Awas virus hahahahaha.exe” Yang Akan Menyedot Resource Komputer

File Trojan BitCoinMiner/BtcMine

Salah satu keunikan dari BitCoinMiner ini adalah ia akan menampilkan dirinya dalam icon-icon kotak warna-warni dan di dalam kotak tersebut akan ada huruf-huruf abjad (lihat gambar 12). Menurut perkiraan penulis, abjad tersebut merupakan cara pembuat torjan ini untuk mengidentifikasi jenis trojan BitCoinMiner yang dibuatnya. Trojan BitCoinMiner/BtcMine dibuat menggunakan bahasa pemrograman C++. Varian dari trojan ini memiliki varian yang sangat banyak dan beragam, serta memiliki ukuran yang berbeda-beda. Berikut ciri-ciri file trojan sebagai berikut :

  • Memiliki ukuran beragam dari 100 kb s/d 600 kb

  • Type file “Application”

  • Icon file menggunakan huruf abjad yang berbeda-beda pada setiap varian

  • Memiliki ekstensi “exe”

Gambar 12, File trojan BitCoinMiner/BtcMine

Saat trojan BitCoinMiner/BtcMine berhasil dijalankan, trojan akan membuat beberapa file yaitu :

  • C:\Documents and Settings\[UserName]\[nama_acak].exe

  • C:\Documents and Settings\[UserName]\secupdat.dat

  • C:\Documents and Settings\[UserName]\Application Data\[angka_acak1].exe

  • C:\Documents and Settings\[UserName]\Application Data\[angka_acak2].exe

  • C:\Documents and Settings\[UserName]\Application Data\[nama_acak].exe (file trojan BitCoinMiner/BtcMine)

  • C:\Documents and Settings\[UserName]\Application Data\data.dat

  • C:\WINDOWS\system32\secupdat.dat

File [angka_acak1].exe dan [angka_acak2].exe merupakan file Winrar SFX archive yang saat dijalankan akan meng-extract file malware lain yaitu : (lihat gambar 13)

  • C:\Documents and Settings\[UserName]\Start Menu\Programs\Startup\hahahahaha.exe

Gambar 13, File trojan BitCoinMiner/BtcMine

File “hahahahaha.exe” tersebut jika dijalankan akan meng-ekstrak file malware lain juga yaitu :

  • C:\Documents and Settings\[UserName]\Local Settings\Temp\abc\[nama_acak].cmd / [nama_acak].bat

  • C:\Documents and Settings\[UserName]\Local Settings\Temp\abc\hstart.exe / hsbc.exe

  • C:\Documents and Settings\[UserName]\Local Settings\Temp\abc\mamita.exe / taskmgr.exe / svchoost.exe

Selain itu trojan juga akan berusaha mendownload file malware lain yang baru yaitu :

  • C:\Documents and Settings\[UserName]\Application Data\[angka_acak_baru].exe

File [angka_acak_baru].exe tersebut jika dijalankan akan mengekstrak beberapa file yaitu :

  • C:\Documents and Settings\[UserName]\Local Settings\Temp\abcd\[nama_acak].cmd / [nama_acak].bat

  • C:\Documents and Settings\[UserName]\Local Settings\Temp\abcd\hstart.exe / hsbc.exe

  • C:\Documents and Settings\[UserName]\Local Settings\Temp\abcd\cgminer.exe

  • C:\Documents and Settings\[UserName]\Local Settings\Temp\abcd\libcurl-4.dll

  • C:\Documents and Settings\[UserName]\Local Settings\Temp\abcd\pthreadGC2-w32.dll

  • C:\Documents and Settings\[UserName]\Local Settings\Temp\abcd\phatk110722.cl

  • C:\Documents and Settings\[UserName]\Local Settings\Temp\abcd\poclbm110717.cl

Untuk file hstart.exe atau hsbc.exe merupakan sebuah aplikasi yang digunakan untuk menyembunyikan script file [nama_acak].cmd atau[nama_acak].bat dari tampilan layar menjadi aktif dan berjalan di background. (lihat gambar 14)

Gambar 14, File Hstart.exe (Hidden Start)

