Vírus e cia.

Matrix - MTX

Em 23 de agosto de 2000, foi descoberto

Worm/Backdoor: Faz com que os usuários recebam um mail com um arquivo anexado, cujo nome pode variar muito. Mas cuja última extensão em geral é PIF (comum de windows 9x ou NT) ou SCR (extensão de programas screensavers, os descansos de tela).
- parte Vírus: Modifica arquivos de 32 bits, como os de extensão EXE e DLL na pasta windows.

Características

O componente do vírus procura no computador por um certo programa antivírus. Se houver, o vírus não executa. Se o vírus continua executar, descompactará o componente worm e deixará uma cópia dele na pasta do Windows, (geralmente C:\Windows) e o executará. O nome do arquivo é Ie_pack.exe que, depois de ser executado, é renomeado para Win32.dll.

O vírus também deixa o arquivo Mtx_.exe e o executa. Ele procura por executáveis do Win32 na pasta corrente, na pasta do Windows e na pasta Temp. No final, todos os executáveis do sistema serão infectados (principalmente os arquivos que se encontram na pasta do Windows).Assim, três arquivos ocultos são criadosna pasta Windows:

IE_PACK.EXE
MTX_.EXE
WIN32.DLL

Também é criada a seguinte chave no registro do windows (que executa o programa a cada reinício do windows):
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\SystemBackup = C:\WINDOWS\MTX_.EXE"

O arquivo MTX_.EXE começa fazer ligações pela Internet, a cada 2 minutos, usando o TCP, porta1137. O MTX tenta fazer cópia e executar arquivos de um website que contém outros programas similares.

A seguir, a parte viral do Matrix cria uma versão modificada do Wsock32.dll. Ou seja, o código de propagação se instala no arquivo "wsock32.dll" (driver responsável pelas conexões do Windows), para garantir o controle do tráfego de Internet. Como o Windows bloqueia o acesso ao arquivo "wsock32.dll", o MTX cria uma cópia desse arquivo com o nome "wsock32.mtx" e o infecta.

Depois, modifica o arquivo wininit.ini ciando uma cópia dele. O arquivo modificado wininit.ini contém comandos para substituir a versão original do Wsock32.dll. Quando o windows for reiniciado os arquivos são trocados.

Assim que o original é substituído, o novo Wsock32.dll intercepta a informação "being sent", por meio da função enviar (send). Ela é modificada para apontar para o próprio código. Isto habilita o vírus a enviar uma cópia de si mesmo por email, a partir de um computador infectado. Assim, quando uma mensagem estiver sendo enviada, um segundo email segue automaticamente para opara o mesmo destinatário, levando um arquivo infectado como anexo. A mensagem estará em branco.O arquivo do MTX anexado, enviado por e-mail, tem a particularidade de ganhar um nome aleatório, escolhido a partir da seguinte lista:

ALANIS_Screen_Saver.SCR	MATRiX_2_is_OUT.SCR
ANTI_CIH.EXE	MATRiX_Screen_Saver.SCR
AVP_Updates.EXE	Me_nude.AVI.pif
BILL_GATES_PIECE.JPG.pif	METALLICA_SONG.MP3.pif
BLINK_182.MP3.pif	NEW_NAPSTER_site.TXT.pif
FEITICEIRA_NUA.JPG.pif	NEW_playboy_Screen_saver.SCR
FREE_xxx_sites.TXT.pif	Protect_your_credit.HTML.pif
FUCKING_WITH_DOGS.SCR	QI_TEST.EXE
Geocities_Free_sites.TXT.pif	READER_DIGEST_LETTER.TXT.pif
HANSON.SCR	README.TXT.pif
I_am_sorry.DOC.pif	SEICHO-NO-IE.EXE
I_wanna_see_YOU.TXT.pif	Sorry_about_yesterday.DOC.pif
INTERNET_SECURITY_FORUM.DOC.pif	TIAZINHA.JPG.pif
IS_LINUX_GOOD_ENOUGH!.TXT.pif	WIN_$100_NOW.DOC.pif
JIMI_HMNDRIX.MP3.pif	YOU_are_FAT!.TXT.pif
LOVE_LETTER_FOR_YOU.TXT.pif	zipped_files.EXE

Note-se que o nome é traiçoeiro, pois pode ter a terminação "TXT.pif", ou seja, quem o recebe - se não alterou a configuração padrão do windows, não verá a extensão ".pif", sendo enganado, pois pensará que se trata de um arquivo ".txt" (de texto). Paralelamente, alguns programas de correio eletrônico não exibem a extensão .pif.

