Home > Analisa Virus, Antivirus > Analisa Lengkap Virus Windx-Maxtrox: PCMAV 1.6 Update Build3

Analisa Lengkap Virus Windx-Maxtrox: PCMAV 1.6 Update Build3

PERHATIAN PENTING! Karena virus ini dikenal dapat mematikan antivirus, termasuk PCMAV 1.6, setelah diupdate dengan Build3 silakan Anda rename (ubah nama) terlebih dahulu nama folder PCMAV dan file PCMAV-CLN.EXE sebelum dijalankan dengan nama lain asalkan tidak mengandung kalimat PCMAV.

Pengantar Redaksi: Virus Windx-Matrox generasi terbaru ini cukup banyak dilaporkan oleh pembaca PC Media dan menyebar luas di Indonesia. Virus ini secara teknis cukup menarik dan memiliki tantangan tersendiri dalam menganalisanya karena membawa beberapa teknik baru yang termasuk kompleks. Cara penginfeksian file pun dilakukan secara cerdik dan menggunakan teknik enkripsi. Kuat dugaan hal ini dilakukan oleh pembuatnya agar heuristik PCMAV gagal mendeteksi kehadiran virus ini di file yang terinfeksi.

Sepengetahuan kami, sampai tulisan ini dibuat, tidak ada satupun antivirus di dunia yang mampu mengatasi virus ini secara tuntas, termasuk memulihkan file executable yang terinfeksi. Justru antivirus yang ada saat ini malah menghapus file Anda yang telah terinfeksi Windx-Maxtrox.

7 langkah pembersihan manual yang digembar-gemborkan ke beberapa media massa di Indonesia kami nilai tidak banyak membantu mengatasi virus ini secara tuntas. Sayangnya lagi, niat baik pihak tersebut dalam menginformasikan virus ini ke media massa tidak diimbangi oleh kemampuan teknis yang baik dan memadai dalam men-disassembly dan mendekrip virus ini secara menyeluruh. Akibatnya, beberapa informasi untuk membersihkan virus ini malah berakibat fatal yang akan menyebabkan file yang terinfeksi justru terhapus, bukan dipulihkan.

Untuk itulah, PC Media mengeluarkan PCMAV 1.6 Update Build3 yang telah dilengkapi engine cleaner khusus untuk mengatasi virus Windx-Matrox secara tuntas sampai ke “akar-akarnya” serta mampu memulihkan file yang terinfeksi, walau dienkrip, hingga kembali utuh 100%! Jangan ambil risiko, gunakan hanya PCMAV 1.6 Build3 (atau yang terbaru) untuk mengatasi virus ini secara tuntas. Di PCMAV 1.7 nanti engine cleaner khusus ini juga telah tersedia. Selain itu, artikel ini juga dilengkapi hasil analisa lengkap virus Windx-Maxtrox untuk meluruskan beberapa kekeliruan dari analisa virus ini yang sempat beredar di media massa, baik cetak maupun online. Selamat mengikuti…

Update Build3 hadir dengan penambahan 15 pengenal varian virus baru. Bagi Anda pengguna PCMAV 1.6 sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi. Jadi, total virus yang dapat dikenali hingga Build3 kali ini adalah sebanyak 38 virus.

Untuk mendapatkan dan menggunakan update PCMAV ini, pastikan terlebih dahulu PCMAV RealTime Protector tidak sedang aktif. Jika iya, Anda harus menutup aplikasi tersebut terlebih dahulu. Lalu Anda cukup menjalankan PCMAV Cleaner (PCMAV-CLN.exe), tentunya komputer harus dalam keadaan aktif terhubung ke Internet (non-proxy). Fitur GetUpdates dari PCMAV secara otomatis akan memberikan alamat internet yang aktif di mana Anda bisa men-download file update tersebut. Letakkan file hasil download tersebut (PCMAV.vdb) ke dalam folder di mana PCMAV berada. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.

Namun bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui beberapa alamat ini: SendSpace.com, Badongo.com (mirror), atau UploadMB.com (mirror).

