Kaskus

Tech

rixtheblueAvatar border
TS
rixtheblue
Virus baru. Yg punya masalah kompie or lapie cpu usage 100% or bandwith cpt abis
Mangap kalo emoticon-Blue Repost jangan di emoticon-Bata (S) ane cuma mau share. Mudah2x an brguna. Ngeliat bebrapa user di kaskus ada yang kena problem/masalah mirip ciri2x dari virus ini. Ane jadi pengen share dikit. Neh gan beritanye
detikcom - Jakarta, Virus BitCoin Miner yang membuat penciptanya bak memiliki tambang uang mulai terdeteksi di Indonesia. Berikut adalahciri-ciri komputer yang terjangkit program jahat tersebut.
CPU 100%
Sama seperti pendahulu-nya, trojan BitCoinMiner/BtcMine juga akan menggunakan CPU resource anda menjadi 100%, dan hal ini karena aktivitas dari trojan yang berusaha menembus kriptografi blok BitCoin dan mencoba aktif terus untuk melakukan pengiriman data.
Boros Bandwith
Dengan seringnya melakukan aktivitas kriptografi yang menggunakan sumber daya dari komputer (CPU resource) tentunya akan membuat penggunaan CPU menjadi 100%. Tetapi di balik itu perludiperhatikan dari aktivitas penggunaan bandwith internet, karena akibat dari trojan BitCoinMiner/BtcMine justru membuatbandwith anda menjadi boros.
Seringnya melakukan pengiriman kriptografi ke server BitCoin selama komputer terhubung internet, akan membuat status pada LAN Card anda berbeda dengan komputer lain dimana pada umumnya paket receive (download) akan jauh lebih besar daripada sent (upload) tetapi untuk komputer terinfeksi virus ini akan mengakibatkan paket sent (upload) lebih besar dari receive (download) (lihat gambar 3).
Hal ini perlu menjadi perhatian anda khususnya yang menggunakan koneksi internet yang dihitung berdasarkan bandwidth yang anda gunakan.
Menyembunyikan drive USB / removable disk
Agar tidak mudah dilakukan pembersihan dari antivirus atau removal tools, trojan BitCoinMiner/BtcMine menyembunyikan drive USB / removable disk pada Windows Explorer. Walaupun coba di akses melalui Computer Management, tetapi drive akan hilang kembali.
Menyembunyikan folder pada drive USB / removable disk
Jika sebelumnya trojan BitCoinMiner/BtcMine telah berhasil menyembunyikan USB / removable disk pada komputer yang terinfeksi, maka sebenarnya folder-folder pada USB / removable disk tersebutpun telah berhasil disembunyikan dan dipalsukan dengan membuat sebuah shortcut yang mirip nama folder tersebut. Sepertinya trik shortcut jugamenginspirasi trojan ini.
Berjalannya aplikasi Command Prompt pada Task Manager
Muncul secara terus menerus aplikasi Command Prompt yang tersembunyi pada Windows Task Manager
Melakukan koneksi ke Server BitCoin
Trojan BitCoinMiner/BtcMine berusaha melakukan koneksi ke Server BitCoin untuk melakukan pengiriman kriptografi blok-blok BitCoin menggunakan akun pembuat malware pada BitCoin.
Dengan cara tersebut, maka pembuat malware diuntungkan karena dapat dengan cepat dan mudah melakukan kriptografi blok-blok BitCoin melalui bantuan komputer-komputer yang sudah terinfeksi. Koneksi ke server BitCoin dilakukan pada IP dan host berikut :
http://b.mobinil.biz:8332/
host http://b.mobinil.bizsendiri merupakan nama lain dari server BitCoin BTCGuild (http://www.btcguild.com) yang memiliki beberapa IP yaitu :
*. 46.4.116.147
*. 46.4.123.12
*. 69.42.216.173
*. 108.60.208.157
Melakukan koneksi ke IRC/Remote Server
Trojan BitCoinMiner/BtcMine berusaha melakukan koneksi ke IRC/Remote Server untuk melakukanpengiriman informasi BitCoin pengguna komputer yang dibutuhkan oleh pembuat malware. Koneksi ke IRC server dilakukan pada IP dan host berikut :
*. http://92.243.1.61:3212/
*. http://92.243.1.63:3212/
*. http://92.243.4.133:5900/
*. http://92.243.9.86:3211/
*. http://92.243.9.86:3212/
*. http://92.243.9.86:3333/
*. http://92.243.9.86:4949/ Dengan menggunakan user yang acak dan password 'ngrBot', trojan BitCoinMiner/BtcMine melakukan koneksi ke Remote Server dengan mudah dan pengiriman informasi berjalan dengan lancar.
