Ia dibuat menggunakan bahasa Visual Basic, memiliki ukuran sekitar 77 KB tanpa di-pack, dengan icon standar aplikasi Windows. Saat kali pertama kali ditemukan, kebanyakan antivirus lain tidak dapat mengenali virus ini dengan baik, malah beberapa yang mengenalinya langsung menghapus file terinfeksi, bukannya di-clean. Berbekal pengalaman dan penelitian mendalam, saat itu mereka dapat membuat engine clenear khusus yang dapat membasmi virus tersebut dengan akurat dan tuntas 100% hingga ke “akar-akarnya”, walupun dalam keadaan terenkripsi. Dan sepertinya saat ini hal tersebut kembali terjadi. Puncaknya terjadi pada awal Desember 2008 kemarin. Varian baru dari Windx-Maxtrox kembali hadir.
Apa itu Maxtrox?
Maxtrox adalah kependekan dari Maximum Troxer. String tersebut tertera pada tubuh virus ini. Beberapa orang meyebutkan bahwa Maxtrox katanya merupakan salah satu karakter di game online Word of Warcraft.
Virus local ini diduga kuat berasal dari daerah Sulawesi Utara seperti varian sebelumnya. Alasan ini didukung dengan terdapatnya string pada tubuhnya, yakni “UNKLAB” yang diduga menunjuk salah satu pergururan tinggi disana.
Saat dilakukan reserve engineering, selain terlihat beberapa module, ia juga menggunakan sebuah form yang dinamakan MSytem, dalam form tersebut terdapat beberapa komponen seperti Timer, PictureBox, Label, yang di-compile menggunakan metode P-Code.
“Tipuan Mata”
Ia membuat direktori bari di “C:\Documents and Setting\%username%\” dengan nama “Applications Data” dengan attribute hidden dan system. Sekilas, memeang tidak ada yang aneh dengan nama direktori tersebut yang memang sudah dikenal sebagai salah satu direktori default yang diciptakan oleh Wondows, tapi coba perhatikan baik-baik. Direktori default Windows memiliki nama “Application Data”, sementara yang dibuat oleh virus adalah “Applications Data”, dengan huruf “s” di belakang “application”. Di dalam direktori tersebut, ia buat beberapa folder baru dengan nama Excel, Media Player, Microsoft, Office, Windows, dan Word, agar seolah-olah memang benar itu adalah direktori milik Windows. Sementara itu pada direktori “Application Data” yang asli ditaruh sebuah file desktop ini ber-attribut hidden dan System. Dan direktori tersebut berubah nama menjadi “My Network Places”. Kenapa begitu? Itu hanyalah tipuan kasat mata dengan menggunakan bantuan file desktop ini yang telah dirancang sebelumnya. Berubahnya nama direktori hanya berpengaruh pada Windows Explorer dan tidak pada Command Prompt.
Sebuah file induk diciptakan pada direktori “Application Data” yang asli, tepatnya di dalam direktori Microsoft. Nama file induk yang dihasilkan berbeda-beda, diambil secara acak berdasarkan perhitungan tanggal dan waktu, menggunakan kombinasi string berikut: ux, vc, sc, ds, cs, iz, am, d, n, a, w, a, n, .exe, g.exe, w.exe, a.exe, v.exe, p.exe, dan t.exe. dan kembali dengan bantuan file desktop ini, nama direktori berubah menjadi “Network Connections”.
Sisanya, sebagian file induk ia tempatkan di direktori \Windows\System32 dengan nama CommandPrompt.Sysm. Desktop.sysm, Windows 3D.scsr, dan sebuah file teks biasa bernama maxtrox.txt yang isinya berupa string “UNKLAB”.
“Register Extension Baru”
Maxtrox menciptakan sebuah item Run baru dengan nama “VisualStyle” pada HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curent\Version\Run\. Yang value dari item tersebut diarahkan pada file induknya di C:\\Windows\System32\Desktop.sysm, dengan sebelumnya ia telah meregister beberapa extension baru seperti .SYSM dan .MSD agar dapat dijalankan seperti layaknya executable. Selain itu, ia pun mengubah setting-an Folder Options di registry agar tidak menampilkan file hidden dan system, tidak menampilkan full path directory pada address bar, serta tidak menampilkan extension dari setiap file yang dikenal oleh Windows.
Tidak ada komentar:
Posting Komentar