Tampilan wallpaper desktop setelah diubah oleh virus Windx-Maxtrox.
Virus Windx-Maxtrox:

  • Maxtrox yang dimaksudkan oleh pembuat virus ini adalah Maximum Troxer. String tersebut tertera pada tubuh virus.
  • Project virus ini menggunakan form yang ia namakan MSystem, dalam form tersebut terdapat beberapa komponen seperti PictureBox, Label, dan lainnya. Selain form, tentunya terdapat juga module di dalamnya. Ia di-compile dengan metode P-code.
  • Virus lokal ini diduga kuat berasal dari daerah Sulawesi Utara seperti varian sebelumnya. Apalagi ini didukung dengan terdapatnya string pengenal pada tubuhnya yakni “UNKLAB” yang diduga menunjuk salah satu perguruan tinggi di sana.
  • Virus ini tidak menggunakan icon, tapi dia memiliki kemampuan untuk mendapatkan icon dari program yang diinfeksinya.
  • Pada saat menginfeksi, virus ini akan menanamkan file induknya pada folder \Windows\System32 dengan nama CommandPrompt.Sysm, Desktop.sysm dan Windows 3D.scr. Dengan sebelumnya, ia telah membuat atau me-register extension baru yakni .MSD dan .SYSM yang akan berjalan sebagai mana layaknya file .EXE.
  • Ia juga menciptakan file induk untuk dijalankan agar aktif di memory, yang disimpannya pada “C:\Documents and Settings\%username%\Application Data\Microsoft” atau “C:\Documents and Settings\%username%\My Network Places\Network Connections\“, dengan menggunakan nama berbeda-beda, yang diambil dari kombinasi string berikut: ux, vc, sc, ds, cs, iz, am, d, n, a, w, h, n, .exe, g.exe, w.exe, a.exe, v.exe, p.exe, t.exe.
  • Untuk dapat aktif otomatis, ia menciptakan registry di “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\” dengan nama VisualStyle.
  • Dia menggunakan teknik enkripsi untuk melindungi string-string di dalamnya. Teknik enkripsi yang digunakan yakni Caesar Cipher, dengan menambahkan atau maju satu karakter.
  • Dia menciptakan sebuah file maxtrox.txt pada direktori System32 yang hanya berisi string “UNKLAB”.
  • Jika ketentuan ini memenuhi syarat “if (Month(Now) Mod 4) = 0) and (Day(Now) < 7) then”  (Setiap tanggal 1-6 di bulan April, Agustus dan Desember) maka, dia akan melakukan beberapa hal sebagai berikut:

Mengubah wallpaper desktop menjadi gambar Maxtrox, di bagian atas terdapat tanggal hari itu, dan di bagian bawah terdapat tulisan “Hello %username%! If you have seen me, you are same as a fool guy!”. %username% merupakan username yang sedang aktif saat itu.

Memeriksa komputer tersebut, jika user menjalankan Antivirus, maka akan ia terminate, dan tulisan di wallpaper berubah menjadi Antivirus detected! Sorry, now it isn’t running anymore!“. Atau jika user menjalankan PCMAV, akan ada tulisan seperti ini “you try to kill me with PCMAV? Try with your ultime version!”. Virus ini memang diketahui memiliki database yang menyimpan string-string beberapa produk antivirus, dan string tersebut juga dalam keadaan ter-enkripsi. Antara lain: mcafee, norton, virusscan, pcmav, spyware, norman, caspersky, chaspersky, symantec, antivirus, scanvirus, esafe, avast, inoculan, f-secure, virus utilities, iris anti, kaspersky, dr. Solomon, netshield, groupshield, thunderbyte, panda antivirus, global virus, vi-spy, sophos anti, interscan, viruswall, webprotect, officescan, scanmail, serverprotect, pc-cillin.

Mengubah wallpaper folder System32, yakni dengan menggunakan gambar yang sama, seperti yang ia ubah untuk wallpaper desktop, dengan tulisan “It’s a pleasure to meet you, %username%. Oh, nice vacation place.”. Dan di sudut pojok kanan terdapat tulisan, “Maximum Troxer”.

