Masih ingatkah anda pada artikel virus batosai (virus yang mengubah background folder windows menjadi background gambar komik Jepang, Batosai) http://vaksin.com/2007/1007/Batosai.htm. Kali ini, yang mendapatkan “giliran” untuk menjadi thema dari pembuat virus adalah Maxtrox (Maximum Troxer). Bila anda bingung apa yang dimaksudkan dengan Maximum Troxer, tanya rekan anda penggemar game. Bagi pecinta game online, tentu sangat familiar dengan game dari Blizzard Entertaiment yaitu World of Warcraft. Entah apa hubungannya antara game ini dengan virus, kemungkinan besar si pembuat virus ini merupakan salah satu penggemar game ini.
Norman Security Suite, kategori virus ini teridentifikasi sebagai W32/Dloader.HFZC. (lihat gambar 1)
Gambar 1, Norman Security Suite mendeteksi Maxtrox sebagai W32/Dloader.HFZC
Ciri-ciri File Virus
Ciri-ciri dari file virus ini diantaranya sebagai berikut :
-
Menggunakan icon WinRAR
-
Memiliki ukuran 77 KB
-
Type file “application” dan “screen saver”
-
Memiliki ekstensi utama “exe” dan “scr”, dengan pendukung “msd” dan “sysm” (lihat gambar 2)
Gambar 2, Contoh file virus MaxTrox
Mengubah Wallpaper
Salah satu efek utama dari virus MaxTrox adalah mengubah wallpaper dekstop menjadi gambar MaxTrox (Maximum Troxer), dengan tambahan waktu di tengah atas dan comment di tengah bawah serta identitas di kiri bawah. (lihat gambar 3)
Gambar 3, Wallpaper yang dibuat oleh virus MaxTrox
Wallpaper ini akan aktif pada setiap tanggal 1 s/d 6 pada bulan April, Agustus dan Desember. Waktu yang dibuat oleh virus selalu berubah sesuai dengan waktu pada komputer user. Untuk comment yang dibuat menyesuaikan dengan nama user yang aktif saat ini.
Mengubah background folder WINDOWS
Sama seperti virus batosai, MaxTrox merubah tampilan background folder WINDOWS dengan background MaxTrox. (lihat gambar 4)
Gambar 4, Background folder WINDOWS yang diubah oleh virus MaxTrox
Duplikat File dan Merubah ekstensi File .exe
Jika diperhatikan dengan teliti, salah satu ciri khas Maxtrox selain menggantikan wallpaper adalah berusaha menggantikan file .exe asli dari folder Program Files. Caranya adalah dengan menduplikasi file asli kemudian menambahkan spasi (space) pada file asli, exe tanpa spasi menjadi exe dengan spasi. (lihat gambar 5)
Gambar 5, Maxtrox memalsukan diri sebagai file executable di Program Files dan menggantikan file asli dengan cara menambahkan spasi
Dengan cara ini, maka virus berusaha menggantikan file asli dengan file palsu yang telah terinject virus. User tetap dapat menjalankan program asli yang disertai menjalankan pula file virus. Sedangkan file executable yang asli telah di-rename menjadi ekstensi exe (exe dengan tambahan spasi).
Register Ekstensi
Untuk mengelabui user dan mendukung aksi-nya, virus meregister ekstensi file virus (msd dan sysm). Msd dengan type Microsoft System Direct, dan Sysm dengan type System Mechanic. (lihat gambar 6)
Gambar 6, Ekstensi MSD dan SYSM yang diregister ke registri
Membuat folder Palsu
Untuk menunjang aksi-nya dan mencoba mengelabui user, virus membuat folder palsu sebagai tempat berkumpulnya virus. Dalam hal ini dia membuat folder “My Network Places\Network Connections” (lihat gambar 7)
Gambar 7 folder palsu yang dibuat sebagai penunjang aksi virus
File-file Virus
Sama seperti pendahulunya, virus ini memiliki beberapa file induk yaitu :
-
C:\Documents and Settings\%user%\Start Menu\Programs\Startup\Microsoft Connection.msd
-
C:\WINDOWS\system32\Windows 3D.scr
-
C:\WINDOWS\system32\CommandPrompt.Sysm
-
C:\WINDOWS\system32\Desktop.Sysm
Setelah infeksi, virus membuat sekumpulan file virus pada folder palsu yaitu :
aiza.exe, aizg.exe, aizw.exe, amaw.exe, amha.exe, amn.exe, asc.exe, asct.exe, auxw.exe, avc.exe, csa.exe, csda.exe, csnp.exe, csw.exe, cswg.exe, dsdv.exe, dsha.exe, dsnv.exe, dswa.exe, dswp.exe, duxp.exe, dvcw.exe, huxa.exe, izav.exe, izha.exe, iznv.exe, nam.exe, ncs.exe, ndsg.exe, nizv.exe, nscp.exe, sca.exe, scat.exe, scdw.exe, scg.exe, schg.exe, scnv.exe, scwg.exe, uxnw.exe, vc.exe, vcg.exe, vcna.exe, vcwg.exe, vcwt.exe,wamg.exe, wdsp.exe, wdsw.exe, wizw.exe, wscg.exe, wscp.exe, wuxv.exe, wvca.exe.
