Trojan.Generic.KD.440xxx (W32/Dorkbot.Bx)

06 Desember 2011
Trojan.Generic.KD.440xxx (W32/Dorkbot.Bx)
Hybrid Kolab dan BitCoinMiner yang Sexy
Menjelang berakhir-nya tahun 2011, tentunya banyak sekali kreasi dan inovasi yang telah di-siapkan bagi setiap perusahaan maupun organisasi dalam menghadapi tantangan kedepan. Dan bahkan juga merupakan salah satu cara untuk dapat mengembangkan ide-ide baru yang positif. Dengan kreasi dan inovasi, maka akan mengurangi sifat cenderung puas dan bersifat stagnan yang justru melemahkan organisasi atau perusahaan.

Walaupun seperti itu, kadang inovasi dan kreasi juga menjadi inspirasi bagi setiap individu yang justru menjadikan-nya sebagai ide-ide baru yang cenderung mengandung hal yang negatif.

Tampaknya ini yang disadari oleh para pembuat malware, pada setiap akhir ataupun awal tahun dengan mengeluarkan varian malware yang memiliki cara-cara baru dalam menginfeksi komputer korban. Salah satu nya malware yang menyebar pada awal bulan ini yang terdeteksi oleh PT. Vaksincom sebagai Trojan.Generic.KD.440xxx atau W32.Dorkbot.Bx. (lihat gambar 1)
Gambar 1, Dorkbot terdeteksi oleh Gdata Antivirus

Jika sebelumnya pernah menyebar varian trojan BitCoinMiner dan trojan Kolab, maka varian ini merupakan "jelmaan baru" dari trojan BitCoinMiner yang menggunakan metode trojan Kolab. Entah apakah merupakan sebuah "merger" antara pembuat malware atau justru sebuah ide kreasi dan inovasi terbaru dari pembuat malware. Artikel BitCoinMiner pernah dibahas oleh Vaksincom pada part1 dan part2. Begitu juga untuk artikel Kolab pada part1 dan part2.

DorkBot.Bx, keluarga ZBOT pencuri data dan pengirim pesan
Umumnya malware ZBOT yaitu sekelompok trojan/backdoor yang dirancang untuk mencuri informasi/data dari pengguna komputer terutama hal-hal yang berhubungan dengan data pribadi keuangan khususnya yang berhubungan dengan Internet Banking.

Sedangkan untuk varian trojan DorkBot.Bx merupakan salah satu varian dari malware ZBOT yang muncul pada awal bulan Desember 2011. Dan sama seperti trojan BitCoinMiner, varian DorkBot.Bx juga memiliki kemampuan mencatat informasi/data yang berhubungan dengan data pribadi seperti username, password, kartu kredit, dan lain-lain. Selain itu komputer yang sudah terinfeksi trojan pun dijadikan sebagai alat bagi pengirim tersebut untuk ikut memecahkan blok-blok kriptografi BitCoin menggunakan akun BitCoin dari si pemilik trojan tersebut

Trojan DorkBot.Bx merupakan salah satu trojan yang telah di modifikasi oleh pembuat malware ZBOT dengan tujuan yang sama dengan trojan BitCoinMiner (yaitu mendapatkan uang dari BitCoin). Trojan ini juga memiliki kemiripan (untuk tidak mengatakan merupakan bagian) malware YM (ChyMine/YiMfoca, yang identik menyebar menggunakan akun YM, Skype, Gtalk, dan lain-lain) karena memiliki file dan lokasi yang sama persis dengan malware YM.

Gejala & Efek Trojan DorkBot.Bx
Beberapa hal yang akan di-alami jika komputer sudah terinfeksi yaitu sebagai berikut :

  • CPU 100%
Sama seperti pendahulu-nya (trojan BitCoinMiner), trojan DorkBot.Bx juga akan membuat CPU anda menjadi “bolot” (100%), dan hal ini karena aktivitas dari trojan yang berusaha menembus kriptografi blok BitCoin dan mencoba aktif terus untuk melakukan pengiriman data (lihat gambar 2).
Gambar 2, CPU load tinggi karena digunakan untuk dekripsi kriptografi
  • Boros Bandwith
Dengan sering-nya melakukan aktivitas kriptografi yang menggunakan sumber daya dari komputer (CPU resource) tentunya akan membuat penggunaan CPU menjadi bolot (100%). Tetapi dibalik itu perlu diperhatikan dari aktivitas penggunaan bandwith internet, karena akibat dari trojan DorkBot.Bx justru membuat bandwith anda menjadi boros. Bagi pengguna internet dengan kuota bandwidth base akan menimbulkan trafik yang tinggi dan tagihan internet yang membengkak. Sering-nya melakukan pengiriman kriptografi ke server BitCoin selama komputer terhubung internet, akan membuat status network “Sent and Recieved” pada LAN Card anda berbeda dengan komputer lain dimana akan lebih banyak paket “sent” dibanding “received”. (lihat gambar 3)