Virus ini juga menulis registry untuk autorun pada safe-mode, di:

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\AlterneShell
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\AlterneShell
HKLM\SYSTEM\ControlSet002\Control\SafeBoot\AlterneShell

Ia juga melakukan pemeriksaan secara terus menerus, apabila ditemukan window dengan caption “Windows Task Manager” juga akan ia terminate.

Header executable sebelum dan sesudah di-enkripsi oleh Maxtrox.

Infeksi file .EXE:
Virus ini akan mencoba menginfeksi file-file executable yang ada pada folder Program Files dengan menginfeksikannya secara cerdik:

  • Saat menginfeksi, ia akan terlebih dahulu memastikan apakah file target adalah merupakan file executable, caranya dengan membaca 2 byte pertama dari file target. File executable yang valid, pada 2 byte pertama adalah “MZ” (0x4D5A).
  • Selanjutnya ia akan membaca seluruh tubuh dari file target untuk memeriksa signature nya sendiri, “0xA0 0xA0 0xA0 0x00 0xA0 0x00 0xA0 0xA0 0xA0” (hexa), untuk memastikan apakah file tersebut telah terinfeksi atau belum.
  • Lalu ia akan mempersiapkan buffer baru untuk menginjeksi virus ke dalam file target. Pada buffer tersebut, ia akan meletakan tubuhnya di awal, dan cerdiknya ia juga mengambil bagian resource yang terdiri dari icon dan version information dari file target. Jadi file terinfeksi pun akan memiliki icon dan version information yang sama dengan file aslinya. Jadi, urutan bagan file tersebut menjadi: file virus, resource file target, signature virus, isi file target.
  • Di bagian isi file target pun tidak ia tempelkan begitu saja, karena bagian header-nya juga telah ia ubah sebelumnya, yakni meng-overwrite 2 byte pertama dari 0x4D5A menjadi 0xA0A0. Dan mulai dari offset 0x2 hingga 0x97, ia enkripsi setiap byte-nya menggunakan Caesar Cipher dengan penambahan 2. Ini dilakukan untuk menghindari pendeteksian heuristik PCMAV.
  • Saat file terinfeksi dijalankan, ia terlebih dahulu akan meng-extract file yang diinfeksikannya dari dalam tubuhnya pada direktori yang sama, nama file nya sedikit dibedakan dengan nama file aslinya, karena antara nama file dan extension bukan dipisah oleh titik namun spasi, misalkan dari “wmplayer.exe” menjadi “wmplayer exe”. Lalu, file hasil extract nya tersebut yang akan dijalankan.
Categories: Analisa Virus, Antivirus Tags:
  1. August 26th, 2008 at 19:26 | #1

    thanks for pc media
    jarang – jarang dapet no 1
    maju terus pantang mundur !!!!
    pc mav bisa pa gak untuk scan data yang di compres di rar ?

  2. August 26th, 2008 at 19:27 | #2

    wah wah makin makin berkembang
    besok unutk pcmav 1.7 di tingkatkanlagi ya maju terus pcmav

  3. Vinz___
    August 26th, 2008 at 19:51 | #3

    sedot Lagii ahhh…
    thx update’ny broo…

  4. wizztyo
    August 26th, 2008 at 20:31 | #4

    thanks utk updatenya..viva pcmav…maju terus and keep update..terbukti bahwa anti virus lain…God Bless….

  5. wizztyo
    August 26th, 2008 at 20:32 | #5

    eh ralat terbukti bahwa PCMAV ga kalah keren dari anti virus laen…

  6. ken
    August 26th, 2008 at 21:19 | #6

    mak nyussssss…..

  7. akang
    August 26th, 2008 at 21:30 | #7

    yaaa.. cuma dapet no. urut 6
    btw maju teruuuss

  8. efka
    August 26th, 2008 at 22:00 | #8

    siip, masih top10!
    hidup PCMAV!
    buat yang buat virus: busyet dah! kok sempat2nya sih?

  9. hidetoshi
    August 27th, 2008 at 00:30 | #9

    sipppp 10 besar ga yha?

