Menjelang berakhir-nya tahun 2011, tentunya banyak sekali kreasi dan inovasi yang telah di-siapkan bagi setiap perusahaan maupun organisasi dalam menghadapi tantangan kedepan. Dan bahkan juga merupakan salah satu cara untuk dapat mengembangkan ide-ide baru yang positif. Dengan kreasi dan inovasi, maka akan mengurangi sifat cenderung puas dan bersifat stagnan yang justru melemahkan organisasi atau perusahaan.
Walaupun seperti itu, kadang inovasi dan kreasi juga menjadi inspirasi bagi setiap individu yang justru menjadikan-nya sebagai ide-ide baru yang cenderung mengandung hal yang negatif.
Tampaknya ini yang disadari oleh para pembuat malware, pada setiap akhir ataupun awal tahun dengan mengeluarkan varian malware yang memiliki cara-cara baru dalam menginfeksi komputer korban. Salah satu nya malware yang menyebar pada awal bulan ini yang terdeteksi oleh PT. Vaksincom sebagai Trojan.Generic.KD.440xxx atau W32.Dorkbot.Bx. (lihat gambar 1)
DorkBot.Bx, keluarga ZBOT pencuri data dan pengirim pesan
Umumnya malware ZBOT yaitu sekelompok trojan/backdoor yang dirancang untuk mencuri informasi/data dari pengguna komputer terutama hal-hal yang berhubungan dengan data pribadi keuangan khususnya yang berhubungan dengan Internet Banking.
Sedangkan untuk varian trojan DorkBot.Bx merupakan salah satu varian dari malware ZBOT yang muncul pada awal bulan Desember 2011. Dan sama seperti trojan BitCoinMiner, varian DorkBot.Bx juga memiliki kemampuan mencatat informasi/data yang berhubungan dengan data pribadi seperti username, password, kartu kredit, dan lain-lain. Selain itu komputer yang sudah terinfeksi trojan pun dijadikan sebagai alat bagi pengirim tersebut untuk ikut memecahkan blok-blok kriptografi BitCoin menggunakan akun BitCoin dari si pemilik trojan tersebut
Trojan DorkBot.Bx merupakan salah satu trojan yang telah di modifikasi oleh pembuat malware ZBOT dengan tujuan yang sama dengan trojan BitCoinMiner (yaitu mendapatkan uang dari BitCoin). Trojan ini juga memiliki kemiripan (untuk tidak mengatakan merupakan bagian) malware YM (ChyMine/YiMfoca, yang identik menyebar menggunakan akun YM, Skype, Gtalk, dan lain-lain) karena memiliki file dan lokasi yang sama persis dengan malware YM.
Gejala & Efek Trojan DorkBot.Bx
Beberapa hal yang akan di-alami jika komputer sudah terinfeksi yaitu sebagai berikut :
Sama seperti pendahulu-nya (trojan BitCoinMiner), trojan DorkBot.Bx juga akan membuat CPU anda menjadi “bolot” (100%), dan hal ini karena aktivitas dari trojan yang berusaha menembus kriptografi blok BitCoin dan mencoba aktif terus untuk melakukan pengiriman data (lihat gambar 2).
Dengan sering-nya melakukan aktivitas kriptografi yang menggunakan sumber daya dari komputer (CPU resource) tentunya akan membuat penggunaan CPU menjadi bolot (100%). Tetapi dibalik itu perlu diperhatikan dari aktivitas penggunaan bandwith internet, karena akibat dari trojan DorkBot.Bx justru membuat bandwith anda menjadi boros. Bagi pengguna internet dengan kuota bandwidth base akan menimbulkan trafik yang tinggi dan tagihan internet yang membengkak. Sering-nya melakukan pengiriman kriptografi ke server BitCoin selama komputer terhubung internet, akan membuat status network “Sent and Recieved” pada LAN Card anda berbeda dengan komputer lain dimana akan lebih banyak paket “sent” dibanding “received”. (lihat gambar 3)
Sama seperti trojan BitCoinMiner, trojan DorkBot.Bx pun juga melakukan hal yang sama yaitu dengan menyembunyikan folder-folder pada USB / removable disk dan membuat sebuah shortcut palsu yang mirip nama folder tersebut. Seperti-nya tren shortcut juga menginspirasi trojan DorkBot.Bx (lihat gambar 4)
Agar mempermudah aksi-nya, trojan DorkBot.Bx juga melakukan download beberapa file malware tertentu dari IRC/Remote Server agar tetap terupdate dan tidak mudah dikenali oleh antivirus. File malware yang berbeda-beda inilah yang kadang membuat antivirus sulit mendeteksi keberadaan trojan DorkBot.Bx.