Sedangkan file mamita.exe, svchoost.exe, taskmgr.exe, dan cgminer.exe merupakan file eksekusi yang digunakan untuk melakukan koneksi ke server BitCoin menggunakan user dan password pemilik trojan. Melalui file inilah komputer pengguna yang sudah terinfeksi digunakan untuk memecahkan blok-blok kriptografi dari BitCoin secara terus menerus, sehingga menyebabkan CPU meningkat 100% dan bandwith internet menjadi boros. Jika anda menggunakan internet dengan bandwidth base, hal ini dapat mengakibatkan membengkaknya tagihan internet anda. Cgminer.exesendiri memiliki beberapa file yang disertakan agar dapat berjalan normal yaitu : libcurl-4.dll, pthreadGC2-w32.dll, phatk110722.cl, poclbm110717.cl. (lihat gambar 15)

Gambar 15, File Cgminer.exe melakukan koneksi ke server BitCoin dan mencoba memecahkan blok-blok BitCoin

Selain itu pada USB / removable disk akan membuat beberapa file yaitu :

  • [nama_folder].lnk (tergantung banyak-nya jumlah folder pada USB / removable disk

  • RECYCLER\Desktop.ini

  • RECYCLER\[acak].exe (file trojan BitCoinMiner/BtcMine)

Modifikasi Registri

Beberapa modifikasi registri yang dilakukan oleh trojan BitCoinMiner/BtcMine antara lain sebagai berikut :

  • Menambah Registri

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

MSConfig = C:\Documents and Settings\[UserName]\[nama_acak].exe

[nama_acak] = C:\ Documents and Settings\[UserName]\Application Data\[nama_acak].exe

HKEY_CURRENT_USER\Software\WinRAR SFX

C%%Documents and Settings%%UserName%%Start Menu%Programs%Startup = C:\Documents and Settings\[UserName]\Start Menu\Programs\Startup

C%%DOCUME~1%%UserName%%LOCALS~1%Temp%abc = C:\Documents and Settings\[UserName]\Local Settings\Temp\abc

  • Mengubah Registry

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Userinit = C:\WINDOWS\System32\userinit.exe

Metode Penyebaran

Beberapa cara trojan BitCoinMiner/BtcMine melakukan penyebaran yaitu sebagai berikut :

  • USB / Removable drive

Metode ini adalah metode yang umum dilakukan oleh para pengguna komputer. Trojan membuat beberapa file agar menginfeksi komputer yaitu :

    • [nama_folder].lnk (tergantung banyak-nya jumlah folder pada USB / removable disk

    • RECYCLER\Desktop.ini

    • RECYCLER\[acak].exe (file trojan BitCoinMiner/BtcMine)

Agar dapat langsung aktif saat menghubungkan USB / Removable drive, trojan BitCoinMiner/BtcMine memanfaatkan celah keamanan Windows yaitu MS10-046 (Windows Icon handler) /LNK yang membuat file shortcut/LNK dari trojan akan dapat aktif saat kita mengakses drive tersebut. (lihat gambar 16)

Gambar 16, Trojan BitCoinMiner/BtcMine pada USB / Removable drive

  • Internet

Selain menggunakan media USB / Removable drive, trojan BitCoinMiner/BtcMine menyebar melalui media internet (baik melalui e-mail mapun saat akses/browsing internet). Umumnya trojan BitCoinMiner/BtcMine bisa menyebar melalui link-link yang ada pada e-mail, atau link pop-up pada browser pada website-website yang berhasil disusupi malware oleh pembuat trojan BitCoinMiner/BtcMine.

Pembersihan trojan BitCoinMiner/BtcMine

  1. Putuskan koneksi jaringan/internet.

  2. Lakukan pembersihan trojan pada mode “safe mode”.

Lakukan langkah-langkah berikut :

  1. Restart komputer (jika dalam keadaan mati tinggal tekan tombol power)

  2. Saat akan booting tekan tombol F8 pada keyboard secara secara terus menerus hingga muncul layar “Safe Mode” (lihat gambar 17)

Gambar 17,Mode “Safe Mode”

  1. Pilih mode “Safe Mode”, dan klik [Enter]

  2. Biarkan berjalan hingga masuk menu Login Windows.

  • Matikan dan hapus trojan BitCoinMiner/BtcMine.

Lakukan langkah-langkah berikut :

  1. Download removal tools (pada komputer yang bersih) untuk membersihkan trojan BitCoinMiner/BtcMine pada komputer yang belum terinfeksi pada link berikut : (lihat gambar 18)

Dr.Web Cure-It!

http://www.freedrweb.com/download+cureit/?nc=t&lng=en

Norman Malware Cleaner

http://normanasa.vo.llnwd.net/o29/public/Norman_Malware_Cleaner.exe

Gambar 18, Dr.Web CureIt! Mendeteksi trojan BitCoinMiner/BtcMine

  1. Setelah selesai, kompres file tersebut hingga menjadi file zip.

  2. Copy file tersebut dan letakkan dimana saja pada komputer yang terinfeksi.

  3. Klik kanan file zip tersebut, kemudian klik explore.

  4. Klik 2x file yang sudah di-explore tersebut untuk menjalankan, kemudian klik Run.

  5. Jika sudah muncul jendela Dr.Web CureIt, klik OK untuk menjalankan dalam mode EPM (Enhanced Protection Mode).

  6. Klik Start untuk memulai Scan, dan klik Yes untuk memulai.

  7. Biarkan hingga proses scan selesai.

  • Repair registri yang telah dimodifikasi.

Lakukan langkah-langkah berikut :

  • Salin script dibawah ini dengan notepad :

[Version]

Signature=”$Chicago$”

Provider=Vaksincom Oyee

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, ShowSuperHidden,0x00010001,1

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, SuperHidden,0x00010001,1

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, HideFileExt,0x00010001,0

HKLM, SOFTWARE\CLASSES\batfile\shell\open\command,,,”””%1″” %*”

HKLM, SOFTWARE\CLASSES\comfile\shell\open\command,,,”””%1″” %*”

HKLM, SOFTWARE\CLASSES\exefile\shell\open\command,,,”””%1″” %*”

HKLM, SOFTWARE\CLASSES\piffile\shell\open\command,,,”””%1″” %*”

HKLM, SOFTWARE\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell, 0, “Explorer.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit, 0, C:\WINDOWS\System32\userinit.exe

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Run, MSConfig

HKCU, Software\WinRAR SFX

  • Simpan file dengan nama “repair.inf”. Gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan.

  • Klik kanan file “repair.inf”, kemudian pilih “install”.

  • Restart komputer.

  • Bersihkan temporary file dari jejak trojan BitCoinMiner/BtcMine.

Lakukan langkah-langkah berikut :

  1. Klik Menu Start -> Run

  2. Ketik perintah pada kotak open : cleanmgr , kemudian klik OK.

  3. Pada drive system (C) klik OK, biarkan proses scan drive.

  4. Setelah muncul jendela Disk Cleanup, beri tanda file yang akan di hapus (terutama Temporary Files), kemudian klik OK.

  5. Tunggu hingga selesai.

  • Install security patch MS10-046 sesuai dengan versi windows yang anda miliki. Silahkan download pada link berikut :

http://www.microsoft.com/technet/security/Bulletin/MS10-046.mspx

  • Untuk pembersihan yang optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang ter-update dan mengenali trojanBitCoinMiner/BtcMine dengan baik.

Salam,

Ad Sap

info@vaksin.com

PT. Vaksincom

Jl. R.P. Soeroso 7AA

Jakarta 10330

Ph: 021 3190 3800

Fx: 021 3190-3500

About the Author

has written 100 stories on this site.

3 Comments on “Awas virus hahahahaha.exe” Yang Akan Menyedot Resource Komputer”

  • yogjakarta wrote on 30 August, 2011, 6:50

    semakin banyak aja jenis virus http://kabarit.com/wp-includes/images/smilies/icon_cry.gif

  • Eka Machrudi wrote on 30 August, 2011, 11:08

    wiihh… ngeri ini…
    musti di simak baik-baik…

  • Wahyu Tirta wrote on 5 September, 2011, 10:29

    terima kasih atas tutorial yang sangat bermanfaat ini… ini bisa menjadi referensi saya untuk menjaga keamanan laptop saya 😀
    saya tunggu tutorial selanjutnya,, semoga SUKSES… 😀

Write a Comment

Gravatars are small images that can show your personality. You can get your gravatar for free today!

Isi dan komentar tanggung jawab masing masing pengirim. Gambar yang ditampilkan dalam artikel tidak selamanya mencerminkan isi artikel atau produk .Hanya dipakai sebagai Ilustrasi berita.





Web Security Made Easy         > | © 2009   > Hosted by : Web Developer Jogja | WebQilat |
2019 | kabarIT.com. All rights reserved.
KabarIT merupakan techno blog yang menyajikan informasi seputar IT yang hangat dan menarik. Isi dan komentar tanggung jawab masing-masing komentar. Selengkapnya...