Virus juga menduplikasi file dan menggantikan file executable asli program. Virus akan membuat file exe virus yang sama persis dengan file asli, sedangkan file asli akan di-rename menjadi file exe (file exe dengan spasi). Seluruh file exe pada folder Program Files akan di duplikasi virus.
Selain itu, virus juga membuat beberapa file pendukung yaitu :
C:\Documents and Settings\%user%\My Network Places\Network Connections\%USER% ANGEL.bmp
C:\WINDOWS\desktop.ini
C:\WINDOWS\system32\XPs.ini
C:\WINDOWS\system32\maxtrox.txt
Manipulasi Registry
Agar dapat aktif saat komputer dinyalakan, virus membuat string registri pada startup windows, yaitu :
VisualStyle = C:\WINDOWS\system32\Desktop.Sysm
Untuk menyamarkan tipe file, virus membuat string registri pada :
NeverShowExt =
NeverShowExt =
Saat aktif, virus hanya berusaha mematikan Task Manager tetapi tidak melakukan blok terhadap beberapa fungsi windows seperti folder options, namun virus berusaha mencegah perubahan pada folder options dengan membuat string pada :
ShowSuperHidden = 0
CheckedValue= 1
DefaultValue= 1
Terakhir, virus mencoba aktif pada mode “safe mode” atau “safe mode with command prompt”, agar semakin sulit untuk dibersihkan. Untuk itu, virus membuat string pada registry berikut :
AlternateShell = C:\WINDOWS\system32\CommandPrompt.Sysm
AlternateShell = C:\WINDOWS\system32\CommandPrompt .Sysm
AlternateShell = C:\WINDOWS\system32\CommandPrompt .Sysm
AlternateShell = C:\WINDOWS\system32\CommandPrompt .Sysm
Cara Pembersihan Virus
Sebaiknya lakukan pembersihan pada mode safe mode.
-
Matikan proses virus yang aktif di memory. Gunakan tools pengganti task manager, seperti Itty Bitty Process Manager (dapat anda download pada alamat berikut)
Lakukan kill process, pada file virus yang aktif yaitu : (lihat gambar 8)
(nama virus random / acak, semisal aizw.exe, scnp.exe, dll)
Gambar 8, Gunakan Itty Bitty Process Manager untuk Kill Process virus yang aktif
-
Hapus string registry yang telah dibuat oleh virus. Untuk mempermudah dapat menggunakan script registry dibawah ini.
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, SOFTWARE\Classes\batfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Classes\comfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Classes\exefile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Classes\piffile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Classes\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, SOFTWARE\Classes\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet003\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, ShowSuperHidden, 0x00010001,1
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, CheckedValue, 0x00010001,0
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, DefaultValue, 0x00010001,0
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\ShowFullPath, DefaultValue, 0x00010001,0
[del]
HKCR, exefile, NeverShowExt
HKLM, SOFTWARE\Classes\exefile, NeverShowExt
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, VisualStyle
HKCU, Control Panel\Desktop, SCRNSAVE.EXE
Gunakan notepad, kemudian simpan dengan nama “repair.inf” (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan).
Jalankan repair.inf dengan klik kanan, kemudian pilih install.
Sebaiknya membuat file repair.inf di komputer yang clean, agar virus tidak aktif kembali.
-
Hapus file induk virus yang mempunyai ciri-ciri sebagai berikut :
Catatan
-
Sebaiknya tampilkan file yang tersembunyi agar mempermudah dalam proses pencarian file virus.
-
Untuk mempermudah proses pencarian sebaiknya gunakan "Search Windows" dengan filter file *.exe, *.scr, *.msd, *.sysm yang mempunyai ukuran 77 KB.
