mumtazanas.wordpress.com

antivirus, freeware, tips dan trik, seo, advertising

PCMAV 1.6 Update Build 3 dan Analisa Lengkap Virus Windx-Maxtrox


Pengantar Redaksi: Virus Windx-Matrox generasi terbaru ini cukup banyak dilaporkan oleh pembaca PC Media dan menyebar luas di Indonesia. Virus ini secara teknis cukup menarik dan memiliki tantangan tersendiri dalam menganalisanya karena membawa beberapa teknik baru yang termasuk kompleks. Cara penginfeksian file pun dilakukan secara cerdik dan menggunakan teknik enkripsi. Bahkan antivirus luar yang heuristiknya termasuk paranoid tidak mampu mendeteksi kehadiran virus ini di file yang terinfeksi.

Sepengetahuan kami, sampai tulisan ini dibuat, tidak ada satupun antivirus di dunia yang mampu mengatasi virus ini secara tuntas, termasuk memulihkan file executable yang terinfeksi. Justru antivirus yang ada saat ini malah menghapus file Anda yang telah terinfeksi Windx-Maxtrox.

Pembersihan manual yang digembar-gemborkan ke beberapa media massa di Indonesia kami nilai tidak banyak membantu mengatasi virus ini secara tuntas. Sayangnya lagi, niat baik pihak tersebut dalam menginformasikan virus ini ke media massa tidak diimbangi oleh kemampuan teknis yang baik dan memadai dalam men-disassembly dan mendekrip virus ini secara menyeluruh. Akibatnya, beberapa informasi untuk membersihkan virus ini malah berakibat fatal yang akan menyebabkan file yang terinfeksi justru terhapus, bukan dipulihkan.

Untuk itulah, PC Media mengeluarkan PCMAV 1.6 Update Build3 yang telah dilengkapi engine cleaner khusus untuk mengatasi virus Windx-Matrox secara tuntas sampai ke “akar-akarnya” serta mampu memulihkan file yang terinfeksi, walau dienkrip, hingga kembali utuh 100%! Jangan ambil risiko, gunakan hanya PCMAV 1.6 Build3 untuk mengatasi virus ini secara tuntas. Di PCMAV 1.7 nanti engine cleaner khusus ini juga telah tersedia. Selain itu, artikel ini juga dilengkapi hasil analisa lengkap virus Windx-Maxtrox untuk meluruskan beberapa kekeliruan dari analisa virus ini yang sempat beredar di media massa, baik cetak maupun online. Selamat mengikuti…

Update Build3 hadir dengan penambahan 15 pengenal varian virus baru. Bagi Anda pengguna PCMAV 1.6 sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi. Jadi, total virus yang dapat dikenali hingga Build3 kali ini adalah sebanyak 38 virus.

Untuk mendapatkan dan menggunakan update PCMAV ini, pastikan terlebih dahulu PCMAV RealTime Protector tidak sedang aktif. Jika iya, Anda harus menutup aplikasi tersebut terlebih dahulu. Lalu Anda cukup menjalankan PCMAV Cleaner (PCMAV-CLN.exe), tentunya komputer harus dalam keadaan aktif terhubung ke Internet (non-proxy). Fitur GetUpdates dari PCMAV secara otomatis akan memberikan alamat internet yang aktif di mana Anda bisa men-download file update tersebut. Letakkan file hasil download tersebut (PCMAV.vdb) ke dalam folder di mana PCMAV berada. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.

Namun bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui beberapa alamat ini:

[Download Update Build 3 PCMAV 1.6]

[Link Download Mirror]

Virus Windx-Maxtrox:

