Dorkbot merupakan maleware yang cukup berbahaya, karena telah menggabungkan teknik Trojan BitCoinMiner dan Trojan Kolab, dan menjelma menjadi satu malware yang cukup berbahaya. Kekuatan dan teknik DorkBot sampai detik ini sudah mampu menembus proteksi bebrapa antivirus.
Sebenarnya DorkBot Trojan DorkBot.Bx merupakan salah satu varian dari malware ZBOT yang muncul pada awal bulan Desember 2011. Varian DorkBot.Bx juga memiliki kemampuan mencatat informasi/data yang berhubungan dengan data pribadi seperti username, password, kartu kredit, dan lain-lain.
Trojan DorkBot.Bx memiliki kemiripan dengan malware YM (ChyMine/YiMfoca, yang menyebar menggunakan akun YM, Skype, Gtalk, dan lain-lain) karena memiliki file dan lokasi yang sama persis dengan malware YM.
Gejala dan efek
Ada beberapa gejala dan efek bila komputer telah terkena infeksi Trojan ini. Beberapa diantaranya adalah :
1. CPU Sibuk
Sama seperti Trojan BitCoinMiner, DorkBot.Bx juga akan membuat CPU anda menjadi lambat, ini karena aktivitas dari Trojan yang berusaha menembus Kriptografi blok BitCoin dan mencoba aktif terus untuk melakukan pengiriman data.
2. Boros bandwith
Karena sering melakukan pengiriman Kriptografi ke server BitCoin selama komputer terhubung internet, akan membuat status network “Sent ans Received” pada LAN Card menjadi super sibuk, terutama pada operasi “Sent” disbanding “Received”. Trojan ini akan mengirimkan paket ke alamat :
- http://hdzx.aquarium-stakany.org:8332
- http://static.247.42.9.176.clients.your-server...
Kedua alamat itu merupakan nama lain dari Server BitCoin BTCGuild (http://www.btcguild.com) yang memiliki beberapa IP yang berbeda. Untuk melakukan tersebut, Trojan DorkBot berjalan dalam proses menggunakan nama file “IKnowYouRWatching.exe”.
Trojan DorkBot.Bx juga berusaha melakukan koneksi ke IRC/Remote Server untuk melakukan pengiriman informasi BitCoin pengguna komputer yang dibutuhkan oleh pembuat malware. Koneksi ke IRC server dilakukan pada IP dan host berikut :
http://178.79.175.22:80/
http://70.38.98.237:80/
http://xvm-20-57.ghs.net:666/
http://xvm-24-196.ghs.net:666/
Dan beberapa IP yang acak.
Hebat-nya, untuk melakukan hal tersebut Trojan DorkBot.Bx menggunakan bantuan dari Windows Explorer (dengan kata lain menumpang/ mendompleng aplikasi tersebut).
3. Menyembunyikan folder pada drive usb / removable disk
Trojan DorkBot.Bx akan menyembunyikan folder-folder pada USB / removable disk dan membuat sebuah shortcut palsu yang mirip nama folder tersebut.
4. Mendownload file maleware
Agar mempermudah aksi-nya, Trojan DorkBot.Bx juga melakukan download beberapa file malware tertentu dari IRC/Remote Server agar tetap terupdate dan tidak mudah dikenali oleh antivirus. File malware yang berbeda-beda inilah yang kadang membuat antivirus sulit mendeteksi keberadaan Trojan DorkBot.Bx.
5. Membuka berbagai port
Trojan DorkBot.Bx juga membuka berbagai port pada komputer korban agar dapat dengan mudah terkoneksi oleh IRC/Remote Server, serta melakukan berbagai aksi dengan leluasa. Beberapa port yang teridentifikasi yaitu sebagai berikut :
80, 443, 666, 1056, 1059, 3211, 3212, 1429, 1431, 1582, 1594, 1602, 1610, 1614, 1626, 1630, 1634, 4291, 4843, 4894, 4898, 4902, 4906, 4910, 4918, 4922, 4930, 4934, 4938, 4942, 8332.
Tidak tertutup kemungkinan port-port lain pun akan digunakan oleh Trojan DorkBot.Bx.
Ciri-ciri file Trojan dorkbot.bx
Trojan DorkBot.Bx dibuat menggunakan bahasa C++. Hanya saja tampak perbedaan dari segi icon yang sudah berubah walaupun sama-sama memiliki ukuran yang berbeda-beda. Berikut cirri-ciri file Trojan DorkBot.Bx sebagai berikut :
- Memiliki ukuran beragam dari 150 kb s/d 600 kb
- Type file “application”
- Icon file menggunakan gambar “Pornografi”
- Memiliki ekstensi “exe”.
Jika Trojan DorkBot.Bx sudah menginfeksi, maka akan membuat beberapa file sebagai berikut :
- C:\Documents and Settings\[UserName]\Application Data\[1].exe
- C:\Documents and Settings\[UserName]\Application Data\[1].tmp
- C:\Documents and Settings\[UserName]\Application Data\[angka_acak].exe
- C:\Documents and Settings\[UserName]\Application Data\[angka_acak].tmp
- C:\Documents and Settings\[UserName]\Application Data\[nama_acak].exe
File [1].exe dan [angka_acak].exe merupakan file Winrar SFX archive yang saat dijalankan akan mengextract file malware lain yaitu :
- C:\Documents and Settings\[UserName]\Start Menu\Programs\Startup\Demokratska2.exe
File “Demokratska[angka].exe” tersebut jika dijalankan akan mengextract file malware lain yaitu :
- C:\Documents and Settings\[UserName]\Application Data\PickaVamMaterina2\HDZ.exe
- C:\Documents and Settings\[UserName]\Application Data\PickaVamMaterina2\Ivo_Sanader.exe
Selain itu, Trojan DorkBot.Bx akan mendownload varian malware lain yaitu pada :
- C:\Documents and Settings\[UserName]\Application Data\PickaVamMaterina2\HaHaHa.exe
- C:\Documents and Settings\[UserName]\Application Data\PickaVamMaterina2\IKnowYouRWatching.exe
Pada flashdisk juga akan membuat beberapa file yaitu :
- [nama_folder].lnk (tergantung banyak-nya jumlah folder)
- RECYCLERDesktop.ini
- RECYCLER[nama_acak].exe
Modifikasi registry
Perubahan registry yang dilakukan oleh Trojan DorkBot.Bx antara lain sebagai berikut :
- [nama_acak] = C:\Documents and Settings\[UserName]\Application Data\[nama_acak].exe
- HKEY_CURRENT_USERSoftwareWinRAR SFX
- C:\Documents and Settings\[UserName]\Start Menu\Programs\Startup
- C:\Documents and Settings\[UserName]\Application Data\PickaVamMaterina2
Mengadopsi facebook chat
Cara ini merupakan metode baru yang digunakan Trojan DorkBot.Bx. Dengan memberikan sebuah link URL yang telah dirubah menjadi singkat, sehingga pengguna akan mudah tertipu. Jika pengguna menjalankan link URL tersebut, maka akan mendownload file yang menggunakan nama dan icon yang cukup “sexy”.
Bahkan Sophos memperingatkan bahwa malware ini menyebar dari Facebook melalui Facebook chat. Laporan telah muncul mengenai worm baru baru yang mencuri akun Facebook dengan menyamar sebagai link yang dikirimkan oleh teman-teman yang terdaftar.
Sophos menegaskan bahwa “Malware yang dirancang untuk menginstall worm DorkBot ke komputer pengguna dan terus menyebar, dan, hingga saat ini, system keamanan Facebook belum bisa mencegahnya.”
Memang, hal ini bukan pertama kalinya jejaring sosial digunakan untuk membajak account dan menginfeksi pengguna dengan malware seprti Zeus atay variannya.
Perusahaan keamanan online terus untuk memperingatkan pengguna unutk waspada dan tidak hanya mendownload link yang dikirim oleh teman-teman.
Langganan:
Posting Komentar (Atom)
0 komentar:
Posting Komentar