Friday 29 March 2013

Malware DorkBot.Bx, keluarga ZBOT pencuri data dan pengirim pesan

Friday, March 29, 2013  , ,  No comments


Jika sebelumnya pernah menyebar varian trojanBitCoinMiner dan trojan Kolab, maka varian ini merupakan "jelmaan baru" dari trojan BitCoinMineryang menggunakan metode trojan Kolab. Entah apakah merupakan sebuah "merger" antara pembuat malware atau justru sebuah ide kreasi dan inovasi terbaru dari pembuat malware. Artikel BitCoinMiner pernah dibahas oleh Vaksincom padapart1 dan part2. Begitu juga untuk artikel Kolab pada part1 dan part2.

DorkBot.Bx, keluarga ZBOT pencuri data dan pengirim pesan
Umumnya malware ZBOT yaitu sekelompok trojan/backdoor yang dirancang untuk mencuri informasi/data dari pengguna komputer terutama hal-hal yang berhubungan dengan data pribadikeuangan khususnya yang berhubungan denganInternet Banking.

Sedangkan untuk varian trojan DorkBot.Bxmerupakan salah satu varian dari malware ZBOT yang muncul pada awal bulan Desember 2011. Dan sama seperti trojan BitCoinMiner, varian DorkBot.Bx juga memiliki kemampuan mencatat informasi/data yang berhubungan dengan data pribadi seperti username, password, kartu kredit, dan lain-lain. Selain itu komputer yang sudah terinfeksi trojan pun dijadikan sebagai alat bagi pengirim tersebut untuk ikut memecahkan blok-blok kriptografi BitCoin menggunakan akun BitCoin dari si pemilik trojan tersebut

Trojan DorkBot.Bx merupakan salah satu trojan yang telah di modifikasi oleh pembuat malware ZBOT dengan tujuan yang sama dengan trojan BitCoinMiner (yaitu mendapatkan uang dari BitCoin). Trojan ini juga memiliki kemiripan (untuk tidak mengatakan merupakan bagian) malware YM (ChyMine/YiMfoca, yang identik menyebar menggunakan akun YMSkypeGtalk, dan lain-lain) karena memiliki file dan lokasi yang sama persis dengan malware YM.

Gejala & Efek Trojan DorkBot.Bx
Beberapa hal yang akan di-alami jika komputer sudah terinfeksi yaitu sebagai berikut :

  • CPU 100%
Sama seperti pendahulu-nya (trojan BitCoinMiner), trojan DorkBot.Bx juga akan membuat CPU anda menjadi “bolot” (100%), dan hal ini karena aktivitas dari trojan yang berusaha menembus kriptografi blok BitCoin dan mencoba aktif terus untuk melakukan pengiriman data (lihat gambar 2).
Gambar 2, CPU load tinggi karena digunakan untuk dekripsi kriptografi

  • Boros Bandwith
    Dengan sering-nya melakukan aktivitas kriptografi yang menggunakan sumber daya dari komputer (CPU resource) tentunya akan membuat penggunaan CPU menjadi bolot (100%). Tetapi dibalik itu perlu diperhatikan dari aktivitas penggunaan bandwith internet, karena akibat dari trojan DorkBot.Bx justru membuat bandwith anda menjadi boros. Bagi pengguna internet dengan kuota bandwidth base akan menimbulkan trafik yang tinggi dan tagihan internet yang membengkak. Sering-nya melakukan pengiriman kriptografi ke server BitCoin selama komputer terhubung internet, akan membuat status network “Sent and Recieved” pada LAN Card anda berbeda dengan komputer lain dimana akan lebih banyak paket “sent” dibanding “received”. (lihat gambar 3)
Gambar 3, Paket Sent akan lebih besar dari Recieved

  • Menyembunyikan folder pada drive USB / removable disk
Sama seperti trojan BitCoinMiner, trojan DorkBot.Bx pun juga melakukan hal yang sama yaitu dengan menyembunyikan folder-folder pada USB / removable disk dan membuat sebuah shortcut palsu yang mirip nama folder tersebut. Seperti-nya tren shortcut juga menginspirasi trojan DorkBot.Bx (lihat gambar 4)
Gambar 4, Aksi Dorkbot menyembunyikan folder di USB Flash Disk

  • Melakukan koneksi ke Server BitCoin
    Trojan DorkBot.Bx berusaha melakukan koneksi ke Server BitCoin untuk melakukan pengiriman kriptografi blok-blok BitCoinmenggunakan akun pembuat malware pada BitCoinDengan cara tersebut, maka pembuat malware diuntungkan karena dapat dengan cepat dan mudah melakukan kriptografi blok-blok BitCoin melalui bantuan komputer-komputer yang sudah terinfeksi. Koneksi ke server BitCoin dilakukan pada IP dan host berikut :

Kedua host tersebut sendiri merupakan nama lain dari server BitCoin BTCGuild (http://www.btcguild.com) yang memiliki beberapa IP yang berbeda.

Untuk melakukan tersebut, trojan DorkBot berjalan dalam proses dengan menggunakan nama file “IKnowYouRWatching.exe”. (lihat gambar 5)
Gambar 5, Nama prosesnya “IknowYouRWatching.exe”

  • Melakukan koneksi ke IRC/Remote Server
Trojan DorkBot.Bx juga berusaha melakukan koneksi ke IRC/Remote Server untuk melakukan pengiriman informasi BitCoinpengguna komputer yang dibutuhkan oleh pembuat malware. Koneksi ke IRC server dilakukan pada IP dan host berikut :

Hebat-nya, untuk melakukan hal tersebut trojan DorkBot.Bx menggunakan bantuan dari Windows Explorer (dengan kata lain menumpang/mendompleng aplikasi tersebut). (lihat gambar 6)
Gambar 6, Aksi Dorkbot koneksi IRC menggunakan bantuan Explorer.exe

  • Mendownload file malware
Agar mempermudah aksi-nya, trojan DorkBot.Bx juga melakukan download beberapa file malware tertentu dari IRC/Remote Server agar tetap terupdate dan tidak mudah dikenali oleh antivirus. File malware yang berbeda-beda inilah yang kadang membuat antivirus sulit mendeteksi keberadaan trojan DorkBot.Bx.

  • Mendownload file Certificate Authority (CA)
Pada dasarnya, Certificate Authority (CA) digunakan pada transaksi pembayaran online seperti bank, paypal, dan ribuan situs lain yang menggunakan protokol SSL. Dengan mendownload file CA, pembuat malware ingin memastikan bahwa komputer korban yang terinfeksi sudah memiliki CA yang terupdate sehingga dapat melakukan transaksi BitCoin dengan aman (seperti mengirim poinBitCoin yang sudah didapat oleh komputer korban ke pemilik trojan, dan sebagainya). Trojan DorkBot.Bx mendownload Certificate Authority (CA) pada link berikut :
Tujuan utama dari trojan DorkBot.Bx adalah mendapatkan informasi dari pengguna komputer yang sudah terinfeksi. Untuk melakukan hal tersebut, trojan DorkBot.Bx mengirimkan informasi kepada beberapa IP/hostname berikut :

  • Membuka berbagai port
Trojan DorkBot.Bx juga membuka berbagai port pada komputer korban agar dapat dengan mudah terkoneksi oleh IRC/Remote Server, serta melakukan berbagai aksi dengan leluasa. Beberapa port yang teridentifikasi yaitu sebagai berikut :
  • 80, 443, 666, 1056, 1059, 3211, 3212, 1429, 1431, 1582, 1594, 1602, 1610, 1614, 1626, 1630, 1634, 4291, 4843, 4894, 4898, 4902, 4906, 4910, 4918, 4922, 4930, 4934, 4938, 4942, 8332

Tidak tertutup kemungkinan port-port lain pun akan digunakan oleh trojan DorkBot.Bx.

