PC Media Antivirus (PCMAV), telah mencapai versi 1.6 dan secara resmi dirilis ke publik. Di rilis kali ini, PCMAV mampu mengatasi 2.064 virus beserta variannya yang banyak dilaporkan menyebar di Indonesia. Beberapa bug yang ditemukan telah berhasil diperbaiki, seperti bug yang mengakibatkan terganggunya kerja engine heuristic dan perbaikan pada engine GetUpdates. Selain itu, dilakukan beberapa improvisasi seperti contohnya pada engine heuristic “Virus Suspected (RD)”. Berikut ini daftar selengkapnya:
APA YANG BARU?
- Ditambahkan, database pengenal dan pembersih 79 virus lokal/asing/varian baru yang dilaporkan menyebar di Indonesia. Total 2064 virus beserta variannya yang banyak beredar di Indonesia telah dikenal di versi 1.6 ini oleh engine internal PCMAV.
- Diperbaiki, bug pada rutin yang bertugas untuk memeriksa kondisi suatu object sebelum scan dilakukan, untuk memastikan bahwa PCMAV telah mendapatkan hak akses baca. Bug ini dapat mengakibatkan terganggunya kerja dari engine heuristic.
- Diperbaiki, kesalahan deteksi pada beberapa aplikasi yang dikenali oleh USB Disk Filtering sebagai Virus Suspected.
- Diperbaiki, bug pada engine GetUpdates yang terkadang kurang akurat dalam mendeteksi atau melakukan pengecekan terhadap file update baru.
- Diperbaiki, kesalahan deteksi (false alarm) pada beberapa program ataupun script.
- Improvisasi, engine heuristic untuk Virus Suspected (RD). Kini, engine ini lebih akurat dalam mendeteksi sebuah object.
- Improvisasi, user-interface dari USB Disk Filtering.
- Diperbarui, perubahan beberapa nama virus mengikuti varian baru yang ditemukan.
- Perbaikan beberapa minor bug dan improvisasi kode internal untuk memastikan bahwa PCMAV Cleaner & PCMAV RealTime Protector lebih dari sekadar antivirus biasa.
Download PCMAV 1.6 + ClamAV
Tambahan virus PCMAV 1.6 Upd. Build1+Build2+Build3+Build4+Build5+Build6:
PCMAV Update Build
Untuk mendapatkan dan menggunakan update PCMAV ini, pastikan terlebih dahulu PCMAV RealTime Protector tidak sedang aktif. Jika iya, Anda harus menutup aplikasi tersebut terlebih dahulu. Lalu Anda cukup menjalankan PCMAV Cleaner (PCMAV-CLN.exe), tentunya komputer harus dalam keadaan aktif terhubung ke Internet (non-proxy). Fitur GetUpdates dari PCMAV secara otomatis akan memberikan alamat internet yang aktif di mana Anda bisa men-download file update tersebut. Letakkan file hasil download tersebut (PCMAV.vdb) ke dalam folder di mana PCMAV berada. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.
Update Build1 hadir dengan penambahan 12 pengenal varian virus baru. Bagi Anda pengguna PCMAV 1.6 sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.
HelloBaby. Virus ini berstatus in-the-wild, menyebar luas di masyarakat. Saat menyebar, ia akan membuat file Desktop.ini dan autorun.inf dengan attribut hidden dan system. File tersebut akan disebarnya ke setiap drive yang ia temukan pada komputer terinfeksi. Ia juga akan berusaha untuk menyebarkan dirinya pada jaringan setempat dengan sebelumnya telah mematikan fasilitas firewall milik Windows. Pada komputer terinfeksi, akan terdapat beberapa file induk virus. Diantaranya, pada direktori System32, akan ada file dengan nama wmiprvse.exe dan mgrShell.exe, lalu file inti ini akan men-drop file lainnya dari dalam tubuhnya pada direktori Temp dengan nama ctfmon.exe dan pada direktori Windows dengan nama svchost.exe. Dan untuk mempercepat aksi penyebarannya, virus ini pun men-set registry NoDriveTypeAutoRun agar mendukung autorun pada floppy disk.
