Epidemia MTX

    Compartilhando conhecimento desde 1998                                      Quem sou    Serviços    Colaborações   Contatos
 
seta.gif (161 bytes)  Publicado no site: AQUI!
 > Epidemia MTX  

Lembram-se do artigo “Alerta de vírus novo” publicado AQUI! recentemente? Pois bem, o MTX tornou-se uma epidemia e vem causando estragos implacavelmente... Já está nas listas dos TOP vírus e aparece por todos os lados e de todos os jeitos... Vem como arquivos relacionados a sexo, religião, dinheiro, saúde, música e etc... Disfarça-se de screen saver, MP3, html, text e etc... Pessoalmente ainda não tinha visto nenhum vírus que tivesse contaminado e perturbado tantas pessoas conhecidas... 

Como acontece em casos de “sucesso” de vírus, este já ganha suas variantes com novos recursos, correção de bugs e tudo que tem direito uma nova versão... Vejam este alerta da Aladdin: 

ALADDIN SECURITY ALERT: "Variante do Matrix" 

A equipe CSRT (Content Security Response Team) da Aladdin identificou uma variante perigosa do Matrix.  
Plataformas afetadas: Windows 95/98/ME/NT/2000
Nível da Ameaça: Médio

O Win32.Worm.MTX se juntou ao Win32.Matrix, formando um mecanismo eficiente de propagação, contaminação e atualização. Agora, o código do Win32.Worm.MTX infecta arquivos executáveis e envia mensagens de email com arquivos infectados, enquanto o componente de atualização do Win32.Matrix faz automaticamente o download extra de plug-ins e os instala no sistema.

O novo Matrix possui três componentes que atuam separadamente. O vírus é a parte principal. Os outros dois componentes estão guardados no seu código. Quando um sistema é infectado, eles são extraídos para o disco e executados.

RESUMO DAS ATIVIDADES DO MATRIX

- O componente vírus infecta executáveis Win32, inserindo uma rotina de desvio

- Ele impede a utilização de produtos antivírus

- Infecta o arquivo "wsock32.dll", para conseguir acessar todo o tráfego de Internet

- Monitora o acesso aos sites de Web e FTP, assim como emails transmitidos

- Impede o acesso aos sites dos fabricantes de antivírus, evitando também que sejam enviados emails para eles

- Impede o envio de emails para uma lista de outros sites que divulgam informação sobre vírus

- Tenta enviar uma segunda mensagem, depois de cada email enviado. A segunda mensagem normalmente trás um anexo contaminado, com a extensão PIF ou SCR.

- O componente de atualização funciona como um serviço oculto. Quando há uma conexão com a Internet, ele tenta fazer o download e a instalação de outros componentes, tornando o Matrix ainda mais perigoso.

O COMPONENTE DE INFECÇÃO DO MATRIX

O componente de infecção do Matrix trás algumas linhas de texto:

"SABI?.b ViRuS Software provide by [MATRiX] VX TeAm: Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos Greetz: All VX guy in #virus and Vecna for help us Visit us at: http://www.coderz.net/matrix"

O Matrix insere uma instrução para ativar o código do vírus em diversas áreas do executável. Dessa forma, se torna ainda mais difícil isolar o Matrix. Porém, o código do vírus será executado somente se o desvio no ponto de entrada do executável for encontrado.

Após a execução, o vírus tira parte de sua criptografia para ler rapidamente o Kernel do Windows, na busca por funções Win32 API que irá utilizar.

Depois ele tenta localizar os produtos antivírus abaixo:

Anti Viral Toolkit Pro
AVP Monitor
VSStat
WebScanX
AV Console
McAfee VirusScan
VSHWin32
Central Point
McAfee VirusScan

Se algum um deles for encontrado, o vírus irá removê-lo do sistema.

Em seguida, o Matrix instala seus componentes, que são extraídos para o diretório do Windows e executados. Três arquivos ocultos são criados:

IE_PACK.EXE
- O código original do vírus

WIN32.DLL
- O código de propagação contaminado pelo vírus

MTX_.EXE
- O código de invasão

No final, todos os executáveis do sistema são infectados. Principalmente os arquivos que se encontram na pasta do Windows.