Hebatnya, untuk melakukan hal tersebut trojan BitCoinMiner/BtcMine menggunakan bantuan dari WindowsExplorer (dengan kata lain menumpang/mendompleng aplikasi tersebut)
Mengunduh file malware
Ibarat Sentinel Prime yang menggunakan teleport dalam rangka mengundang bangsa robot menaklukkan bumi, trojan BitCoinMiner/BtcMine juga melakukandownload beberapa file malware tertentu dari IRC/Remote Server agar tetap terupdate dan tidak mudah dikenali oleh antivirus.
File malware yang berbeda-beda inilah yang kadang membuat antivirussulit mendeteksi keberadaan trojan BitCoinMiner/BtcMine. Umumnya link download yang digunakan adalah sebagai berikut :
[url]http://[acak1].fileave.com/[/url][acak1].exe (file malware baru yang sudah ter-update)
[url]http://[acak2].fileave.com/[/url][acak2].exe
[url]http://[acak3].fileave.com/[/url][acak3].exe
Mengunduh file Certificate Authority (CA)
Pada dasarnya, Certificate Authority (CA) digunakan pada transaksi pembayaran online seperti bank, paypal, dan ribuan situs lain yang menggunakan protokol SSL.
Dengan mendownload file CA, pembuat malware ingin memastikan bahwa komputer korban yang terinfeksi sudah memiliki CA yang terupdate sehingga dapat melakukan transaksi BitCoin yang sah (seperti mengirim poin BitCoin yang sudah didapat oleh komputer korban ke pemilik trojan, dan sebagainya). Trojan BitCoinMiner/BtcMine mengunduh Certificate Authority (CA) pada link berikut :
http://www.download.windowsupdate.co...uthrootstl.cab
http://www.download.windowsupdate.co...uthrootseq.txt
Melakukan transfer data yang telah didapatkan
Tujuan utama dari trojan BitCoinMiner/BtcMine adalah mendapatkan informasi dari pengguna komputer yang sudah terinfeksi. Untuk melakukan hal tersebut, trojan BitCoinMiner/BtcMine mengirimkan informasi kepada beberapa IP/hostname berikut :
http://api.wipmania.com/ atau [url]http://213.251.170.52(informasi[/url] IP komputer yang terinfeksi)
https://216.246.8.230:443 (transfer BitCoin via SSL)
http://67.228.81.181/ atau http://195.122.131.7/(menyimpan informasi pada media server yang sudah tersedia)
Membuka berbagai port
Trojan BitCoinMiner/BtcMine juga membuka berbagai port pada komputer korban agar dapat dengan mudah terkoneksi oleh IRC/Remote Server, serta melakukan berbagai aksidengan leluasa. Beberapa port yang teridentifikasi yaitu sebagai berikut :
80, 443, 1056, 1059, 3211, 3212, 3333, 4949, 5900, 8332
Tidak tertutup kemungkinan port-port lain pun akan digunakan oleh BitCoinMiner/BtcMine.
*Penulis, Adi Saputra merupakan Laband Research Head Vaksincom. Jadi kalo ada kompi punya masalah mirip ama ciri2x virus ne hati2x gan. Cs katanye anvir aj susah detect nye.
0
5.9K
87
Thread Digembok
Urutan
Terbaru
Terlama
Thread Digembok
Komunitas Pilihan