11 virus baru yang banyak dilaporkan menyebar di Indonesia di minggu ini telah ditambahkan pada Update Build2. Bagi Anda pengguna PCMAV 1.6 sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi. Jadi total tambahan virus sampai Update Build2 kali ini adalah sebanyak 23 virus.
Virgear.B & C. Hampir sama dengan varian sebelumnya, varian kali ini juga hadir dengan icon yang mirip dengan file multimedia milik WinAmp. Varian B memiliki ukuran file 49.152 bytes, tanpa di-pack. Sementara itu, varian C yang kami temukan, memiliki ukuran file sebesar 19.968 bytes, dan di-pack menggunakan UPX. Seperti yang lalu, ia akan menggantikan seluruh file multimedia yang ia temukan seperti MP3, 3GP, AVI, WMV, ASF, MPG, MPEG, MP4, pada komputer korban dengan dirinya sendiri, dengan menggunakan nama yang hampir sama, hanya ditambahkan extension .EXE di akhirnya. Virus ini juga akan mengubah setingan di registry untuk mendukung kelangsungan hidupnya, seperti menyembunyikan Folder Options, mem-blok Regedit, System Restore, dan lainnya. Diketahui, Virgear juga mencoba untuk mem-blok antivirus dan virus lain. Untuk itu, rename (ubah nama) dari PCMAV-CLN.exe sebelum Anda menggunakannya, misalkan menjadi 123456.exe. Dan, pada komputer terinfeksi, ia akan menampilkan kalimat “++++ Makanya jangan handak buka BF ja, neh rasain oleh2 dari amang hacker ++++” pada caption Internet Explorer.
Virus Windx-Matrox generasi terbaru ini cukup banyak menyebar luas di Indonesia. Virus ini secara teknis cukup menarik dan memiliki tantangan tersendiri dalam menganalisanya karena membawa beberapa teknik baru yang termasuk kompleks. Cara penginfeksian file pun dilakukan secara cerdik dan menggunakan teknik enkripsi. Kuat dugaan hal ini dilakukan oleh pembuatnya agar heuristik PCMAV gagal mendeteksi kehadiran virus ini di file yang terinfeksi.
7 langkah pembersihan manual yang digembar-gemborkan ke beberapa media massa di Indonesia kami nilai tidak banyak membantu mengatasi virus ini secara tuntas. Sayangnya lagi, niat baik pihak tersebut dalam menginformasikan virus ini ke media massa tidak diimbangi oleh kemampuan teknis yang baik dan memadai dalam men-disassembly dan mendekrip virus ini secara menyeluruh. Akibatnya, beberapa informasi untuk membersihkan virus ini malah berakibat fatal yang akan menyebabkan file yang terinfeksi justru terhapus, bukan dipulihkan.
Untuk itulah, PC Media mengeluarkan PCMAV 1.6 Update Build3 yang telah dilengkapi engine cleaner khusus untuk mengatasi virus Windx-Matrox secara tuntas sampai ke “akar-akarnya” serta mampu memulihkan file yang terinfeksi, walau dienkrip, hingga kembali utuh 100%! Jangan ambil risiko, gunakan hanya PCMAV 1.6 Build3 (atau yang terbaru) untuk mengatasi virus ini secara tuntas. Di PCMAV 1.7 nanti engine cleaner khusus ini juga telah tersedia. Selain itu, artikel ini juga dilengkapi hasil analisa lengkap virus Windx-Maxtrox untuk meluruskan beberapa kekeliruan dari analisa virus ini yang sempat beredar di media massa, baik cetak maupun online.
Virus Windx-Maxtrox:
- Maxtrox yang dimaksudkan oleh pembuat virus ini adalah Maximum Troxer. String tersebut tertera pada tubuh virus.