  10. W15NU
    August 27th, 2008 at 02:30 | #10

    Maju teruzz…pantang mundur!! Tuntas abiz N basmi viruz….

  11. henwij
    August 27th, 2008 at 05:58 | #11

    Kayaknye dah ada dl di PCMAV RC 23 kok skrg muncul

  12. Anto
    August 27th, 2008 at 05:59 | #12

    Penjelasan virus kayak gini neh.yang gw tunggu2.sip ada kemajuan tidak cm edit kayak kemarin2.itung2 bagi2 ilmu pengetahuan.thank berat dech.

  13. @RO
    August 27th, 2008 at 07:37 | #13

    Yessss 12 besar…………..
    PCMAV makin top markotop dah…………
    Gooo…PCMAV….goooooooooooooooooo……….

  14. @RO
    August 27th, 2008 at 08:03 | #14

    hebaatt………

  15. ray
    August 27th, 2008 at 09:44 | #15

    thank’s akhirnya dapat juga antinya. maju terus PCMAV jangan pernah berhenti membasmi Virus2 yang kerjaannya hanya bikin orang suseh.Bro….!!! napa ngana MaxTrox UnKlab PCMAV lebe jago reen. jangan cuma cari sensasi sob.dan mudah-mudahan ngana baca tape pesan ini biar tau rasa bro.

  16. Vxer
    August 27th, 2008 at 10:14 | #16

    Suatu kemajuan bagi pembuat sekarang yg sudah mulai menerapkan teknik PE Infector layaknya virus-virus dr luar negeri… ini suatu kemajuan bagi vxer karena teknik semacam ini sangat jarang ditemukan (virus lokal).. berbeda dgn teknik exe infector yg banyak digunakan virus… virus ini benar-benar mengalami kemajuan… untuk itu pcmav jangan pernah menyerah dgn virus seperti ini…. salam Newbie

  17. Vxer
    August 27th, 2008 at 10:18 | #17

    hahaha Teknik seperti itu mudah untuk dilakukan….. bisa liat tutorial dari “Alcopaul” dari Magazine virusnya…..

  18. leena..
    August 27th, 2008 at 11:42 | #18

    coba scan pc gua dgn ni AV…tetep aja beberepa virus yang tersimpan dipc cuma terbaca sebagai suspected??????padahal virus jadul..

  19. August 27th, 2008 at 11:44 | #19

    No. 19………

  20. August 27th, 2008 at 11:49 | #20

    PCMAV selalu meproklamirkan dirinya sbg antivirus no.1 tapi koq blm bisa scan jaringan y?Kira2 kpn bisanya y?
    Pdhl antivirus lain yg tidak memproklamirkan sebagai no. 1 sdh bisa lho….

  21. August 27th, 2008 at 12:39 | #21

    hebat ya pc media klu mmg benar bisa bersih tuntas maxtroxnya…
    pc media sdh pernah dengar nda ttg maxtrox cleaner yg katanya dibuat olh pembuatnya?
    aqu cma mo nanya klu maxtrox cleaner itu benar2 cleaner or gimana?

  22. August 27th, 2008 at 12:44 | #22

    kapan pc media bisa lebih cepat lagi scan vir nya kayak anti virus2 lainnya…
    apalagi klu sdh pake clamav o my god slownya minta ampun…!!!

  23. malu-malu
    August 27th, 2008 at 14:39 | #23

    Maju terus PCMAV… sering-sering buat ulasan yah… trims

  24. August 27th, 2008 at 15:00 | #24

    tiap mau update online kok server verification eror ya?

  25. adham
    August 27th, 2008 at 20:07 | #25

    kok g’ mempan???? kompiku tetep kena virus. viruse ngrubah file n folder menjadi .scr dan .exe. terdeteksi tapi statusnya kirim ke pcmedia. capek deh…

  26. Pembuat virus
    August 28th, 2008 at 00:13 | #26

    Wah pokoknye pcmedia makin keren

  27. si-manis
    August 28th, 2008 at 04:42 | #27

    banyak yang menyebut bahwa PCMAV antivirus pendusta..
    tapi aku yakin, yang mengerti tentang komputer sepenuhnya.. pasti bisa bedainnya..
    trs berkembang ya PCMAV…

  28. McSura
    August 28th, 2008 at 09:40 | #28

    semangat terus bang! jangan mpe kalah ma pilus maker..

