Matrix - MTX
| |
|
Worm/Backdoor: Faz com que os usuários recebam um mail com um arquivo anexado, cujo nome pode variar muito. Mas cuja última extensão em geral é PIF (comum de windows 9x ou NT) ou SCR (extensão de programas screensavers, os descansos de tela).
- parte Vírus: Modifica arquivos de 32 bits, como os de extensão EXE e DLL na pasta windows.
Características
O componente do vírus procura no computador por um certo programa antivírus. Se houver, o vírus não executa. Se o vírus continua executar, descompactará o componente worm e deixará uma cópia dele na pasta do Windows, (geralmente C:\Windows) e o executará. O nome do arquivo é Ie_pack.exe que, depois de ser executado, é renomeado para Win32.dll.O vírus também deixa o arquivo Mtx_.exe e o executa. Ele procura por executáveis do Win32 na pasta corrente, na pasta do Windows e na pasta Temp. No final, todos os executáveis do sistema serão infectados (principalmente os arquivos que se encontram na pasta do Windows).Assim, três arquivos ocultos são criadosna pasta Windows:
IE_PACK.EXE
MTX_.EXE
WIN32.DLL
Também é criada a seguinte chave no registro do windows (que executa o programa a cada reinício do windows):
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\SystemBackup = C:\WINDOWS\MTX_.EXE"
O arquivo MTX_.EXE começa fazer ligações pela Internet, a cada 2 minutos, usando o TCP, porta1137. O MTX tenta fazer cópia e executar arquivos de um website que contém outros programas similares.
A seguir, a parte viral do Matrix cria uma versão modificada do Wsock32.dll. Ou seja, o código de propagação se instala no arquivo "wsock32.dll" (driver responsável pelas conexões do Windows), para garantir o controle do tráfego de Internet. Como o Windows bloqueia o acesso ao arquivo "wsock32.dll", o MTX cria uma cópia desse arquivo com o nome "wsock32.mtx" e o infecta.
Depois, modifica o arquivo wininit.ini ciando uma cópia dele. O arquivo modificado wininit.ini contém comandos para substituir a versão original do Wsock32.dll. Quando o windows for reiniciado os arquivos são trocados.
Assim que o original é substituído, o novo Wsock32.dll intercepta a informação "being sent", por meio da função enviar (send). Ela é modificada para apontar para o próprio código. Isto habilita o vírus a enviar uma cópia de si mesmo por email, a partir de um computador infectado. Assim, quando uma mensagem estiver sendo enviada, um segundo email segue automaticamente para opara o mesmo destinatário, levando um arquivo infectado como anexo. A mensagem estará em branco.O arquivo do MTX anexado, enviado por e-mail, tem a particularidade de ganhar um nome aleatório, escolhido a partir da seguinte lista:
ALANIS_Screen_Saver.SCR | MATRiX_2_is_OUT.SCR |
ANTI_CIH.EXE | MATRiX_Screen_Saver.SCR |
AVP_Updates.EXE | Me_nude.AVI.pif |
BILL_GATES_PIECE.JPG.pif | METALLICA_SONG.MP3.pif |
BLINK_182.MP3.pif | NEW_NAPSTER_site.TXT.pif |
FEITICEIRA_NUA.JPG.pif | NEW_playboy_Screen_saver.SCR |
FREE_xxx_sites.TXT.pif | Protect_your_credit.HTML.pif |
FUCKING_WITH_DOGS.SCR | QI_TEST.EXE |
Geocities_Free_sites.TXT.pif | READER_DIGEST_LETTER.TXT.pif |
HANSON.SCR | README.TXT.pif |
I_am_sorry.DOC.pif | SEICHO-NO-IE.EXE |
I_wanna_see_YOU.TXT.pif | Sorry_about_yesterday.DOC.pif |
INTERNET_SECURITY_FORUM.DOC.pif | TIAZINHA.JPG.pif |
IS_LINUX_GOOD_ENOUGH!.TXT.pif | WIN_$100_NOW.DOC.pif |
JIMI_HMNDRIX.MP3.pif | YOU_are_FAT!.TXT.pif |
LOVE_LETTER_FOR_YOU.TXT.pif | zipped_files.EXE |
Note-se que o nome é traiçoeiro, pois pode ter a terminação "TXT.pif", ou seja, quem o recebe - se não alterou a configuração padrão do windows, não verá a extensão ".pif", sendo enganado, pois pensará que se trata de um arquivo ".txt" (de texto). Paralelamente, alguns programas de correio eletrônico não exibem a extensão .pif.