File Trojan DorkBot.Bx
Sama seperti trojan BitCoinMiner, Trojan DorkBot.Bx juga dibuat menggunakan bahasa pemrograman C++. Hanya saja tampak perbedaan dari segi icon yang sudah berubah walaupun sama-sama memiliki ukuran yang ukuran yang berbeda-beda. Berikut ciri-ciri file trojanDorkBot.Bx sebagai berikut :
  • Memiliki ukuran beragam dari 150 kb s/d 600 kb
  • Type file “Application”
  • Icon file menggunakan gambar “pornografi”
  • Memiliki ekstensi “exe” (lihat gambar 7)
Gambar 7, Icon Dorkbot menggunakan gambar sexy

Jika trojan DorkBot.Bx sudah menginfeksi, maka akan membuat beberapa file sebagai berikut :
  • C:\Documents and Settings\[UserName]\Application Data\[1].exe
  • C:\Documents and Settings\[UserName]\Application Data\[1].tmp
  • C:\Documents and Settings\[UserName]\Application Data\[angka_acak].exe
  • C:\Documents and Settings\[UserName]\Application Data\[angka_acak].tmp
  • C:\Documents and Settings\[UserName]\Application Data\[nama_acak].exe

File [1].exe dan [angka_acak].exe merupakan file Winrar SFX archive yang saat dijalankan akan meng-extract file malware lain yaitu :
  • C:\Documents and Settings\[UserName]\Start Menu\Programs\Startup\Demokratska2.exe

    File “Demokratska[angka].exe” tersebut jika dijalankan akan meng-extract file malware lain yaitu :

      • C:\Documents and Settings\[UserName]\Application Data\PickaVamMaterina2\HDZ.exe
      • C:\Documents and Settings\[UserName]\Application Data\PickaVamMaterina2\Ivo_Sanader.exe

Selain itu, trojan DorkBot.Bx akan mendownload varian malware lain yaitu pada :
  • C:\Documents and Settings\[UserName]\Application Data\PickaVamMaterina2\HaHaHa.exe
  • C:\Documents and Settings\[UserName]\Application Data\PickaVamMaterina2\IKnowYouRWatching.exe

Dan pada USB/Removable drive juga akan membuat beberapa file yaitu :
  • [nama_folder].lnk (tergantung banyak-nya jumlah folder)
  • RECYCLER\Desktop.ini
  • RECYCLER\[nama_acak].exe

Modifikasi Registry
Perubahan registry yang dilakukan oleh trojan DorkBot.Bx antara lain sebagai berikut :
  • Menambah Registry
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
[nama_acak] = C:\ Documents and Settings\[UserName]\Application Data\[nama_acak].exe

HKEY_CURRENT_USER\Software\WinRAR SFX
C:\Documents and Settings%%UserName%%Start Menu%Programs%Startup = C:\Documents and Settings\[UserName]\Start Menu\Programs\Startup
C%%Documents and Settings%%UserName%%Application Data%PickaVamMaterina2 =
C:\ Documents and Settings\[UserName]\Application Data\PickaVamMaterina2

Mengadopsi Facebook Chat
Beberapa metode yang dilancarkan oleh trojan DorkBot.Bx yaitu sebagai berikut :
  • Facebook Chat
    Cara ini merupakan metode baru yang digunakan trojan DorkBot.Bx dibandingkan trojan BitCoinMiner atau pun trojan Kolab. Dengan memberikan sebuah link url yang telah di rubah menjadi singkat, sehingga pengguna akan mudah tertipu.
    Gambar 8, Facebook Chat penyebar DorkBot

Jika pengguna menjalankan link URL tersebut, maka akan men-download file yang menggunakan nama file dan icon yang cukup “sexy”. (lihat gambar 9)
Gambar 9, File dengan nama SexyPic dan Icon gambar sexy digunakan untuk memancing korbannya menjalankan file.
  • USB / Removable Drive
    Metode ini adalah metode yang umum dan sering dilakukan oleh para pengguna komputer. Trojan DorkBot.Bx membuat beberapa file agar menginfeksi komputer yaitu :
    • [nama_folder].lnk (tergantung banyak-nya jumlah folder)
    • RECYCLER\Desktop.ini
    • RECYCLER\[nama_acak].exe
    Agar dapat langsung aktif saat menghubungkan USB / Removable drive, trojan DorkBot.Bx memanfaatkan celah keamanan Windows yaitu MS10-046 (Windows Icon handler) /LNK yang membuat file shortcut/LNK dari trojan akan dapat aktif saat kita mengakses drive tersebut.
    Gambar 10, Dorkbot memanfaatkan celah keamanan LNK

Pembersihan trojan DorkBot.Bx
  1. Putuskan koneksi jaringan/internet.
  2. Lakukan pembersihan trojan pada mode “safe mode”.
Lakukan langkah-langkah berikut :
  1. Restart komputer (jika dalam keadaan mati tinggal tekan tombol power)
  2. Saat akan booting tekan tombol F8 pada keyboard secara secara terus menerus hingga muncul layar “Safe Mode”
  3. Pilih mode “Safe Mode”, dan klik [Enter]
  4. Biarkan berjalan hingga masuk menu Login Windows.

  1. Matikan dan hapus trojan DorkBot.Bx.
Lakukan langkah-langkah berikut :
  1. Download removal tools (pada komputer yang bersih) untuk membersihkan trojan DorkBot.Bx pada komputer yang belum terinfeksi pada link berikut : (lihat gambar 11)
Norman Malware Cleaner
Gambar 11, Gunakan Norman Malware Cleaner untuk membersihkan Dorkbot dari sistem komputer anda

  1. Setelah selesai, kompress file tersebut hingga menjadi file zip.
  2. Kopi file tersebut dan letakkan dimana saja pada komputer yang terinfeksi.
  3. Klik kanan file zip tersebut, kemudian klik explore.
  4. Klik 2x file yang sudah di-explore tersebut untuk menjalankan, kemudian klik Run.
  5. Jika sudah muncul jendela konfirmasi persetujuan, klik Accept untuk menjalankan.
  6. Pada tab Scan, pastikan dalam mode Quick.
  7. Pada tab Option, pastikan ceklist pada :
        • Enable Quarantine
        • Enable Memory Scanning
        • Enable FakeAV Scanning
        • Enable Cleaning
        • Enable Rootkit Cleaning
        • Enable Sandbox
        • Enable detection of potentially unwanted programs
        • Enable multithreading
  1. Klik Start untuk memulai Scan.
  2. Biarkan hingga proses scan selesai.

  1. Repair registri yang telah dimodifikasi.
Lakukan langkah-langkah berikut :
  • Salin script dibawah ini dengan notepad :
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee

[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, ShowSuperHidden,0x00010001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, SuperHidden,0x00010001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, HideFileExt,0x00010001,0
HKLM, SOFTWARE\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell, 0, "Explorer.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit, 0, C:\WINDOWS\System32\userinit.exe

[del]
HKCU, Software\WinRAR SFX

  • Simpan file dengan nama “repair.inf”. Gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan.
  • Klik kanan file “repair.inf”, kemudian pilih “install”.
  • Restart komputer.

  1. Bersihkan temporary file dari jejak trojan DorkBot.Bx.
Lakukan langkah-langkah berikut :
  1. Klik Menu Start -> Run
  2. Ketik perintah pada kotak open : cleanmgr , kemudian klik OK.
  3. Pada drive system (C) klik OK, biarkan proses scan drive.
  4. Setelah muncul jendela Disk Cleanup, beri tanda file yang akan di hapus (terutama Temporary Files), kemudian klik OK.
  5. Tunggu hingga selesai.

  1. Install security patch MS10-046 sesuai dengan versi windows yang anda miliki. Silahkan download pada link berikut :

  1. Untuk pembersihan yang optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang ter-update dan mengenali trojan DorkBot.Bx dengan baik.




    sumber informasi 

0 comments:

Post a Comment

Subscribe to: Post Comments (Atom)