Quando um destinatário desavisado clica no arquivo recebido, o vírus instala componentes no computador, destinados a enviar automaticamente mensagens por e-mail infectadas para todos os nomes que fazem parte de sua lista de endereços. Assim, em ambiente corporativo, o grande volume de e-mails pode derrubar servidores.

Além disso, a substituição do Wsock32.dll monitora a entrada dos endereços no navegador (requisições de HTTP) e os endereços dos destinatários de e-mail. Assim, o navegador congelará se o usuário tentar acessar um site de anti-vírus ou se enviar um e-mail para uma empresa de anti-vírus.

Ele detecta comunicação procurando cadeias e subcadeias nos domínios, buscando os seguintes textos nos URLs: (note que partes do nome de muitos fabricantes de antivírus estão na lista):

afee	hiserv.com	NII.
avp.	il.esafe.c	pand
AVP.	inexar.com	pandasoftw
bca.com.nz	inforamp.n	perfectsup
beyond.com	lywa	singnet.co
bmcd.com.a	mabex.com	soph
cellco.com	mapl	sophos.com
comkom.co.	maple.com.	successful
complex.is	mcafee.com	symantec.c
earthlink.	meditrade.	tbav
F-Se	metro.ch	trendmicro
f-se	nai.	wildlist.o
f-secure.c	ndmi	yenn
F-Secure.c	netsales.n	yman
HiServ.com	newell.com

Ou seja, ele tenta localizar os produtos antivírus abaixo:

Anti Viral Toolkit Pro - AVP Monitor - VSStat - WebScanX - AV Console - McAfee VirusScan - VSHWin32 - Central Point

McAfee VirusScan. Se algum um deles for encontrado, o vírus irá removê-lo do sistema.

O vírus contém o seguinte texto ASCII:

Software provide by [MATRiX] VX team:
Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos Greetz:
All VX guy on #virus channel and Vecna
Visit us: www.coderz.net/matrix

Apelidos

Mtx (Win32), Win32.Mtx, W32/MTX@mm, W32/Apology, W32/MTX, W95.Oisdbo ou I-Worm.MTX .

Indicadores de infecção

Existência do(s) seguinte(s) arquivo(s) na pasta Windows:

IE_PACK.EXE
MTX_.EXE
WIN32.DLL
WSOCK32.MTX

Descontaminação

- Procedimentos para retirar o Opaserv de um computador

A - Descontaminação com vacina específica

Essa é a solução proposta pela equipe CSRT (Content Security Response Team) da Aladdin:

1. Acesse os arquivos "Remove_MTX_Trojan.exe" e "Vs_make.exe" disponibilizados gratuitamente pela equipe CSRT da Aladdin:

http://www.aladdin.com.br/matrix/Remove_MTX_Trojan.exe
http://www.aladdin.com.br/matrix/Vs_make.exe

2. Tenha em mãos, um disco de 1.44mb formatado.
3. Execute o arquivo "Vs_make.exe". Este arquivo irá criar um disquete especial de recuperação.
4. Execute o arquivo "Remove MTX Trojan.exe". Isto irá limpar o sistema.
5. Verifique se a BIOS está ajustada para iniciar através de disquete.
Reinicie o computador infectado com o disquete de recuperação.
6. O sistema agora irá entrar no modo DOS e será desinfectado.
7. Reinicie o Windows.
8. Restaure o arquivo "wsock32.dll" a partir do CD de instalação do Windows ou copiando o arquivo de outro computador que rode o mesmo sistema operacional. No Windows 98 poderá ser encontrada uma cópia do "wsock32.dll" na pasta "Windows\Sysbackup".

Nota: Se o "eSafe" estiver instalado no computador, deve ficar desabilitado na barra de tarefas.

B- Descontaminação manual

IMPORTANTE: Só executar esses procedimentos se realmente souber fazê-lo, realmente. Em caso contrário, recorra a alguém que tenha um bom conhecimento técnico para descontaminar seu computador.