Quando um destinatário desavisado clica no arquivo recebido, o vírus instala componentes no computador, destinados a enviar automaticamente mensagens por e-mail infectadas para todos os nomes que fazem parte de sua lista de endereços. Assim, em ambiente corporativo, o grande volume de e-mails pode derrubar servidores.
Além disso, a substituição do Wsock32.dll monitora a entrada dos endereços no navegador (requisições de HTTP) e os endereços dos destinatários de e-mail. Assim, o navegador congelará se o usuário tentar acessar um site de anti-vírus ou se enviar um e-mail para uma empresa de anti-vírus.
Ele detecta comunicação procurando cadeias e subcadeias nos domínios, buscando os seguintes textos nos URLs: (note que partes do nome de muitos fabricantes de antivírus estão na lista):
afee | hiserv.com | NII. |
avp. | il.esafe.c | pand |
AVP. | inexar.com | pandasoftw |
bca.com.nz | inforamp.n | perfectsup |
beyond.com | lywa | singnet.co |
bmcd.com.a | mabex.com | soph |
cellco.com | mapl | sophos.com |
comkom.co. | maple.com. | successful |
complex.is | mcafee.com | symantec.c |
earthlink. | meditrade. | tbav |
F-Se | metro.ch | trendmicro |
f-se | nai. | wildlist.o |
f-secure.c | ndmi | yenn |
F-Secure.c | netsales.n | yman |
HiServ.com | newell.com |
Ou seja, ele tenta localizar os produtos antivírus abaixo:
Anti Viral Toolkit Pro - AVP Monitor - VSStat - WebScanX - AV Console - McAfee VirusScan - VSHWin32 - Central Point
O vírus contém o seguinte texto ASCII:
Software provide by [MATRiX] VX team:
Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos Greetz:
All VX guy on #virus channel and Vecna
Visit us: www.coderz.net/matrix
Apelidos
Mtx (Win32), Win32.Mtx, W32/MTX@mm, W32/Apology, W32/MTX, W95.Oisdbo ou I-Worm.MTX .Indicadores de infecção
Existência do(s) seguinte(s) arquivo(s) na pasta Windows:IE_PACK.EXE
MTX_.EXE
WIN32.DLL
WSOCK32.MTX
Descontaminação
- Procedimentos para retirar o Opaserv de um computadorA - Descontaminação com vacina específica
Essa é a solução proposta pela equipe CSRT (Content Security Response Team) da Aladdin:1. Acesse os arquivos "Remove_MTX_Trojan.exe" e "Vs_make.exe" disponibilizados gratuitamente pela equipe CSRT da Aladdin:
http://www.aladdin.com.br/matrix/Remove_MTX_Trojan.exe
http://www.aladdin.com.br/matrix/Vs_make.exe
2. Tenha em mãos, um disco de 1.44mb formatado.
3. Execute o arquivo "Vs_make.exe". Este arquivo irá criar um disquete especial de recuperação.
4. Execute o arquivo "Remove MTX Trojan.exe". Isto irá limpar o sistema.
5. Verifique se a BIOS está ajustada para iniciar através de disquete.
Reinicie o computador infectado com o disquete de recuperação.
6. O sistema agora irá entrar no modo DOS e será desinfectado.
7. Reinicie o Windows.
8. Restaure o arquivo "wsock32.dll" a partir do CD de instalação do Windows ou copiando o arquivo de outro computador que rode o mesmo sistema operacional. No Windows 98 poderá ser encontrada uma cópia do "wsock32.dll" na pasta "Windows\Sysbackup".
Nota: Se o "eSafe" estiver instalado no computador, deve ficar desabilitado na barra de tarefas.
B- Descontaminação manual
IMPORTANTE: Só executar esses procedimentos se realmente souber fazê-lo, realmente. Em caso contrário, recorra a alguém que tenha um bom conhecimento técnico para descontaminar seu computador.Erros neste processo podem causar danos sérios, comprometendo o funcionamento do sistema, podendo provocar mais estragos do que os ocasionados pelo próprio vírus.