Gambar 3, Paket Sent akan lebih besar dari Recieved

  • Menyembunyikan folder pada drive USB / removable disk
Sama seperti trojan BitCoinMiner, trojan DorkBot.Bx pun juga melakukan hal yang sama yaitu dengan menyembunyikan folder-folder pada USB / removable disk dan membuat sebuah shortcut palsu yang mirip nama folder tersebut. Seperti-nya tren shortcut juga menginspirasi trojan DorkBot.Bx (lihat gambar 4)
Gambar 4, Aksi Dorkbot menyembunyikan folder di USB Flash Disk

  • Melakukan koneksi ke Server BitCoin
Trojan DorkBot.Bx berusaha melakukan koneksi ke Server BitCoin untuk melakukan pengiriman kriptografi blok-blok BitCoin menggunakan akun pembuat malware pada BitCoin. Dengan cara tersebut, maka pembuat malware diuntungkan karena dapat dengan cepat dan mudah melakukan kriptografi blok-blok BitCoin melalui bantuan komputer-komputer yang sudah terinfeksi. Koneksi ke server BitCoin dilakukan pada IP dan host berikut :
Kedua host tersebut sendiri merupakan nama lain dari server BitCoin BTCGuild (http://www.btcguild.com) yang memiliki beberapa IP yang berbeda.

Untuk melakukan tersebut, trojan DorkBot berjalan dalam proses dengan menggunakan nama file “IKnowYouRWatching.exe”. (lihat gambar 5)
Gambar 5, Nama prosesnya “IknowYouRWatching.exe”
  • Melakukan koneksi ke IRC/Remote Server
Trojan DorkBot.Bx juga berusaha melakukan koneksi ke IRC/Remote Server untuk melakukan pengiriman informasi BitCoin pengguna komputer yang dibutuhkan oleh pembuat malware. Koneksi ke IRC server dilakukan pada IP dan host berikut :
Hebat-nya, untuk melakukan hal tersebut trojan DorkBot.Bx menggunakan bantuan dari Windows Explorer (dengan kata lain menumpang/mendompleng aplikasi tersebut). (lihat gambar 6)
Gambar 6, Aksi Dorkbot koneksi IRC menggunakan bantuan Explorer.exe
  • Mendownload file malware
Agar mempermudah aksi-nya, trojan DorkBot.Bx juga melakukan download beberapa file malware tertentu dari IRC/Remote Server agar tetap terupdate dan tidak mudah dikenali oleh antivirus. File malware yang berbeda-beda inilah yang kadang membuat antivirus sulit mendeteksi keberadaan trojan DorkBot.Bx.
  • Mendownload file Certificate Authority (CA)
Pada dasarnya, Certificate Authority (CA) digunakan pada transaksi pembayaran online seperti bank, paypal, dan ribuan situs lain yang menggunakan protokol SSL. Dengan mendownload file CA, pembuat malware ingin memastikan bahwa komputer korban yang terinfeksi sudah memiliki CA yang terupdate sehingga dapat melakukan transaksi BitCoin dengan aman (seperti mengirim poin BitCoin yang sudah didapat oleh komputer korban ke pemilik trojan, dan sebagainya). Trojan DorkBot.Bx mendownload Certificate Authority (CA) pada link berikut :
  • Melakukan transfer data yang telah didapatkan
Tujuan utama dari trojan DorkBot.Bx adalah mendapatkan informasi dari pengguna komputer yang sudah terinfeksi. Untuk melakukan hal tersebut, trojan DorkBot.Bx mengirimkan informasi kepada beberapa IP/hostname berikut :
  • Membuka berbagai port
Trojan DorkBot.Bx juga membuka berbagai port pada komputer korban agar dapat dengan mudah terkoneksi oleh IRC/Remote Server, serta melakukan berbagai aksi dengan leluasa. Beberapa port yang teridentifikasi yaitu sebagai berikut :
  • 80, 443, 666, 1056, 1059, 3211, 3212, 1429, 1431, 1582, 1594, 1602, 1610, 1614, 1626, 1630, 1634, 4291, 4843, 4894, 4898, 4902, 4906, 4910, 4918, 4922, 4930, 4934, 4938, 4942, 8332

Tidak tertutup kemungkinan port-port lain pun akan digunakan oleh trojan DorkBot.Bx.