-
Hapus file virus yang biasanya mempunyai date modified yang sama. (lihat gambar 9)
Gambar 9, Hapus file induk virus melalui fitur search windows
-
Hapus file duplikasi virus pada folder C:\Program Files (biasanya file virus diikuti file executable asli yang telah di-rename menjadi EXE File oleh virus). Untuk pembersihan yang optimal, sebaiknya gunakan Norman Security Suite atau antivirus yang ter-update dan dapat mengenali virus tsb untuk mempermudah penghapusan virus. Anda bisa menggunakan Norman Malware Cleaner untuk melakukan penghapusan tsb dengan men-download pada : (lihat gambar 10)
Gambar 10, Gunakan Norman Malware Cleaner membersihkan Maxtrox
-
Rubah kembali ekstensi file executable yang telah di-rename oleh virus pada folder C:\Program Files. Gunakan software/tool untuk mempermudah rename ekstensi secara cepat. (lihat gambar 11)
Gambar 11, Extention Renamer, salah satu tools merubah ekstensi secara cepat pada semua folder/drive
-
Untuk mencegah infeksi ulang lindungi komputer anda dengan antivirus yang telah dapat mendeteksi dan membasmi virus ini.
Adapun dengan cara yang lain :
Virus MaxTrox (Maximum Troxer) yang dideteksi sebagai W32/Dloader.HFZC, mengubah wallpaper desktop di komputer menjadi gambar MaxTrox. Wallpaper ini akan aktif pada setiap tanggal 1 s/d 6 pada bulan April, Agustus dan Desember.
Untuk membersihkan virus MaxTrox, ikuti langkah-langkah berikut ini:
1. Sebaiknya lakukan pembersihan pada mode Safe Mode.
2. Matikan proses virus yang aktif di memori. Gunakan tools pengganti task manager, seperti Itty Bitty Process Manager yang dapat didownload di: http://majorgeeks.com/Itty_Bitty_Process_Manager_d4690.html.
Lakukan kill process, pada file virus yang aktif yaitu:
- C:\Documents and Settings\%user%\Application Data\Microsoft\%dsh%.exe (nama virus random/acak, semisal aizw.exe, scnp.exe, dll).
3. Hapus
string registry yang telah dibuat oleh virus. Untuk mempermudah dapat menggunakan
script registry dibawah ini:
[Version]
Signature=”$Chicago$”
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, SOFTWARE\Classes\batfile\shell\open\command,,,”"”%1″” %*”
HKLM, SOFTWARE\Classes\comfile\shell\open\command,,,”"”%1″” %*”
HKLM, SOFTWARE\Classes\exefile\shell\open\command,,,”"”%1″” %*”
HKLM, SOFTWARE\Classes\piffile\shell\open\command,,,”"”%1″” %*”
HKLM, SOFTWARE\Classes\regfile\shell\open\command,,,”regedit.exe “%1″”
HKLM, SOFTWARE\Classes\scrfile\shell\open\command,,,”"”%1″” %*”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SYSTEM\ControlSet003\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, ShowSuperHidden, 0×00010001,1
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, CheckedValue, 0×00010001,0
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, DefaultValue, 0×00010001,0
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\ShowFullPath, DefaultValue, 0×00010001,0
[del]
HKCR, exefile, NeverShowExt
HKLM, SOFTWARE\Classes\exefile, NeverShowExt
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, VisualStyle
HKCU, Control Panel\Desktop, SCRNSAVE.EXE
- Gunakan notepad, kemudian simpan dengan nama “repair.inf” (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan).
- Jalankan repair.inf dengan klik kanan, kemudian pilih install.
- Sebaiknya membuat file repair.inf di komputer yang clean, agar virus tidak aktif kembali.
4. Hapus file induk virus yang mempunyai ciri-ciri sebagai berikut :
- Icon “WinRAR”
- Ekstensi *.exe, *.scr, *.msd, *.sysm
- Ukuran 77 KB
Catatan:
- Sebaiknya tampilkan file yang tersembunyi agar mempermudah dalam proses pencarian file virus.
- Untuk mempermudah proses pencarian sebaiknya gunakan “Search Windows” dengan filter file *.exe, *.scr, *.msd, *.sysm yang mempunyai ukuran 77 KB.
- Hapus file virus yang biasanya mempunyai date modified yang sama.
5. Hapus file duplikasi virus pada folder C:\Program Files (biasanya file virus diikuti file executable asli yang telah di-
rename menjadi EXE File oleh virus).
6. Ubah kembali ekstensi file executable yang telah di-
rename oleh virus pada folder C:\Program Files. Gunakan software/tool untuk mempermudah rename ekstensi secara cepat, misalnya Extention Renamer.
7. Untuk pembersihan yang optimal dan mencegah infeksi ulang, sebaiknya gunakan antivirus yang ter-
update dan dapat mengenali virus tersebut untuk mempermudah penghapusan virus.
Posts
5/05/2010 10:16:00 AM
Muhammad Wahyu Rinaldy Bin Salim Musthofabnu Rusy Al- Imam Maliki As- Syafi'i
Posted in 
No Response to ""
Post a Comment