  29. adham
    August 28th, 2008 at 14:29 | #29

    mas, mbak.. kompiku kena virus bluefantasy. gimana ya cara ngilangin?? q dah pake PCMAV 1.6 build3 n ANSAV juga udah. tapi tetap aja. pdhl tak liat di judul dekstopnya virus ini lahir tahun 2007. please deh…

  30. August 28th, 2008 at 16:55 | #30

    USUL lagi neh !! GIMANA KALO PCMAV CLN ama RTP nya digabungin !!

    jujur aja.. gue demen ama PCMAV CLN nya.. coz lebih tuntas ngbersihin vrs..

    (wolopun)virus-virus yang uda senior kadang” gag bisa dbersihin hehe..

  31. Deandi
    August 28th, 2008 at 18:12 | #31

    sya udah download pcman update trbaru pcmav update 1.6 build 1,tp kok virusnya g mau hilang..dstu tertulis virus name “Virus suspected (RD)”
    lalu tertulis “please submit this file to pcmedia….”
    gmn cara ngilangin virusnya?

  32. Sari
    August 28th, 2008 at 18:55 | #32

    PCMAV memang maknyus.

  33. brother
    August 28th, 2008 at 19:32 | #33

    Terima kasih pada PC MAV yg bisa mengatasi virgear. Karena virus itu file mp3 saya sebanyak 8 GB amblas. Tapi yg disayangkan PC MAV hanya bisa menghapus virusnya dan tidak bisa mengembalikan file mp3 yang telah diinfeksi virus. Padahal yg terpenting bukan menghabisi tapi mengobati. GImana nih PC MAV? Apa memang hanya bisa menghabisi saja?
    Apa tidak bisa mengobati?

  34. huusaa
    August 28th, 2008 at 20:02 | #34

    huuuuu,,,,,, baru sekarang, data komputer gue udah ke hapus………………. T_T

  35. huusaa
    August 28th, 2008 at 20:10 | #35

    Kenapa pc mav gak bisa ngapus virus service.exe (trojan.downloader)

  36. August 28th, 2008 at 20:14 | #36

    saran neh buat pcmav…
    kalo naruh file download kenapa gak di server sendiri???
    coz sering gagal download di SendSpace.com, atau UploadMB.com

  37. August 28th, 2008 at 21:03 | #37

    Sip deh PCMAV, keep up todate yah!!
    HIDUP PCMAV!! Maju terus!!

  38. indramario
    August 29th, 2008 at 01:48 | #38

    Gile bener tuh si pembuat virus…. gk tanggung² menghajar system windows dan antivirus….
    tapi gw salut dah ma TEAM PCMAV!!!! semua virus dapat di detect dengan sempurna dan membeberkan informasi setiap virus dengan aksinya…
    thanx PCMAV!!!!

  39. boink
    August 29th, 2008 at 06:52 | #39

    Mending pake Spyware Terminator ajah!
    Tuntas, tas, tas, tas!!!!!!!!!!

  40. August 29th, 2008 at 09:41 | #40

    wah seru nich virus yang baru nich…. aci dech…. 🙂

  41. freek
    August 29th, 2008 at 12:31 | #41

    ada yang tau virus dengan ekstensi aplikasi dengan muatan 211 KB?
    sampai2 FD saya yg berisi data2 hilang semua-
    gimana cara mengatasinya ya?

  42. W15NU
    August 29th, 2008 at 12:44 | #42

    PCMAV 1.6 build 4 uda ada di SendSpace.com..buruan update…

  43. kuntao
    August 29th, 2008 at 13:21 | #43

    pcmav pake Quarantine dunk!!

  44. kuntao
    August 29th, 2008 at 13:28 | #44

    adain pelatihan buat bikin antivirus..atau pelatihan bikin virus paling ganas hehehe….

