Membasmi Virus Windx - Maxtrox

Maxtrox yang dimaksudkan oleh pembuat virus ini adalah Maximum Troxer. String tersebut tertera pada tubuh virus.

Project virus ini menggunakan form yang ia namakan MSystem, dalam form tersebut terdapat beberapa komponen seperti PictureBox, Label, dan lainnya. Selain form, tentunya terdapat juga module di dalamnya. Ia di-compile dengan metode P-code.
Virus lokal ini diduga kuat berasal dari daerah Sulawesi Utara seperti varian sebelumnya. Apalagi ini didukung dengan terdapatnya string pengenal pada tubuhnya yakni “UNKLAB” yang diduga menunjuk salah satu perguruan tinggi di sana.
Virus ini tidak menggunakan icon, tapi dia memiliki kemampuan untuk mendapatkan icon dari program yang diinfeksinya.

Pada saat menginfeksi, virus ini akan menanamkan file induknya pada folder \Windows\System32 dengan nama CommandPrompt.Sysm, Desktop.sysm dan Windows 3D.scr. Dengan sebelumnya, ia telah membuat atau me-register extension baru yakni .MSD dan .SYSM yang akan berjalan sebagai mana layaknya file .EXE. Ia juga menciptakan file induk untuk dijalankan agar aktif di memory, yang disimpannya pada “C:\Documents and Settings\%username%\Application Data\Microsoft” atau “C:\Documents and Settings\%username%\My Network Places\Network Connections\“, dengan menggunakan nama berbeda-beda, yang diambil dari kombinasi string berikut: ux, vc, sc, ds, cs, iz, am, d, n, a, w, h, n, .exe, g.exe, w.exe, a.exe, v.exe, p.exe, t.exe.

Untuk dapat aktif otomatis, ia menciptakan registry di “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\” dengan nama VisualStyle.
Dia menggunakan teknik enkripsi untuk melindungi string-string di dalamnya. Teknik enkripsi yang digunakan yakni Caesar Cipher, dengan menambahkan atau maju satu karakter.

Dia menciptakan sebuah file maxtrox.txt pada direktori System32 yang hanya berisi string “UNKLAB”.
Jika ketentuan ini memenuhi syarat “if (Month(Now) Mod 4) = 0) and (Day(Now) < 7) then” (Setiap tanggal 1-6 di bulan April, Agustus dan Desember) maka, dia akan melakukan beberapa hal sebagai berikut:

- Mengubah wallpaper desktop menjadi gambar Maxtrox, di bagian atas terdapat tanggal hari itu, dan di bagian bawah terdapat tulisan “Hello %username%! If you have seen me, you are same as a fool guy!”. %username% merupakan username yang sedang aktif saat itu.

- Memeriksa komputer tersebut, jika user menjalankan Antivirus, maka akan ia terminate, dan tulisan di wallpaper berubah menjadi “Antivirus detected! Sorry, now it isn’t running anymore!“. Atau jika user menjalankan PCMAV, akan ada tulisan seperti ini “you try to kill me with PCMAV? Try with your ultime version!”. Virus ini memang diketahui memiliki database yang menyimpan string-string beberapa produk antivirus, dan string tersebut juga dalam keadaan ter-enkripsi. Antara lain: mcafee, norton, virusscan, pcmav, spyware, norman, caspersky, chaspersky, symantec, antivirus, scanvirus, esafe, avast, inoculan, f-secure, virus utilities, iris anti, kaspersky, dr. Solomon, netshield, groupshield, thunderbyte, panda antivirus, global virus, vi-spy, sophos anti, interscan, viruswall, webprotect, officescan, scanmail, serverprotect, pc-cillin.

- Mengubah wallpaper folder System32, yakni dengan menggunakan gambar yang sama, seperti yang ia ubah untuk wallpaper desktop, dengan tulisan “It’s a pleasure to meet you, %username%. Oh, nice vacation place.”. Dan di sudut pojok kanan terdapat tulisan, “Maximum Troxer”.

- Virus ini juga menulis registry untuk autorun pada safe-mode, di:

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\AlterneShell
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\AlterneShell
HKLM\SYSTEM\ControlSet002\Control\SafeBoot\AlterneShell

- Ia juga melakukan pemeriksaan secara terus menerus, apabila ditemukan window dengan caption “Windows Task Manager” juga akan ia terminate.



Infeksi file .EXE:

Virus ini akan mencoba menginfeksi file-file executable yang ada pada folder Program Files dengan menginfeksikannya secara cerdik:
Saat menginfeksi, ia akan terlebih dahulu memastikan apakah file target adalah merupakan file executable, caranya dengan membaca 2 byte pertama dari file target. File executable yang valid, pada 2 byte pertama adalah “MZ” (0×4D5A).
Selanjutnya ia akan membaca seluruh tubuh dari file target untuk memeriksa signature nya sendiri, “0xA0 0xA0 0xA0 0×00 0xA0 0×00 0xA0 0xA0 0xA0″ (hexa), untuk memastikan apakah file tersebut telah terinfeksi atau belum.
Lalu ia akan mempersiapkan buffer baru untuk menginjeksi virus ke dalam file target. Pada buffer tersebut, ia akan meletakan tubuhnya di awal, dan cerdiknya ia juga mengambil bagian resource yang terdiri dari icon dan version information dari file target. Jadi file terinfeksi pun akan memiliki icon dan version information yang sama dengan file aslinya. Jadi, urutan bagan file tersebut menjadi: file virus, resource file target, signature virus, isi file target.
Di bagian isi file target pun tidak ia tempelkan begitu saja, karena bagian header-nya juga telah ia ubah sebelumnya, yakni meng-overwrite 2 byte pertama dari 0×4D5A menjadi 0xA0A0. Dan mulai dari offset 0×2 hingga 0×97, ia enkripsi setiap byte-nya menggunakan Caesar Cipher dengan penambahan 2. Ini dilakukan untuk menghindari pendeteksian heuristik PCMAV.
Saat file terinfeksi dijalankan, ia terlebih dahulu akan meng-extract file yang diinfeksikannya dari dalam tubuhnya pada direktori yang sama, nama file nya sedikit dibedakan dengan nama file aslinya, karena antara nama file dan extension bukan dipisah oleh titik namun spasi, misalkan dari “wmplayer.exe” menjadi “wmplayer exe”. Lalu, file hasil extract nya tersebut yang akan dijalankan.