Igiho strßnka o virech

Win32/MTX

Win32/MTX je virem/Φervem a backdoor trojanem dohromady. Je schopen se Üφ°it pod systΘmy Win32. Napadß ostatnφ programy, instaluje backdoor trojan pro download dalÜφch Φßstφ z Internetu a takΘ se pokouÜφ posφlat sebe sama pomocφ elektronickΘ poÜty.

Po spuÜt∞nφ virus instaluje worm a trojskΘho kon∞ do systΘmu. Tyto Φßsti jsou pak spouÜt∞ny jako samostatnΘ programy. Virus zkoumß p°φtomnost n∞kolika znßm²ch antivirov²ch program∙, a pokud je nalezne, na danΘm systΘmu se neÜφ°φ. Jinak vytvo°φ v adresß°i Windows nßsledujφcφ t°i soubory:

IE_PACK.EXE - obsahuje Φßst s Wormem (Φervem)
WIN32.DLL - obsahuje Φßst s Wormem i samotn² virus
MTX_.EXE - obsahuje Φßst s trojsk²m kon∞m (backdoor)

Virus pak infikuje vÜechny soubory PE files v prßv∞ platnΘm adresß°i a v adresß°i Windows. Virus nem∞nφ vstupnφ bod hostitelskΘho programu, ale doprost°ed k≤du p°idß skok na sebe. Sna₧φ se tak ztφ₧it svoji detekci a p°φpadnΘ odstran∞nφ.

Worm vyu₧φvß pro posφlßnφ sebe sama stejnou technologii jako nechvaln∞ znßm² Win32/Ska. Pracuje s modifikovan²m souborem WSOCK32.DLL a mß plnou kontrolu nad tφm, k Φemu se p°istupuje a kam se co posφlß e-mailem. Blokuje p°φstup a posφlßnφ zprßv na n∞kolik (antivirov²ch) domΘn (nii, nai, avp, f-se, mapl, pand, soph, ndmi, afee, yenn, lywa, tbav, yman) a navφc blokuje posφlßnφ zprßv do dalÜφch domΘn (wildlist.o*, il.esafe.c*, perfectsup*, complex.is*, HiServ.com*, hiserv.com*, metro.ch*, beyond.com*, mcafee.com*, pandasoftw*, earthlink.*, inexar.com*, comkom.co.*, meditrade.*, mabex.com *, cellco.com*, symantec.c*, successful*, inforamp.n*, newell.com*, singnet.co*, bmcd.com.a*, bca.com.nz*, trendmicro*, sophos.com*, maple.com.*, netsales.n* and f-secure.c*).

Worm posφlß v²Üe zmφn∞n² soubor WIN32.DLL ve zvlßÜtnφ samostatnΘ zprßv∞ pro ka₧dou odeslanou zprßvu. Tato zprßva nemß ₧ßdn² P°edm∞t ani text a p°ipojen² soubor mß jedno z nßsledujφcφch jmen (soubory PIF jsou spouÜt∞ny pomocφ dvojkliku!):

README.TXT.pif
I_wanna_see_YOU.TXT.pif
MATRiX_Screen_Saver.SCR
LOVE_LETTER_FOR_YOU.TXT.pif
NEW_playboy_Screen_saver.SCR
BILL_GATES_PIECE.JPG.pif
TIAZINHA.JPG.pif
FEITICEIRA_NUA.JPG.pif
Geocities_Free_sites.TXT.pif
NEW_NAPSTER_site.TXT.pif
METALLICA_SONG.MP3.pif
ANTI_CIH.EXE
INTERNET_SECURITY_FORUM.DOC.pif
ALANIS_Screen_Saver.SCR
READER_DIGEST_LETTER.TXT.pif
WIN_$100_NOW.DOC.pif
IS_LINUX_GOOD_ENOUGH!.TXT.pif
QI_TEST.EXE
AVP_Updates.EXE
SEICHO-NO-IE.EXE
YOU_are_FAT!.TXT.pif
FREE_xxx_sites.TXT.pif
I_am_sorry.DOC.pif
Me_nude.AVI.pif
Sorry_about_yesterday.DOC.pif
Protect_your_credit.HTML.pif
JIMI_HMNDRIX.MP3.pif
HANSON.SCR
FUCKING_WITH_DOGS.SCR
MATRiX_2_is_OUT.SCR
zipped_files.EXE
BLINK_182.MP3.pif

Trojsk² k∙≥ se instaluje pomocφ manipulace s Registry a z∙stßvß aktivnφ jako service. PokouÜφ se z Internetu stßhnout a nainstalovat dalÜφ programy. Originßlnφ verze ale nepracuje ·pln∞ korektn∞. Trojan pro svoji aktivaci s ka₧d²m spuÜy∞nφm Windows vyu₧φvß nßsledujφcφ klφΦ:

HKLM\Software\Microsoft\Windows\Current\Version\Run\SystemBackup

Vlastnφ virus obsahuje nßsledujφcφ texty:

SABI┴.b ViRuS
Software provide by [MATRiX] VX TeAm: Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
Greetz: All VX guy in #virus and Vecna for help us
Visit us at:
http://www.coderz.net/matrix

Worm obsahuje nßsledujφcφ texty:

Software provide by [MATRiX] VX team:
Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
Greetz:
All VX guy on #virus channel and Vecna
Visit us: www.coderz.net/matrix

Trojan obsahuje nßsledujφcφ texty:

Software provide by [MATRiX] team:
Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
Greetz:
Vecna 4 source codes and ideas

Zdroj: Alwil software - v²robce antiviru AVAST