  45. Zul
    August 29th, 2008 at 13:57 | #45

    Jangan2 PC MAV juga yg buat Virus..

  46. Yong Kri
    August 29th, 2008 at 13:59 | #46

    Herannya sejak PCMAV nongol, virus2 di Indonesia makin ganas. Apakah ada kemungkinan PCMAV yg buat virus sekaligus obatna??

  47. August 29th, 2008 at 15:14 | #47

    analisa yg keren..!

  48. someone
    August 31st, 2008 at 12:47 | #48

    Hello all, thank analist prefected.

  49. sla
    September 2nd, 2008 at 20:45 | #49

    aku rasa ada kongkalikong antar pembuat virus(virus maker ) dan pc mav …..

  50. slengean
    September 3rd, 2008 at 17:16 | #50

    MAJU PERUT PANTAT MUNDUR………

  51. NewBie_ComPi
    September 8th, 2008 at 11:04 | #51

    wah~~~~~…..

    pembuat viruz ga bkl penh tobat ya???

    gw aja lngsung bosen bgtu bwt bbrapa brontok…

    serah bagi para vrusmaker….

    yang pnting pcmav ga bakal biarin lo

  52. katrok
    October 9th, 2008 at 14:22 | #52

    pcku kena virus cetix pake pcmav ga mempan pake bitdefender baru mau amblas….
    gimana nih pcmav? hayooo berjuang terus

  53. nux21
    November 30th, 2008 at 16:08 | #53

    buset….. nga bisa ke scan matrox nya pk pcmav 1.7

    keburu di terminated ama matroxnya….

  54. dian
    December 2nd, 2008 at 12:13 | #54

    selain mematikan antivirus, matrox bikin masalah apa lagi ya ke kompi n jaringan internet? soalnya notebook ku kena niy..

  55. andrian
    December 2nd, 2008 at 13:03 | #55

    komputer gw kena virus autorun.inf,waktu di scan pada virus name muncul tuilsan virus suspected(RD) , jd klo bisa pada majalah pc media berikutnya ditmbh antivirusnya.THX

  56. December 4th, 2008 at 18:53 | #56

    Wahh Nomer Satu Di Engine Google Neh Mantaff…

    Maju Terussssssss

  57. Vanus
    December 4th, 2008 at 21:47 | #57

    Hi PCMedia, thx wat PCMAVnya… keren abis. tapi masih ada masalah. Maxtrox di PC saya masih belum bisa terhapus maksimal, padahal sudah saya scan semua.
    Pertama memang terdeteksi dan terhapus tapi besok-besoknya muncul lagi…
    Alhasil komputer saya di deepfreeze dulu sementara supaya ngga nyebar.
    Btw, ada yang tau cara manual ngelepas ni virus ngga?

  58. December 4th, 2008 at 23:08 | #58

    gmn Cara dpt antivirus PCMAV 1.6 Update Build3′..???

  59. dealova
    December 5th, 2008 at 23:11 | #59

    @ Ai

    buka google, trus ketik PCMAV 1.6 Update Build3

    udah deh keluar tuh. tinggal pilih yang mana yang mau.

  60. December 7th, 2008 at 01:03 | #60

    tp knp kalau pake PCMAV 1.7 tdk bs di clean cm bisa di baca virusx??

  61. dealova
    December 11th, 2008 at 22:22 | #61

    @ Ai

    belum beres juga maxtrox nya?

    coba buka google, ketik akhdian wordpress, masuk.

    download pcmav yang udah disatukan ama clamav. pasti sukses.

  62. December 12th, 2008 at 14:10 | #62

    Wah dapur divisi virus local laris nih …… mantap bikin virus and bikin antivirusnya ha ha ha ha laris-laris mantap

  63. elung_
    December 16th, 2008 at 19:52 | #63

    pc media gw mo nanya, gimana carany njalanin parameter di bawah ini::
    /REGSHELL
    /UNREGSHELL
    /FORCE
    /REGCLEAN
    /NOMEM
    /NOSTARTUP
    /NOUPDATE

  64. November 20th, 2009 at 16:12 | #64

    mantap infonya,….