File Trojan DorkBot.Bx
Sama seperti trojan BitCoinMiner, Trojan DorkBot.Bx juga dibuat menggunakan bahasa pemrograman C++. Hanya saja tampak perbedaan dari segi icon yang sudah berubah walaupun sama-sama memiliki ukuran yang ukuran yang berbeda-beda. Berikut ciri-ciri file trojan DorkBot.Bx sebagai berikut :
  • Memiliki ukuran beragam dari 150 kb s/d 600 kb
  • Type file “Application”
  • Icon file menggunakan gambar “pornografi”
  • Memiliki ekstensi “exe” (lihat gambar 7)
Gambar 7, Icon Dorkbot menggunakan gambar sexy


Jika trojan DorkBot.Bx sudah menginfeksi, maka akan membuat beberapa file sebagai berikut :
  • C:\Documents and Settings\[UserName]\Application Data\[1].exe
  • C:\Documents and Settings\[UserName]\Application Data\[1].tmp
  • C:\Documents and Settings\[UserName]\Application Data\[angka_acak].exe
  • C:\Documents and Settings\[UserName]\Application Data\[angka_acak].tmp
  • C:\Documents and Settings\[UserName]\Application Data\[nama_acak].exe
File [1].exe dan [angka_acak].exe merupakan file Winrar SFX archive yang saat dijalankan akan meng-extract file malware lain yaitu :
  • C:\Documents and Settings\[UserName]\Start Menu\Programs\Startup\Demokratska2.exe
File “Demokratska[angka].exe” tersebut jika dijalankan akan meng-extract file malware lain yaitu :
  • C:\Documents and Settings\[UserName]\Application Data\PickaVamMaterina2\HDZ.exe
  • C:\Documents and Settings\[UserName]\Application Data\PickaVamMaterina2\Ivo_Sanader.exe
Selain itu, trojan DorkBot.Bx akan mendownload varian malware lain yaitu pada :
  • C:\Documents and Settings\[UserName]\Application Data\PickaVamMaterina2\HaHaHa.exe
  • C:\Documents and Settings\[UserName]\Application Data\PickaVamMaterina2\IKnowYouRWatching.exe
Dan pada USB/Removable drive juga akan membuat beberapa file yaitu :
  •     [nama_folder].lnk (tergantung banyak-nya jumlah folder)
  •     RECYCLER\Desktop.ini
  •     RECYCLER\[nama_acak].exe
Modifikasi Registry
Perubahan registry yang dilakukan oleh trojan DorkBot.Bx antara lain sebagai berikut :
  • Menambah Registry
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

[nama_acak] = C:\ Documents and Settings\[UserName]\Application Data\[nama_acak].exe

HKEY_CURRENT_USER\Software\WinRAR SFX

C:\Documents and Settings%%UserName%%Start Menu%Programs%Startup = C:\Documents and Settings\[UserName]\Start Menu\Programs\Startup

C%%Documents and Settings%%UserName%%Application Data%PickaVamMaterina2 =

C:\ Documents and Settings\[UserName]\Application Data\PickaVamMaterina2


Mengadopsi Facebook Chat
Beberapa metode yang dilancarkan oleh trojan DorkBot.Bx yaitu sebagai berikut :
  • Facebook Chat
Cara ini merupakan metode baru yang digunakan trojan DorkBot.Bx dibandingkan trojan BitCoinMiner atau pun trojan Kolab. Dengan memberikan sebuah link url yang telah di rubah menjadi singkat, sehingga pengguna akan mudah tertipu. 
Gambar 8, Facebook Chat penyebar DorkBot

Jika pengguna menjalankan link URL tersebut, maka akan men-download file yang menggunakan nama file dan icon yang cukup “sexy”. (lihat gambar 9)
Gambar 9, File dengan nama SexyPic dan Icon gambar sexy digunakan untuk memancing korbannya menjalankan file.

    USB / Removable Drive

    Metode ini adalah metode yang umum dan sering dilakukan oleh para pengguna komputer. Trojan DorkBot.Bx membuat beberapa file agar menginfeksi komputer yaitu :

        [nama_folder].lnk (tergantung banyak-nya jumlah folder)

        RECYCLER\Desktop.ini

        RECYCLER\[nama_acak].exe

    Agar dapat langsung aktif saat menghubungkan USB / Removable drive, trojan DorkBot.Bx memanfaatkan celah keamanan Windows yaitu MS10-046 (Windows Icon handler) /LNK yang membuat file shortcut/LNK dari trojan akan dapat aktif saat kita mengakses drive tersebut.
Share by: