputer yang sudah terinfeksi oleh serangan trojan ini, dan salah satu varian baru yang terdeteksi yaitu W32/BitCoinMiner.B (Trojan.BtcMine.11) (lihat gambar 1). Kabar buruknya adalah, Trojan ini termasuk sulit dibersihkan dan jika komputer anda terinfeksi Trojan ini, anda perlu menggunakan Safe Mode untuk membersihkannya.

Gambar 1, Norman mendeteksi varian W32/BitCoinMiner.B (Trojan.BtcMine.11)

Keluarga ZBOT : Pencuri data pribadi

Keluarga ZBOT merupakan salah satu kelompok trojan/backdoor yang dirancang untuk mencuri informasi/data dari pengguna komputer terutama hal-hal yang berhubungan dengan data pribadi keuangan khususnya yang berhubungan dengan Internet Banking.

Sedangkan varian trojan BitCoinMiner/BtcMine merupakan salah satu varian dari ZBOT yang muncul sejak pertengahan Juni 2011. Varian ini juga memiliki kemampuan mencatat informasi/data yang berhubungan dengan data pribadi seperti username, password, data kartu kredit dan lain-lain. Selain itu komputer yang sudah terinfeksi trojan pun dijadikan sebagai alat bagi pengirim tersebut untuk ikut memecahkan blok-blok kriptografi BitCoin menggunakan akun BitCoin dari si pemilik trojan tersebut demi keuntungan pembuat trojan.

Trojan BitCoinMiner/BtcMine merupakan salah satu trojan yang telah di modifikasi oleh pembuat malware dengan tujuan yang baru (mendapatkan uang dari BitCoin). Trojan ini memiliki kemiripan (atau mungkin merupakan bagian) dengan kelompok malware YM (ChyMine/YiMfoca, yang identik menyebar menggunakan akun YM, Skype, Gtalk, dan lain-lain) karena memiliki file dan lokasi yang sama persis dengan malware YM.

Manfaatkan Celah Keamanan dari Windows (tren shortcut)

Tampaknya, trend shortcut sudah menjadi kiblat baru bagi para pembuat malware untuk melancarkan aksinya untuk menginfeksi pengguna komputer dengan mudah (khusus-nya pengguna Windows). Dengan memanfaatkan celah keamanan pada Windows yaitu Windows Shell Icon Handler / LNK (MS10-046), maka trojan BitCoinMiner/BtcMine dapat dengan mudah masuk dan menginfeksi komputer serta melakukan penyebaran dengan cepat.

Gejala & Efek Trojan BitCoinMiner/BtcMine

Beberapa gejala yang terjadi jika anda sudah terinfeksi yaitu :

• CPU 100%

Sama seperti pendahulu-nya, trojan BitCoinMiner/BtcMine juga akan menggunakan CPU resource anda menjadi 100%, dan hal ini karena aktivitas dari trojan yang berusaha menembus kriptografi blok BitCoin dan mencoba aktif terus untuk melakukan pengiriman data. (lihat gambar 2)

Gambar 2, Proses trojan yang aktif hingga CPU menjadi 100%

• Boros Bandwith

Dengan sering-nya melakukan aktivitas kriptografi yang menggunakan sumber daya dari komputer (CPU resource) tentunya akan membuat penggunaan CPU menjadi 100 %. Tetapi dibalik itu perlu diperhatikan dari aktivitas penggunaan bandwith internet, karena akibat dari trojan BitCoinMiner/BtcMine justru membuat bandwith anda menjadi boros. Sering-nya melakukan pengiriman kriptografi ke server BitCoin selama komputer terhubung internet, akan membuat status pada LAN Card anda berbeda dengan komputer lain dimana pada umumnya paket receive (download) akan jauh lebih besar daripada sent (upload) tetapi untuk komputer terinfeksi virus ini akan mengakibatkan paket sent (upload) lebih besar dari receive (download) (lihat gambar 3). Hal ini perlu menjadi perhatian anda khususnya yang menggunakan koneksi internet yang dihitung berdasarkan bandwidth yang anda gunakan.

Gambar 3, Paket “sent” lebih besar dari “receive”

• Menyembunyikan drive USB / removable disk
  Agar tidak mudah dilakukan pembersihan dari antivirus atau removal tools, trojan BitCoinMiner/BtcMine menyembunyikan drive USB / removable disk pada Windows Explorer. Walaupun coba di akses melalui Computer Management, tetapi drive akan hilang kembali. (lihat gambar 4)

Gambar 4, Trojan menyembunyikan drive USB / removable disk

• Menyembunyikan folder pada drive USB / removable disk
  Jika sebelumnya trojan BitCoinMiner/BtcMine telah berhasil menyembunyikan USB / removable disk pada komputer yang terinfeksi, maka sebenarnya folder-folder pada USB / removable disk tersebutpun telah berhasil disembunyikan dan dipalsukan dengan membuat sebuah shortcut yang mirip nama folder tersebut. Sepertinya trik shortcut juga menginspirasi trojan ini. (lihat gambar 5)

Gambar 5, Trojan menyembunyikan folder pada drive USB / removable disk

• Berjalan-nya aplikasi Command Prompt pada Task Manager
  Muncul secara terus menerus aplikasi Command Prompt yang tersembunyi pada Windows Task Manager. (lihat gambar 6)

Gambar 6, File Command Prompt yang berjalan pada Windows Task Manager

Aplikasi Command Prompt yang berjalan ternyata menjalankan script file cmd/bat dari trojan BitCoinMiner/BtcMine yang memiliki perintah sebagai berikut : (lihat gambar 7)