- Project virus ini menggunakan form yang ia namakan MSystem, dalam form tersebut terdapat beberapa komponen seperti PictureBox, Label, dan lainnya. Selain form, tentunya terdapat juga module di dalamnya. Ia di-compile dengan metode P-code.
- Virus lokal ini diduga kuat berasal dari daerah Sulawesi Utara seperti varian sebelumnya. Apalagi ini didukung dengan terdapatnya string pengenal pada tubuhnya yakni “UNKLAB” yang diduga menunjuk salah satu perguruan tinggi di sana.
- Virus ini tidak menggunakan icon, tapi dia memiliki kemampuan untuk mendapatkan icon dari program yang diinfeksinya.
- Pada saat menginfeksi, virus ini akan menanamkan file induknya pada folder \Windows\System32 dengan nama CommandPrompt.Sysm, Desktop.sysm dan Windows 3D.scr. Dengan sebelumnya, ia telah membuat atau me-register extension baru yakni .MSD dan .SYSM yang akan berjalan sebagai mana layaknya file .EXE.
- Ia juga menciptakan file induk untuk dijalankan agar aktif di memory, yang disimpannya pada “C:\Documents and Settings\%username%\Application Data\Microsoft” atau “C:\Documents and Settings\%username%\My Network Places\Network Connections\“, dengan menggunakan nama berbeda-beda, yang diambil dari kombinasi string berikut: ux, vc, sc, ds, cs, iz, am, d, n, a, w, h, n, .exe, g.exe, w.exe, a.exe, v.exe, p.exe, t.exe.
- Untuk dapat aktif otomatis, ia menciptakan registry di “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\” dengan nama VisualStyle.
- Dia menggunakan teknik enkripsi untuk melindungi string-string di dalamnya. Teknik enkripsi yang digunakan yakni Caesar Cipher, dengan menambahkan atau maju satu karakter.
- Dia menciptakan sebuah file maxtrox.txt pada direktori System32 yang hanya berisi string “UNKLAB”.
- Jika ketentuan ini memenuhi syarat “if (Month(Now) Mod 4) = 0) and (Day(Now) < 7) then” (Setiap tanggal 1-6 di bulan April, Agustus dan Desember) maka, dia akan melakukan beberapa hal sebagai berikut:
- Mengubah wallpaper desktop menjadi gambar Maxtrox, di bagian atas terdapat tanggal hari itu, dan di bagian bawah terdapat tulisan “Hello %username%! If you have seen me, you are same as a fool guy!”. %username% merupakan username yang sedang aktif saat itu.
- Memeriksa komputer tersebut, jika user menjalankan Antivirus, maka akan ia terminate, dan tulisan di wallpaper berubah menjadi “Antivirus detected! Sorry, now it isn’t running anymore!“. Atau jika user menjalankan PCMAV, akan ada tulisan seperti ini “you try to kill me with PCMAV? Try with your ultime version!”. Virus ini memang diketahui memiliki database yang menyimpan string-string beberapa produk antivirus, dan string tersebut juga dalam keadaan ter-enkripsi. Antara lain: mcafee, norton, virusscan, pcmav, spyware, norman, caspersky, chaspersky, symantec, antivirus, scanvirus, esafe, avast, inoculan, f-secure, virus utilities, iris anti, kaspersky, dr. Solomon, netshield, groupshield, thunderbyte, panda antivirus, global virus, vi-spy, sophos anti, interscan, viruswall, webprotect, officescan, scanmail, serverprotect, pc-cillin.
- Mengubah wallpaper folder System32, yakni dengan menggunakan gambar yang sama, seperti yang ia ubah untuk wallpaper desktop, dengan tulisan “It’s a pleasure to meet you, %username%. Oh, nice vacation place.”. Dan di sudut pojok kanan terdapat tulisan, “Maximum Troxer”.