  • Maxtrox yang dimaksudkan oleh pembuat virus ini adalah Maximum Troxer. String tersebut tertera pada tubuh virus.
  • Project virus ini menggunakan form yang ia namakan MSystem, dalam form tersebut terdapat beberapa komponen seperti PictureBox, Label, dan lainnya. Selain form, tentunya terdapat juga module di dalamnya. Ia di-compile dengan metode P-code.
  • Virus lokal ini diduga kuat berasal dari daerah Sulawesi Utara seperti varian sebelumnya. Apalagi ini didukung dengan terdapatnya string pengenal pada tubuhnya yakni “UNKLAB” yang diduga menunjuk salah satu perguruan tinggi di sana.
  • Virus ini tidak menggunakan icon, tapi dia memiliki kemampuan untuk mendapatkan icon dari program yang diinfeksinya.
  • Pada saat menginfeksi, virus ini akan menanamkan file induknya pada folder \Windows\System32 dengan nama CommandPrompt.Sysm, Desktop.sysm dan Windows 3D.scr. Dengan sebelumnya, ia telah membuat atau me-register extension baru yakni .MSD dan .SYSM yang akan berjalan sebagai mana layaknya file .EXE.
  • Ia juga menciptakan file induk untuk dijalankan agar aktif di memory, yang disimpannya pada “C:\Documents and Settings\%username%\Application Data\Microsoft” atau “C:\Documents and Settings\%username%\My Network Places\Network Connections\“, dengan menggunakan nama berbeda-beda, yang diambil dari kombinasi string berikut: ux, vc, sc, ds, cs, iz, am, d, n, a, w, h, n, .exe, g.exe, w.exe, a.exe, v.exe, p.exe, t.exe.
  • Untuk dapat aktif otomatis, ia menciptakan registry di “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\” dengan nama VisualStyle.
  • Dia menggunakan teknik enkripsi untuk melindungi string-string di dalamnya. Teknik enkripsi yang digunakan yakni Caesar Cipher, dengan menambahkan atau maju satu karakter.
  • Dia menciptakan sebuah file maxtrox.txt pada direktori System32 yang hanya berisi string “UNKLAB”.
  • Jika ketentuan ini memenuhi syarat “if (Month(Now) Mod 4) = 0) and (Day(Now) < 7) then” (Setiap tanggal 1-6 di bulan April, Agustus dan Desember) maka, dia akan melakukan beberapa hal sebagai berikut:

Mengubah wallpaper desktop menjadi gambar Battosai, di bagian atas terdapat tanggal hari itu, dan di bagian bawah terdapat tulisan “Hello %username%! If you have seen me, you are same as a fool guy!”. %username% merupakan username yang sedang aktif saat itu.

Memeriksa komputer tersebut, jika user menjalankan Antivirus, maka akan ia terminate, dan tulisan di wallpaper berubah menjadi Antivirus detected! Sorry, now it isn’t running anymore!“. Atau jika user menjalankan PCMAV, akan ada tulisan seperti ini “you try to kill me with PCMAV? Try with your ultime version!”. Virus ini memang diketahui memiliki database yang menyimpan string-string beberapa produk antivirus, dan string tersebut juga dalam keadaan ter-enkripsi. Antara lain: mcafee, norton, virusscan, pcmav, spyware, norman, caspersky, chaspersky, symantec, antivirus, scanvirus, esafe, avast, inoculan, f-secure, virus utilities, iris anti, kaspersky, dr. Solomon, netshield, groupshield, thunderbyte, panda antivirus, global virus, vi-spy, sophos anti, interscan, viruswall, webprotect, officescan, scanmail, serverprotect, pc-cillin.

Mengubah wallpaper folder System32, yakni dengan menggunakan gambar yang sama, seperti yang ia ubah untuk wallpaper desktop, dengan tulisan “It’s a pleasure to meet you, %username%. Oh, nice vacation place.”. Dan di sudut pojok kanan terdapat tulisan, “Maximum Troxer”.

Virus ini juga menulis registry untuk autorun pada safe-mode, di:

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\AlterneShell
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\AlterneShell
HKLM\SYSTEM\ControlSet002\Control\SafeBoot\AlterneShell

Ia juga melakukan pemeriksaan secara terus menerus, apabila ditemukan window dengan caption “Windows Task Manager” juga akan ia terminate.

Header executable sebelum dan sesudah di-enkripsi oleh Maxtrox.

Infeksi file .EXE:
Virus ini akan mencoba menginfeksi file-file executable yang ada pada folder Program Files dengan menginfeksikannya secara cerdik:

  • Saat menginfeksi, ia akan terlebih dahulu memastikan apakah file target adalah merupakan file executable, caranya dengan membaca 2 byte pertama dari file target. File executable yang valid, pada 2 byte pertama adalah “MZ” (4D5Ah).
  • Selanjutnya ia akan membaca seluruh tubuh dari file target untuk memeriksa signature nya sendiri, “0xA0 0xA0 0xA0 0×00 0xA0 0×00 0xA0 0xA0 0xA0″ (hexa), untuk memastikan apakah file tersebut telah terinfeksi atau belum.
  • Lalu ia akan mempersipakan buffer baru untuk menginjeksi virus ke dalam file target. Pada buffer tersebut, ia akan meletakan tubuhnya di awal, dan cerdiknya ia juga mengambil bagian resource yang terdiri dari icon dan version information dari file target. Jadi file terinfeksi pun akan memiliki icon dan version information yang sama dengan file aslinya. Jadi, urutan bagan file tersebut menjadi: file virus, resource file target, signature virus, isi file target.
  • Di bagian isi file target pun tidak ia tempelkan begitu saja, karena bagian header-nya juga telah ia ubah sebelumnya, yakni meng-overwrite 2 byte pertama dari 0×4D5A menjadi 0xA0A0. Dan mulai dari offset 0×2 hingga 0×97, ia enkripsi setiap byte-nya menggunakan Caesar Cipher dengan penambahan 2.
  • Saat file terinfeksi dijalankan, ia terlebih dahulu akan meng-extract file yang diinfeksikannya dari dalam tubuhnya pada direktori yang sama, nama file nya sedikit dibedakan dengan nama file aslinya, karena antara nama file dan extension bukan dipisah oleh titik namun spasi, misalkan dari “wmplayer.exe” menjadi “wmplayer exe”. Lalu, file hasil extract nya tersebut yang akan dijalankan.