File Trojan DorkBot.Bx
Sama seperti trojan BitCoinMiner, Trojan DorkBot.Bx juga dibuat menggunakan bahasa pemrograman C++. Hanya saja tampak perbedaan dari segi icon yang sudah berubah walaupun sama-sama memiliki ukuran yang ukuran yang berbeda-beda. Berikut ciri-ciri file trojan DorkBot.Bx sebagai berikut :
ika trojan DorkBot.Bx sudah menginfeksi, maka akan membuat beberapa file sebagai berikut :
File [1].exe dan [angka_acak].exe merupakan file Winrar SFX archive yang saat dijalankan akan meng-extract file malware lain yaitu :
[nama_folder].lnk (tergantung banyak-nya jumlah folder)
RECYCLER\Desktop.ini
RECYCLER\[nama_acak].exe
Walaupun seperti itu, kadang inovasi dan kreasi juga menjadi inspirasi bagi setiap individu yang justru menjadikan-nya sebagai ide-ide baru yang cenderung mengandung hal yang negatif.
Tampaknya ini yang disadari oleh para pembuat malware, pada setiap akhir ataupun awal tahun dengan mengeluarkan varian malware yang memiliki cara-cara baru dalam menginfeksi komputer korban. Salah satu nya malware yang menyebar pada awal bulan ini yang terdeteksi oleh PT. Vaksincom sebagai Trojan.Generic.KD.440xxx atau W32.Dorkbot.Bx. (lihat gambar 1)
Gambar 1, Dorkbot terdeteksi oleh Gdata Antivirus |
DorkBot.Bx, keluarga ZBOT pencuri data dan pengirim pesan
Umumnya malware ZBOT yaitu sekelompok trojan/backdoor yang dirancang untuk mencuri informasi/data dari pengguna komputer terutama hal-hal yang berhubungan dengan data pribadi keuangan khususnya yang berhubungan dengan Internet Banking.
Sedangkan untuk varian trojan DorkBot.Bx merupakan salah satu varian dari malware ZBOT yang muncul pada awal bulan Desember 2011. Dan sama seperti trojan BitCoinMiner, varian DorkBot.Bx juga memiliki kemampuan mencatat informasi/data yang berhubungan dengan data pribadi seperti username, password, kartu kredit, dan lain-lain. Selain itu komputer yang sudah terinfeksi trojan pun dijadikan sebagai alat bagi pengirim tersebut untuk ikut memecahkan blok-blok kriptografi BitCoin menggunakan akun BitCoin dari si pemilik trojan tersebut
Trojan DorkBot.Bx merupakan salah satu trojan yang telah di modifikasi oleh pembuat malware ZBOT dengan tujuan yang sama dengan trojan BitCoinMiner (yaitu mendapatkan uang dari BitCoin). Trojan ini juga memiliki kemiripan (untuk tidak mengatakan merupakan bagian) malware YM (ChyMine/YiMfoca, yang identik menyebar menggunakan akun YM, Skype, Gtalk, dan lain-lain) karena memiliki file dan lokasi yang sama persis dengan malware YM.
Gejala & Efek Trojan DorkBot.Bx
Beberapa hal yang akan di-alami jika komputer sudah terinfeksi yaitu sebagai berikut :
- CPU 100%
Sama seperti pendahulu-nya (trojan BitCoinMiner), trojan DorkBot.Bx juga akan membuat CPU anda menjadi “bolot” (100%), dan hal ini karena aktivitas dari trojan yang berusaha menembus kriptografi blok BitCoin dan mencoba aktif terus untuk melakukan pengiriman data (lihat gambar 2).
Gambar 2, CPU load tinggi karena digunakan untuk dekripsi kriptografi |
- Boros Bandwith
Dengan sering-nya melakukan aktivitas kriptografi yang menggunakan sumber daya dari komputer (CPU resource) tentunya akan membuat penggunaan CPU menjadi bolot (100%). Tetapi dibalik itu perlu diperhatikan dari aktivitas penggunaan bandwith internet, karena akibat dari trojan DorkBot.Bx justru membuat bandwith anda menjadi boros. Bagi pengguna internet dengan kuota bandwidth base akan menimbulkan trafik yang tinggi dan tagihan internet yang membengkak. Sering-nya melakukan pengiriman kriptografi ke server BitCoin selama komputer terhubung internet, akan membuat status network “Sent and Recieved” pada LAN Card anda berbeda dengan komputer lain dimana akan lebih banyak paket “sent” dibanding “received”. (lihat gambar 3)
Gambar 3, Paket Sent akan lebih besar dari Recieved |
- Menyembunyikan folder pada drive USB / removable disk
Sama seperti trojan BitCoinMiner, trojan DorkBot.Bx pun juga melakukan hal yang sama yaitu dengan menyembunyikan folder-folder pada USB / removable disk dan membuat sebuah shortcut palsu yang mirip nama folder tersebut. Seperti-nya tren shortcut juga menginspirasi trojan DorkBot.Bx (lihat gambar 4)
Gambar 4, Aksi Dorkbot menyembunyikan folder di USB Flash Disk |
- Mendownload file malware
Agar mempermudah aksi-nya, trojan DorkBot.Bx juga melakukan download beberapa file malware tertentu dari IRC/Remote Server agar tetap terupdate dan tidak mudah dikenali oleh antivirus. File malware yang berbeda-beda inilah yang kadang membuat antivirus sulit mendeteksi keberadaan trojan DorkBot.Bx.
File Trojan DorkBot.Bx
Sama seperti trojan BitCoinMiner, Trojan DorkBot.Bx juga dibuat menggunakan bahasa pemrograman C++. Hanya saja tampak perbedaan dari segi icon yang sudah berubah walaupun sama-sama memiliki ukuran yang ukuran yang berbeda-beda. Berikut ciri-ciri file trojan DorkBot.Bx sebagai berikut :
- Memiliki ukuran beragam dari 150 kb s/d 600 kb
- Type file “Application”
- Icon file menggunakan gambar “pornografi”
- Memiliki ekstensi “exe” (lihat gambar 5)
Gambar 7, Icon Dorkbot menggunakan gambar sexy |
ika trojan DorkBot.Bx sudah menginfeksi, maka akan membuat beberapa file sebagai berikut :
- C:\Documents and Settings\[UserName]\Application Data\[1].exe
- C:\Documents and Settings\[UserName]\Application Data\[1].tmp
- C:\Documents and Settings\[UserName]\Application Data\[angka_acak].exe
- C:\Documents and Settings\[UserName]\Application Data\[angka_acak].tmp
- C:\Documents and Settings\[UserName]\Application Data\[nama_acak].exe
File [1].exe dan [angka_acak].exe merupakan file Winrar SFX archive yang saat dijalankan akan meng-extract file malware lain yaitu :
- C:\Documents and Settings\[UserName]\Start Menu\Programs\Startup\Demokratska2.exe
- C:\Documents and Settings\[UserName]\Application Data\PickaVamMaterina2\HDZ.exe
- C:\Documents and Settings\[UserName]\Application Data\PickaVamMaterina2\Ivo_Sanader.exe
- C:\Documents and Settings\[UserName]\Application Data\PickaVamMaterina2\HaHaHa.exe
- C:\Documents and Settings\[UserName]\Application Data\PickaVamMaterina2\IKnowYouRWatching.exe
[nama_folder].lnk (tergantung banyak-nya jumlah folder)
RECYCLER\Desktop.ini
RECYCLER\[nama_acak].exe
0 komentar:
Posting Komentar
No Spam Brader :)