- Virus ini juga menulis registry untuk autorun pada safe-mode, di: "HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\AlterneShell", "HKLM\SYSTEM\ControlSet001\Control\SafeBoot\AlterneShell", "HKLM\SYSTEM\ControlSet002\Control\SafeBoot\AlterneShell"
- Ia juga melakukan pemeriksaan secara terus menerus, apabila ditemukan window dengan caption “Windows Task Manager” juga akan ia terminate.
Infeksi file .EXE:
Virus ini akan mencoba menginfeksi file-file executable yang ada pada folder Program Files dengan menginfeksikannya secara cerdik:
- Saat menginfeksi, ia akan terlebih dahulu memastikan apakah file target adalah merupakan file executable, caranya dengan membaca 2 byte pertama dari file target. File executable yang valid, pada 2 byte pertama adalah “MZ” (0×4D5A).
- Selanjutnya ia akan membaca seluruh tubuh dari file target untuk memeriksa signature nya sendiri, “0xA0 0xA0 0xA0 0×00 0xA0 0×00 0xA0 0xA0 0xA0″ (hexa), untuk memastikan apakah file tersebut telah terinfeksi atau belum.
- Lalu ia akan mempersiapkan buffer baru untuk menginjeksi virus ke dalam file target. Pada buffer tersebut, ia akan meletakan tubuhnya di awal, dan cerdiknya ia juga mengambil bagian resource yang terdiri dari icon dan version information dari file target. Jadi file terinfeksi pun akan memiliki icon dan version information yang sama dengan file aslinya. Jadi, urutan bagan file tersebut menjadi: file virus, resource file target, signature virus, isi file target.
- Di bagian isi file target pun tidak ia tempelkan begitu saja, karena bagian header-nya juga telah ia ubah sebelumnya, yakni meng-overwrite 2 byte pertama dari 0×4D5A menjadi 0xA0A0. Dan mulai dari offset 0×2 hingga 0×97, ia enkripsi setiap byte-nya menggunakan Caesar Cipher dengan penambahan 2. Ini dilakukan untuk menghindari pendeteksian heuristik PCMAV.
- Saat file terinfeksi dijalankan, ia terlebih dahulu akan meng-extract file yang diinfeksikannya dari dalam tubuhnya pada direktori yang sama, nama file nya sedikit dibedakan dengan nama file aslinya, karena antara nama file dan extension bukan dipisah oleh titik namun spasi, misalkan dari “wmplayer.exe” menjadi “wmplayer exe”. Lalu, file hasil extract nya tersebut yang akan dijalankan.
PERHATIAN PENTING! Karena virus ini dikenal dapat mematikan antivirus, termasuk PCMAV 1.6, setelah diupdate dengan Build3 silakan Anda rename (ubah nama) terlebih dahulu file PCMAV-CLN.EXE sebelum dijalankan, misalkan menjadi 123456.EXE atau nama lain berekstensi .EXE.
Update Build4 hadir dengan penambahan 12 pengenal varian virus baru. Bagi Anda pengguna PCMAV 1.6 sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi. Jadi, total virus yang dikenali oleh update Build4 kali ini adalah sebanyak 50 virus.
Autorunme. Virus yang bukan produksi programer lokal ini memiliki ukuran sebesar 26.835 bytes, dan diperkirakan di-pack menggunakan PECompact. Ia tidak memiliki icon, hanya menggunakan icon standar applications dari Windows. Saat menginfeksi, ia mencoba untuk menanamkan file induknya pada direktori C:\Windows\System dengan nama msvc32s.exe dan dengan attribut hidden dan system, serta membuat autorun baru di registry dengan nama “Windows msvc Control Centers”. Virus yang dapat menyebar melalui media penyimpan data seperti flash disk ini juga dapat menyebar melalui Instant Messaging. Pada flash disk, ia akan membuat folder tiruan Recycle Bin yang berisi file dengan nama autorunme.exe, lalu mengarahkan autorun.inf untuk menjalankan file virus tersebut. Jadi, saat user mencolokan flash disk tersebut lalu mengakses drivenya, virus tersebut akan aktif.
Update Build5 hadir dengan penambahan 12 pengenal varian virus baru. Bagi Anda pengguna PCMAV 1.6 sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi. Jadi, total virus yang dikenali oleh update Build5 kali ini adalah sebanyak 62 virus.
Virus ini hadir dengan 3 buah file, yakni MicroSoft.pif, MicroSoft.bat, dan MicroSoft.vbs. Ketiga file tersebut saling terkait. Namun, ada satu file yang merupakan induk dari ketiganya, yakni MicroSoft.pif. Ia memiliki ukuran file sebesar 18.432 bytes. Virus luar ini saat beraksi akan mengeluarkan beberapa file .DLL dari dalam tubuhnya yakni Jview.dll dan AcXtrnel.dll yang akan mencoba aktif dengan menginjeksikan pada explorer.exe atau dijalankan melalui Rundll32.exe.
Update Build6 hadir dengan penambahan 10 pengenal varian virus baru. Bagi Anda pengguna PCMAV 1.6 sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi. Jadi, total virus yang dikenali oleh update Build6 kali ini adalah sebanyak 72 virus.
GadiHot. Jika Anda masih ingat dengan virus Tati, GadiHot menggunakan teknik yang sama dalam pembuatannya. Virus Tati dibuat menggunakan program semacam automation scripting, yang di compile hingga menjadi sebuah executable. Virus yang memiliki icon mirip dengan folder ini saat menginfeksi akan membuat beberapa file induk pada direktori Windows dan direktori di bawahnya dengan nama file seperti servicess.exe. Sistem320.exe. Seperti halnya virus yang meniru folder, pasti ia akan membuat folder gadungan. Salah satunya, virus ini akan membuat sebuah file dengan nama GadisHot.SCR dan New Folder.SCR pada root drive. Selain itu, ia pun akan membuat file autorun.inf di setiap drive yang ia temui. Pada root drive C, juga dapat ditemukan sebuah file dengan nama READY TO READ.txt yang merupakan file pesan dari sang virus.
Aikom
Aikom.txt
Aliciana
Aliciana.htm
Autoit.BL
Autoit.BM
Autoit.BN
Autoit.BO
Autoit.BP
Autorunme
Autorunme.inf
BlackHole
BlackHole.exe.A
BlackHole.exe.B
BlackHole.inf
BlackHole.txt.A
BlackHole.txt.B
BlackHole.txt.C
DeathRipper
DeathRipper.bat
DeathRipper.txt
Freedom.vbs.B
Freedom.vbs.B.inf
Freedom.vbs.C
GadiHot
GadiHot.inf
GadiHot.ini
GadiHot.txt
Gen.BVCK-Bugi.bat.A
Gen.BVCK-Bugi.bat.B
Gen.BVCK-Bugi.inf
Gen.BVCK-Bugi.ini
Gen.BVCK-Bugi.sys
Gen.BVCK-Bugi.vbs
Gen.TLabs.A
Gen.TLabs.A.exe
Gen.TLabs.B
Gen.TLabs.B.exe
Gen.TLabs.C
Gen.TLabs.C.vbs
Gover.B.url
Gover.B.vbs
Gutbai
HelloBaby
HelloBaby.exe
HelloBaby.inf
Microso
Microso.bat
Microso.dll.A
Microso.dll.B
Microso.vbs
Naruto.vbs
Naruto.vbs.inf
Nuron
Nuron.bat
Nuron.inf
Oakley
Pembawa
Pembawa.txt
Perjaka
Perjaka.ini
Perjaka.txt
Plaige
PNGExploit
Pria
RontokBrow.J
SlowButSure.vbs.E
ValoAchoto.inf
VirGear.B
VirGear.C
Windx-Maxtrox
Zifoe.B