Erros neste processo podem causar danos sérios, comprometendo o funcionamento do sistema, podendo provocar mais estragos do que os ocasionados pelo próprio vírus.

1	Clicar no botão Iniciar em Executar Digitar, na caixa de texto, "regedit" (sem as apas) Clicar em Editar - Localizar ("Edit" - "Find") Digitar HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run Clicar em "SystemBackup = C:\WINDOWS\mtx_.exe" e excluir este valor. (Clicar em "Sim" para confirmação da exclusão).
2	Localizar também a seguinte chave do registro se existir: HKEY_LOCAL_MACHINE\Software\[MATRiX] Clicar sobre esta chave e excluir. Depois, clicar no botão "Sim" para confirmar a exclusão .
3	Clicar em Botão Iniciar / Localizar e procurar os seguintes arquivos: C:\WINDOWS\IE_PACK.EXE C:\WINDOWS\WIN32.DLL Excluir estes arquivos definitivamente da máquina infectada. Entretanto, esses arquivos podem estar com o atributo oculto ativado. Se não os encontrar: - Abrir o Windows Explorer. - Clicar no menu Exibir - Opções de pasta" e na aba "Modo de exibição" - Deixar selecionada a opção "Mostrar todos os arquivos" (Se precisar de mais informações sobre esse assunto, .
4	Clicar em Botão Iniciar / Localizar e procurar os seguintes arquivos, se existirem: C:\WINDOWS\WININIT.BAK C:\WINDOWS\WININIT.INI Editar os arquivos (usando o Bloco de Notas - Notepad.exe) removendo as seguintes linhas se existirem: NUL=C:\ARQUIV~1\COMMAN~1\F-PROT95 NUL=C:\WINDOWS\SYSTEM\WSOCK32.DLL C:\WINDOWS\SYSTEM\WSOCK32.DLL=C:\WINDOWS\SYSTEM\WSOCK32.MTX
5	Clicar no botão Iniciar e em Desligar Selecionar a opção "Reiniciar o computador em modo MS-DOS" Depois, no prompt do DOS, acessar a pasta onde está o arquivo, usando o comando CD e digitar: CD C:\WINDOWS (e pressionar Enter) Para mudar o atributo do arquivo, digitar: C:\WINDOWS\ATTRIB -H MTX_.EXE (e pressionar Enter) Finalmente, deletar o arquivo digitando: C:\WINDOWS\DEL MTX_.EXE (e pressionar Enter) Certificar-se que o arquivo C:\WINDOWS\MTX_.EXE foi apagado, digitando o comando C:\WINDOWS\dir MTX_.EXE (e pressionar Enter) O arquivo não deve ser encontrado.
6	Copiar o arquivo C:\WINDOWS\SYSTEM\WSOCK32.DLL para um disquete, de um computador não contaminado, que tenha o mesmo sistema operacional instalado (a mesma versão do Windows) e, depois, copiar este arquivo para a pasta C:\WINDOWS\SYSTEM na máquina infectada, mandando sobrescrever o arquivo existente.
7	Deletar o arquivo C:\WINDOWS\SYSTEM\WSOCK32.MTX, se existir.
8	Voltar para o Windows usando o comando EXIT.
9	Alguns arquivos do sistema certamente foram danificados pelo vírus. Atualizar o antivírus e o executar, fazendo uma verificação no computador todo (todos os "drives").

Medidas gerais de prevenção

Há um conjunto de procedimentos gerais de prevenção contra vírus e outros programas maliciosos que sempre devem ser realizados (em qualquer computador, especialmente nos conectados à Internet).

Essas medidas podem ser resumidas assim:

1. Jamais executar um programa ou abrir um arquivo sem antes executar o antivírus sobre a pasta que o contenha.

2. Atualizar o seu antivírus constantemente (todas as semanas e até diariamente as empresas distribuem cópias gratuitas dos arquivos que atualizam a lista dos novos vírus e vacinas).

3. Desativar a opção de executar documentos diretamente do programa de correio eletrônico.

4. Jamais executar programas que não tenham sido obtidos de fontes absolutamente confiáveis.

Leia mais sobre esse assunto, clicando aqui.