Igiho stránka o virech
Novinky
Kniha o virech
1.Pomoc
Testy
Odkazy
Download
AV-Konference
Akce
Autor

Win32/MTX

Win32/MTX je virem/červem a backdoor trojanem dohromady. Je schopen se šířit pod systémy Win32. Napadá ostatní programy, instaluje backdoor trojan pro download dalších částí z Internetu a také se pokouší posílat sebe sama pomocí elektronické pošty.

Po spuštění virus instaluje worm a trojského koně do systému. Tyto části jsou pak spouštěny jako samostatné programy. Virus zkoumá přítomnost několika známých antivirových programů, a pokud je nalezne, na daném systému se nešíří. Jinak vytvoří v adresáři Windows následující tři soubory:

  • IE_PACK.EXE   - obsahuje část s Wormem (červem)
  • WIN32.DLL     - obsahuje část s Wormem i samotný virus
  • MTX_.EXE      - obsahuje část s trojským koněm (backdoor)
Virus pak infikuje všechny soubory PE files v právě platném adresáři a v adresáři Windows. Virus nemění vstupní bod hostitelského programu, ale doprostřed kódu přidá skok na sebe. Snaží se tak ztížit svoji detekci a případné odstranění. 

Worm využívá pro posílání sebe sama stejnou technologii jako nechvalně známý Win32/Ska. Pracuje s modifikovaným souborem WSOCK32.DLL a má plnou kontrolu nad tím, k čemu se přistupuje a kam se co posílá e-mailem. Blokuje přístup a posílání zpráv na několik (antivirových) domén (nii, nai, avp, f-se, mapl, pand, soph, ndmi, afee, yenn, lywa, tbav, yman) a navíc blokuje posílání zpráv do dalších domén (wildlist.o*, il.esafe.c*, perfectsup*, complex.is*, HiServ.com*, hiserv.com*, metro.ch*, beyond.com*, mcafee.com*, pandasoftw*, earthlink.*, inexar.com*, comkom.co.*, meditrade.*, mabex.com *, cellco.com*, symantec.c*, successful*, inforamp.n*, newell.com*, singnet.co*, bmcd.com.a*, bca.com.nz*, trendmicro*, sophos.com*, maple.com.*, netsales.n* and f-secure.c*).

Worm posílá výše zmíněný soubor WIN32.DLL ve zvláštní samostatné zprávě pro každou odeslanou zprávu. Tato zpráva nemá žádný Předmět ani text a připojený soubor má jedno z následujících jmen (soubory PIF jsou spouštěny pomocí dvojkliku!):

README.TXT.pif
I_wanna_see_YOU.TXT.pif
MATRiX_Screen_Saver.SCR
LOVE_LETTER_FOR_YOU.TXT.pif
NEW_playboy_Screen_saver.SCR
BILL_GATES_PIECE.JPG.pif
TIAZINHA.JPG.pif
FEITICEIRA_NUA.JPG.pif
Geocities_Free_sites.TXT.pif
NEW_NAPSTER_site.TXT.pif
METALLICA_SONG.MP3.pif
ANTI_CIH.EXE
INTERNET_SECURITY_FORUM.DOC.pif
ALANIS_Screen_Saver.SCR
READER_DIGEST_LETTER.TXT.pif
WIN_$100_NOW.DOC.pif
IS_LINUX_GOOD_ENOUGH!.TXT.pif
QI_TEST.EXE
AVP_Updates.EXE
SEICHO-NO-IE.EXE
YOU_are_FAT!.TXT.pif
FREE_xxx_sites.TXT.pif
I_am_sorry.DOC.pif
Me_nude.AVI.pif
Sorry_about_yesterday.DOC.pif
Protect_your_credit.HTML.pif
JIMI_HMNDRIX.MP3.pif
HANSON.SCR
FUCKING_WITH_DOGS.SCR
MATRiX_2_is_OUT.SCR
zipped_files.EXE
BLINK_182.MP3.pif

Trojský kůň se instaluje pomocí manipulace s Registry a zůstává aktivní jako service. Pokouší se z Internetu stáhnout a nainstalovat další programy. Originální verze ale nepracuje úplně korektně. Trojan pro svoji aktivaci s každým spušyěním Windows využívá následující klíč:

HKLM\Software\Microsoft\Windows\Current\Version\Run\SystemBackup

Vlastní virus obsahuje následující texty:

SABIÁ.b ViRuS
  Software provide by [MATRiX] VX TeAm: Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
  Greetz: All VX guy in #virus and Vecna for help us
  Visit us at:
  http://www.coderz.net/matrix

Worm obsahuje následující texty:

Software provide by [MATRiX] VX team:
  Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
  Greetz:
  All VX guy on #virus channel and Vecna
  Visit us: www.coderz.net/matrix

Trojan obsahuje následující texty:

Software provide by [MATRiX] team:
  Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
  Greetz:
  Vecna 4 source codes and ideas

Zdroj: Alwil software - výrobce antiviru AVAST


Zpět