PERHATIAN PENTING! Karena virus ini dikenal dapat mematikan antivirus, termasuk PCMAV 1.6, setelah diupdate dengan Build3 silakan Anda rename (ubah nama) terlebih dahulu file PCMAV-CLN.EXE sebelum dijalankan, misalkan menjadi 123456.EXE atau nama lain berekstensi .EXE.


11 responses to “PCMAV 1.6 Update Build 3 dan Analisa Lengkap Virus Windx-Maxtrox

  1. al-husaini September 3, 2008 pukul 3:12 p

    tolong yib, ane masih bingung mo donlod, lwt ziddu ma bizhat pdhl ane dah reg ke ziddu ttp aje kaga’ bisa ma mskin sekuriti kod d bizhat d anggep salah terus, syuqron yib! marhabban romadlon!

    coba pakai internet explorer, pakai firefox suka error

  2. duta Agustus 30, 2008 pukul 3:12 p

    ternyata tak mempan juga pcmav 1.6 build3 ini, file wordku terserang virus, dg size 132 kb…abis semua data word jadi *.exe, eh pcmav 1.6 b3 gak mampu tuh.. terpaksa kirim sample virusnya ke pcmedia.. tapi terima kasih juga udah upload pcmav ini ya mas.. sukses…

  3. septivan Agustus 30, 2008 pukul 3:12 p

    Assl. Ms saya mau tanya klo aplikasi seperti cek virus itu sebenarnya antivirus atau virus sih? soalnya komputer q pernah kena termasuk flashdisk. Aplikasinya itu seperti folder yang didalamnya terdapat 3 file yakni cek virus.exe, dan 2 file berekstensi .dll. Pernah saya coba scan pake antivirus spt PCMAV(seblmnya sdh saya rename dulu),symantec, dan AVG tetapi tidak terdeteksi sebagai virus. Mohon bantuannya.Trims.Wssl

    wa’alaikumussalam, klo yg asli bukan virus

  4. masadrians Agustus 29, 2008 pukul 3:12 p

    makasih mas udah mau share

  5. yusup Agustus 29, 2008 pukul 3:12 p

    Baru download. tapi blm pernah ketemu mas katrok. o iya pc mav sering tidak jalan pada winxp yg sudah terinfeksi. Tertulis file telah rusak oleh virus, tapi pd win 98 selalu ok. waktu itu kompiku kena stration, sality, killav, tr drop a1, tr drop a2 dll. aq blm bisa pastikan yg mana penyebabnya. Tjd sejak pcmav rc 14.

  6. zetta172 Agustus 29, 2008 pukul 3:12 p

    komputer saya sedang banyak virusnya. sedang cari antivirus nih. makasih infonya.

  7. pc_rusak Agustus 28, 2008 pukul 3:12 p

    mnta artikelnya ya mas……….
    trims………….

  8. eshape Agustus 28, 2008 pukul 3:12 p

    Tidak salah kalau ada yang memilih blog ini sebagai salah satu blog terbaik di Indonesia.

    Salam dan selamat berbagi, karena memang ebrbagi itu Indah.

    eshape

  9. Morning Coffee Agustus 28, 2008 pukul 3:12 p

    wuih… lengkapnya penjelasan ini…
    saya langsung ke linknya ya… hehe… dasar pemalas, nanti kalau ada masalah baru ke petunjuknya ;)
    Btw, thanx bgt…. saya save tulisannya ….

  10. ajiexku Agustus 27, 2008 pukul 3:12 p

    makasih banyak infonya…
    gue jadi tau banayk ttg virus.hehehe

  11. ZAKKI Agustus 27, 2008 pukul 3:12 p

    Trims
    Moga
    Jadi Amal Jariah

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

%d blogger menyukai ini: