Virus BitCoin Miner yang membuat penciptanya bak memiliki tambang uang mulai terdeteksi di Indonesia. Berikut adalah ciri-ciri komputer yang terjangkit program jahat tersebut.
1.CPU 100%
Sama seperti pendahulu-nya, trojan BitCoinMiner/BtcMine juga akan menggunakan CPU resource anda menjadi 100%, dan hal ini karena aktivitas dari trojan yang berusaha menembus kriptografi blok BitCoin dan mencoba aktif terus untuk melakukan pengiriman data.
2.Boros Bandwith
Dengan seringnya melakukan aktivitas kriptografi yang menggunakan sumber daya dari komputer (CPU resource) tentunya akan membuat penggunaan CPU menjadi 100%. Tetapi di balik itu perlu diperhatikan dari aktivitas penggunaan bandwith internet, karena akibat dari trojan BitCoinMiner/BtcMine justru membuat bandwith anda menjadi boros.
Seringnya melakukan pengiriman kriptografi ke server BitCoin selama komputer terhubung internet, akan membuat status pada LAN Card anda berbeda dengan komputer lain dimana pada umumnya paket receive (download) akan jauh lebih besar daripada sent (upload) tetapi untuk komputer terinfeksi virus ini akan mengakibatkan paket sent (upload) lebih besar dari receive (download) (lihat gambar 3).
Hal ini perlu menjadi perhatian anda khususnya yang menggunakan koneksi internet yang dihitung berdasarkan bandwidth yang anda gunakan.
3.Menyembunyikan drive USB / removable disk
4.Menyembunyikan folder pada drive USB / removable disk
5.Berjalannya aplikasi Command Prompt pada Task Manager
6.Melakukan koneksi ke Server BitCoin
Dengan cara tersebut, maka pembuat malware diuntungkan karena dapat dengan cepat dan mudah melakukan kriptografi blok-blok BitCoin melalui bantuan komputer-komputer yang sudah terinfeksi. Koneksi ke server BitCoin dilakukan pada IP dan host berikut :
http://b.mobinil.biz:8332/
host http://b.mobinil.biz sendiri merupakan nama lain dari server BitCoin BTCGuild (http://www.btcguild.com) yang memiliki beberapa IP yaitu :
46.4.116.147
46.4.123.12
69.42.216.173
108.60.208.157
7.Melakukan koneksi ke IRC/Remote Server
http://92.243.1.61:3212/
http://92.243.1.63:3212/
http://92.243.4.133:5900/
http://92.243.9.86:3211/
http://92.243.9.86:3212/
http://92.243.9.86:3333/
http://92.243.9.86:4949/
Dengan menggunakan user yang acak dan password ‘ngrBot’, trojan BitCoinMiner/BtcMine melakukan koneksi ke Remote Server dengan mudah dan pengiriman informasi berjalan dengan lancar.
Hebatnya, untuk melakukan hal tersebut trojan BitCoinMiner/BtcMine menggunakan bantuan dari Windows Explorer (dengan kata lain menumpang/mendompleng aplikasi tersebut)
8.Mengunduh file malware
File malware yang berbeda-beda inilah yang kadang membuat antivirus sulit mendeteksi keberadaan trojan BitCoinMiner/BtcMine. Umumnya link download yang digunakan adalah sebagai berikut :
http://[acak1].fileave.com/[acak1].exe (file malware baru yang sudah ter-update)
http://[acak2].fileave.com/[acak2].exe
http://[acak3].fileave.com/[acak3].exe
9.Mengunduh file Certificate Authority (CA)
Dengan mendownload file CA, pembuat malware ingin memastikan bahwa komputer korban yang terinfeksi sudah memiliki CA yang terupdate sehingga dapat melakukan transaksi BitCoin yang sah (seperti mengirim poin BitCoin yang sudah didapat oleh komputer korban ke pemilik trojan, dan sebagainya). Trojan BitCoinMiner/BtcMine mengunduh Certificate Authority (CA) pada link berikut :
http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab
http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt
10.Melakukan transfer data yang telah didapatkan
http://api.wipmania.com/ atau http://213.251.170.52 (informasi IP komputer yang terinfeksi)
https://216.246.8.230:443 (transfer BitCoin via SSL)
http://67.228.81.181/ atau http://195.122.131.7/ (menyimpan informasi pada media server yang sudah tersedia)
11.Membuka berbagai port
80, 443, 1056, 1059, 3211, 3212, 3333, 4949, 5900, 8332
0 comments
Post a Comment