Gambar 7, Isi script file cmd/bat dari trojan BitCoinMiner/BtcMine

• Melakukan koneksi ke Server BitCoin

Trojan BitCoinMiner/BtcMine berusaha melakukan koneksi ke Server BitCoin untuk melakukan pengiriman kriptografi blok-blok BitCoin menggunakan akun pembuat malware pada BitCoin. Dengan cara tersebut, maka pembuat malware diuntungkan karena dapat dengan cepat dan mudah melakukan kriptografi blok-blok BitCoin melalui bantuan komputer-komputer yang sudah terinfeksi. Koneksi ke server BitCoin dilakukan pada IP dan host berikut :

• http://b.mobinil.biz:8332/

host http://b.mobinil.biz sendiri merupakan nama lain dari server BitCoin BTCGuild (http://www.btcguild.com) yang memiliki beberapa IP yaitu :

• 46.4.116.147
• 46.4.123.12
• 69.42.216.173
• 108.60.208.157

• Melakukan koneksi ke IRC/Remote Server

Trojan BitCoinMiner/BtcMine berusaha melakukan koneksi ke IRC/Remote Server untuk melakukan pengiriman informasi BitCoin pengguna komputer yang dibutuhkan oleh pembuat malware. Koneksi ke IRC server dilakukan pada IP dan host berikut :

• http://92.243.1.61:3212/
• http://92.243.1.63:3212/
• http://92.243.4.133:5900/
• http://92.243.9.86:3211/
• http://92.243.9.86:3212/
• http://92.243.9.86:3333/
• http://92.243.9.86:4949/
• dan beberapa IP lain yang acak.

Dengan menggunakan user yang acak dan password “ngrBot”, trojan BitCoinMiner/BtcMine melakukan koneksi ke Remote Server dengan mudah dan pengiriman informasi berjalan dengan lancar. (lihat gambar 8)

Gambar 8, Koneksi trojan BitCoinMiner/BtcMine meng-akses Remote Server

Hebat-nya, untuk melakukan hal tersebut trojan BitCoinMiner/BtcMine menggunakan bantuan dari Windows Explorer (dengan kata lain menumpang/mendompleng aplikasi tersebut). (lihat gambar 9)

Gambar 9, Trojan BitCoinMiner/BtcMine melakukan koneksi via Windows Explorer

• Mendownload file malware

Ibarat Sentinel Prime yang menggunakan teleport dalam rangka mengundang bangsa robot menaklukkan bumi, trojan BitCoinMiner/BtcMine juga melakukan download beberapa file malware tertentu dari IRC/Remote Server agar tetap terupdate dan tidak mudah dikenali oleh antivirus. File malware yang berbeda-beda inilah yang kadang membuat antivirus sulit mendeteksi keberadaan trojan BitCoinMiner/BtcMine. Umumnya link download yang digunakan adalah sebagai berikut : (lihat gambar 10)

• http://[acak1].fileave.com/[acak1].exe (file malware baru yang sudah ter-update)
• http://[acak2].fileave.com/[acak2].exe
• http://[acak3].fileave.com/[acak3].exe

Gambar 10, Trojan BitCoinMiner/BtcMine mendownload file malware lain

• Mendownload file Certificate Authority (CA)

Pada dasarnya, Certificate Authority (CA) digunakan pada transaksi pembayaran online seperti bank, paypal, dan ribuan situs lain yang menggunakan protokol SSL. Dengan mendownload file CA, pembuat malware ingin memastikan bahwa komputer korban yang terinfeksi sudah memiliki CA yang terupdate sehingga dapat melakukan transaksi BitCoin yang sah (seperti mengirim poin BitCoin yang sudah didapat oleh komputer korban ke pemilik trojan, dan sebagainya). Trojan BitCoinMiner/BtcMine mendownload Certificate Authority (CA) pada link berikut :

• http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab
• http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt

• Melakukan transfer data yang telah didapatkan
  Tujuan utama dari trojan BitCoinMiner/BtcMine adalah mendapatkan informasi dari pengguna komputer yang sudah terinfeksi. Untuk melakukan hal tersebut, trojan BitCoinMiner/BtcMine mengirimkan informasi kepada beberapa IP/hostname berikut : (lihat gambar 11)

• http://api.wipmania.com/ atau http://213.251.170.52 (informasi IP komputer yang terinfeksi)
• https://216.246.8.230:443 (transfer BitCoin via SSL)
• http://67.228.81.181/ atau http://195.122.131.7/ (menyimpan informasi pada media server yang sudah tersedia)

Gambar 11, Transfer data dari dan ke komputer korban

• Membuka berbagai port
  Trojan BitCoinMiner/BtcMine juga membuka berbagai port pada komputer korban agar dapat dengan mudah terkoneksi oleh IRC/Remote Server, serta melakukan berbagai aksi dengan leluasa. Beberapa port yang teridentifikasi yaitu sebagai berikut :

• 80, 443, 1056, 1059, 3211, 3212, 3333, 4949, 5900, 8332

Tidak tertutup kemungkinan port-port lain pun akan digunakan oleh BitCoinMiner/BtcMine.

Bersambung

Tulisan BitCoinMiner ini akan dilanjutkan pada bagian 2 yang akan membahas :

• Bahasa pemrograman apa yang digunakan untuk pembuatan Trojan ini.
• Penampakan icon trojan ini di komputer seperti apa sehingga dapat anda identifikasi.
• Metode penyebaran BitCoin.
• Registri apa saja yang dirubah.
• Cara membasmi Trojan ini jika sudah menginfeksi komputer anda.

Vaksincom News.