O COMPONENTE DE PROPAGAÇÃO DO MATRIX

O componente de propagação do Matrix trás algumas linhas de texto:

"Software provide by [MATRiX] VX team: Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos Greetz: All VX guy on #virus channel and Vecna Visit us: www.coderz.net/matrix"

O código de propagação se instala no arquivo "wsock32.dll" (driver responsável pelas conexões do Windows), garantindo o controle do tráfego de Internet. Normalmente o Windows bloqueia o acesso ao arquivo "wsock32.dll". Sendo assim, o Matrix cria uma cópia do "wsock32.dll" com o nome "wsock32.mtx" e o infecta. Após reiniciar o sistema, os arquivos são trocados. Além disso, o arquivo "wininit.ini" recebe os comandos abaixo:

"NUL=C:\WINDOWS\SYSTEM\WSOCK32.DLL C:\WINDOWS\SYSTEM\WSOCK32.DLL= D:\WINDOWS\SYSTEM\WSOCK32.MTX"

O nome "C:\WINDOWS\SYSTEM" se refere ao diretório de sistema do Windows e pode ser diferente.

Quando o worm está ativo, monitora o acesso aos sites abaixo. São domínios de fabricantes de antivírus. Tudo é feito através da procura de textos nos URLs:

nii.
nai.
avp
f-se
mapl
pand
soph
ndmi
afee
yenn
lywa
tbav
yman

O Matrix impedirá também o envio de emails para sites que divulgam informação sobre vírus:

wildlist.o*
il.esafe.c*
perfectsup*
complex.is*
HiServ.com*
hiserv.com*
metro.ch*
beyond.com*
mcafee.com*
pandasoftw*
earthlink.*
inexar.com*
comkom.co.*
meditrade.*
mabex.com *
cellco.com*
symantec.c*
successful*
inforamp.n*
newell.com*
singnet.co*
bmcd.com.a*
bca.com.nz*
trendmicro*
sophos.com*
maple.com.*
netsales.n*
f-secure.c*

Ele monitora todos os emails enviados. Um segundo email segue automaticamente para os endereços, levando um arquivo infectado como anexo. A mensagem estará em branco. O anexo terá um dos nomes abaixo:

README.TXT.pif
I_wanna_see_YOU.TXT.pif
MATRiX_Screen_Saver.SCR
LOVE_LETTER_FOR_YOU.TXT.pif
NEW_playboy_Screen_saver.SCR
BILL_GATES_PIECE.JPG.pif
TIAZINHA.JPG.pif
FEITICEIRA_NUA.JPG.pif
Geocities_Free_sites.TXT.pif
NEW_NAPSTER_site.TXT.pif
METALLICA_SONG.MP3.pif
ANTI_CIH.EXE
INTERNET_SECURITY_FORUM.DOC.pif
ALANIS_Screen_Saver.SCR
READER_DIGEST_LETTER.TXT.pif
WIN_$100_NOW.DOC.pif
IS_LINUX_GOOD_ENOUGH!.TXT.pif
QI_TEST.EXE
AVP_Updates.EXE
SEICHO-NO-IE.EXE
YOU_are_FAT!.TXT.pif
FREE_xxx_sites.TXT.pif
I_am_sorry.DOC.pif
Me_nude.AVI.pif
Sorry_about_yesterday.DOC.pif
Protect_your_credit.HTML.pif
JIMI_HMNDRIX.MP3.pif
HANSON.SCR
FUCKING_WITH_DOGS.SCR
MATRiX_2_is_OUT.SCR
zipped_files.EXE
BLINK_182.MP3.pif

O nome original do arquivo é "win32.dll" - uma versão antiga do componente de propagação infectado pelo código do vírus.

Foram descobertos na versão atual do Matrix muitos bugs e erros de programação que impedem servidores de email de receber mensagens infectadas. Esses bugs deverão ser corrigidos nas próximas versões do vírus.