1 | Clicar no botão Iniciar em Executar Digitar, na caixa de texto, "regedit" (sem as apas) Clicar em Editar - Localizar ("Edit" - "Find") Digitar HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run Clicar em "SystemBackup = C:\WINDOWS\mtx_.exe" e excluir este valor. (Clicar em "Sim" para confirmação da exclusão). |
2 | Localizar também a seguinte chave do registro se existir: HKEY_LOCAL_MACHINE\Software\[MATRiX] Clicar sobre esta chave e excluir. Depois, clicar no botão "Sim" para confirmar a exclusão . |
3 | Clicar em Botão Iniciar / Localizar e procurar os seguintes arquivos: C:\WINDOWS\IE_PACK.EXE C:\WINDOWS\WIN32.DLL Excluir estes arquivos definitivamente da máquina infectada. Entretanto, esses arquivos podem estar com o atributo oculto ativado. Se não os encontrar: - Abrir o Windows Explorer. - Clicar no menu Exibir - Opções de pasta" e na aba "Modo de exibição" - Deixar selecionada a opção "Mostrar todos os arquivos" (Se precisar de mais informações sobre esse assunto, . |
4 | Clicar em Botão Iniciar / Localizar e procurar os seguintes arquivos, se existirem: C:\WINDOWS\WININIT.BAK C:\WINDOWS\WININIT.INI Editar os arquivos (usando o Bloco de Notas - Notepad.exe) removendo as seguintes linhas se existirem: NUL=C:\ARQUIV~1\COMMAN~1\F-PROT95 NUL=C:\WINDOWS\SYSTEM\WSOCK32.DLL C:\WINDOWS\SYSTEM\WSOCK32.DLL=C:\WINDOWS\SYSTEM\WSOCK32.MTX |
5 | Clicar no botão Iniciar e em Desligar Selecionar a opção "Reiniciar o computador em modo MS-DOS" Depois, no prompt do DOS, acessar a pasta onde está o arquivo, usando o comando CD e digitar: CD C:\WINDOWS (e pressionar Enter) Para mudar o atributo do arquivo, digitar: C:\WINDOWS\ATTRIB -H MTX_.EXE (e pressionar Enter) Finalmente, deletar o arquivo digitando: C:\WINDOWS\DEL MTX_.EXE (e pressionar Enter) Certificar-se que o arquivo C:\WINDOWS\MTX_.EXE foi apagado, digitando o comando C:\WINDOWS\dir MTX_.EXE (e pressionar Enter) O arquivo não deve ser encontrado. |
6 | Copiar o arquivo C:\WINDOWS\SYSTEM\WSOCK32.DLL para um disquete, de um computador não contaminado, que tenha o mesmo sistema operacional instalado (a mesma versão do Windows) e, depois, copiar este arquivo para a pasta C:\WINDOWS\SYSTEM na máquina infectada, mandando sobrescrever o arquivo existente. |
7 | Deletar o arquivo C:\WINDOWS\SYSTEM\WSOCK32.MTX, se existir. |
8 | Voltar para o Windows usando o comando EXIT. |
9 | Alguns arquivos do sistema certamente foram danificados pelo vírus. Atualizar o antivírus e o executar, fazendo uma verificação no computador todo (todos os "drives"). |
Medidas gerais de prevenção
Há um conjunto de procedimentos gerais de prevenção contra vírus e outros programas maliciosos que sempre devem ser realizados (em qualquer computador, especialmente nos conectados à Internet).Essas medidas podem ser resumidas assim:
1. Jamais executar um programa ou abrir um arquivo sem antes executar o antivírus sobre a pasta que o contenha.
2. Atualizar o seu antivírus constantemente (todas as semanas e até diariamente as empresas distribuem cópias gratuitas dos arquivos que atualizam a lista dos novos vírus e vacinas).
3. Desativar a opção de executar documentos diretamente do programa de correio eletrônico.
4. Jamais executar programas que não tenham sido obtidos de fontes absolutamente confiáveis.
Leia mais sobre esse assunto, clicando aqui.
Onde obter mais informações
http://www.aladdin.com.br/home/matrixv.shtmlhttp://vil.mcafee.com/dispVirus.asp?virus_k=98797&
http://www.symantec.com.br/region/br/avcenter/data/w95.mtx.support.html
Nenhum comentário:
Postar um comentário