O COMPONENTE DE ATUALIZAÇÃO DO MATRIX

O componente de atualização do Matrix trás as seguintes linhas:

"Software provide by [MATRiX] team: Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos Greetz: Vecna 4 source codes and ideas"

Quando executado, o código cria uma nova entrada no Registro do Windows, indicando que o sistema foi infectado:

"HKLM\Software\[MATRIX]"

Se esta chave já existir, o componente de infecção será ignorado. Ele irá inserir outra entrada no Registro para garantir que seja executado na próxima inicialização do sistema:

"HKLM\Software\Microsoft\Windows\CurrentVersion\Run SystemBackup=%WinDir%\MTX_.EXE"

O componente de atualização irá rodar como um serviço oculto do Windows, tentando se conectar em servidores da Internet para fazer o download de componentes novos.

O Matrix na versão atual também contém bugs que o impedem de conectar em determinados servidores.

O QUE PODE SER FEITO

O Matrix é uma ameaça digital complexa, formado por códigos diversos. Siga os passos abaixo para eliminá-lo definitivamente do sistema:

1. Acesse os arquivos "Remove_MTX_Trojan.exe" e "Vs_make.exe" disponibilizados gratuitamente pela equipe CSRT (Content Security Response Team) da Aladdin:

http://www.aladdin.com.br/matrix/Remove_MTX_Trojan.exe

http://www.aladdin.com.br/matrix/Vs_make.exe

2. Tenha um disco de 1.44mb formatado.

3. Execute o arquivo "Vs_make.exe". Este arquivo irá criar um disquete especial de recuperação.

4. Execute o arquivo "Remove MTX Trojan.exe". Isto irá limpar o seu sistema.

5. Reinicie o computador infectado com o disquete de recuperação. Verifique se a BIOS está ajustada para iniciar através do disquete.

6. O sistema agora irá entrar no modo DOS e será desinfectado.

7. Reinicie o Windows.

8. Restaure o arquivo "wsock32.dll" da instalação do Windows ou de outro computador que rode o mesmo sistema operacional. No Windows 98 você poderá encontrar uma cópia do "wsock32.dll" na pasta "Windows\Sysbackup".

[12/10/2000] 

Fonte: Aladdin CSRT (Content Security Response Team)

Felipe Moniz - Analista de Segurança de Sistemas

Aladdin Knowledge Systems Brasil Ltda

 

Recebi vários alertas de pessoas sérias e confiáveis afirmando terem recebido o MTX auto executável em mensagens cujo remetente era um genérico USUÁRIO UNIVERSO ONLINE, pesquisei sobre isso e cheguei à conclusão que muitas das mensagens provenientes de usuários UOL trazem essa identificação estejam contaminadas por vírus ou não... Não achei nenhuma referência que confirmasse o fato do MTX ter variantes que se auto executam na simples abertura da mensagem, se alguém tiver um dado novo para acrescentar nessa questão eu agradeço a informação.

Outra informação que seria bem vinda é por que os veículos de comunicação escrita e televisiva não tocaram sequer no nome dessa praga enquanto fizeram grande estardalhaço em volta de outros que nem eram tão agressivos...

Para terem uma idéia do que quero dizer com epidemia, dêem uma olhada no mapa de incidência de vírus disponibilizado pela TrendMicro: 

Existe ainda uma grande confusão em relação ao nome do MTX, parece que cada empresa antivírus batiza os vírus novos a seu bel prazer como se seguissem à risca o mandamento “se podemos complicar, pra que facilitar?” Leiam a seguir um informe da   a esse respeito:

Falta de padrão para nomenclatura de vírus dificulta a vida do usuário
Autor / Fonte: Equipe SecureNet / VNUNet
Data: 04 de Outubro de 2000

Está transparecendo cada vez mais a necessidade de padronização das nomenclaturas dadas aos novos vírus pelas empresas e laboratórios anti-vírus.

A Trend Micro lançou um alerta durante esta semana sobre um novo vírus chamado VBS_Colombia, que se dissemina através de correio eletrônico. A sua rival, Symantec, afirmou que o vírus já havia sido descoberto há diversas semanas atrás e teria sido designado por VBS.PlanA. A Sophos lhe deu o nome de LoveLetter.AS e a Network Associates, Loveletter.AV.

Com a polêmica em torno do mesmo vírus, o usuário final pode acabar se confundindo na hora de identificar uma possível contaminação.

"Quando um novo vírus é encontrado, todas as empresas procuram designar um nome original para representá-lo externamente. Com o passar de uma semana, todas acabam por concordar em utilizar um nome padrão, para não dificultar a ação dos anti-vírus. Seria muito mais fácil se tivessemos um sistema de nomenclaturas centralizado", afirma Jack Clark, gerente de produtos da Network Associates.

De acordo com Eric Chien, da Symantec, "a maioria das empresas de anti-vírus tentam se adequar às propostas da CARO (Computer Antivirus Research Organization)" -- uma organização dedicada à pesquisa e classificação de vírus de computadores.

"É por isso que adotamos os prefixos VBS e sufixos worm, para dar uma idéia sobre a atividade do vírus", Chien conclue.

Segundo Stewart Taylor, coordenador do laboratório da Sophos, o problema de criar um sistema centralizado de classificação para vírus é a necessidade de se ter todas as empresas trabalhando juntas para a pesquisa e identificação das "pragas virtuais". "Existem muitos problemas de relacionamento entre as empresas, não existe a possibilidade de se concretizar este idéia neste momento", afirma Taylor.

 

De boa notícia temos que o combate ao MTX ganhou um novo e poderoso aliado: A Mynetis disponibilizou um serviço online gratuito que limpa os sistemas contaminados pelo MTX além de outras pragas... Tenho recomendado o serviço e até agora só recebi feedbacks positivos a respeito do mesmo. Vejam o que eles mesmo dizem: 

Acabou a festa para o vírus MTX!!!

Muitos usuários de Internet estão desesperados a procura de uma cura para o vírus MTX. A Mynetis está com o tratamento DEFINITIVO e bem mais simples dessa praga!!! A vacina desse vírus é raro, pois dependo da gravidade do ataque do vírus, o tratamento só pode ser feita pelo modo MS-DOS e nenhuma outra empresa de anti-vírus oferece um tratamento efetivo e simplificado como o nosso.Para tratar do vírus Win32.MTX ou I-Worm.MTX segue as instruções abaixo:

1o. Faça o tratamento pelo nosso site com o LiveCall. Basta efetuar o log-in no site e clicar sobre "Anti-Vírus" ou pelo e-mail de vacina-víruds. Na Janela de Tratamento selecione os 4 itens (Verificar diretórios, Verificar todos os arquivos, Tratamento automático e Salvar arquivo antes do tratamento) e clique em "Iniciar busca".

2o. Se o LiveCall 1.23 acusar o arquivo WSOCK32.DLL aparecerá uma caixa de diálogo, que você deverá fechar e logo, cancelar o tratamento e reiniciar o Windows. Depois de reiniciado faça um novo tratamento seguindo as instruções do 1o. passo.

3o. Uma das características do vírus .MTX é que ele infecta arquivos do sistema operacional que somente são tratáveis pelo modo MS-DOS. Portanto, você deverá fazer o download do programa anti-vírus MS-DOS.MTX, que está disponível na página "Downloads". Para o download e tratamento, siga as instruções que estão no "Ajuda" do nosso site

 

Links com mais infos sobre o MTX:

http://idgnow.uol.com.br/idgnow/pcnews/2000/08/0101

http://www2.uol.com.br/cgi-bin/anti-hackers/builder/builder.cgi?sec=noticias&subsec=generic&id=2000/08-29-A

http://members.es.tripod.de/virusattack/index3.htm?base/mtx.htm

http://www.symantec.com/avcenter/venc/data/w95.mtx.html

http://www.trend.com/vinfo/virusencyclo/default5.asp?VName=PE_MTX.A&VSect=T

http://www.aladdin.com.br/home/mtx.shtml

http://www.sophos.com/virusinfo/analyses/w32apologyb.html

http://www.symantec.com.br/region/br/avcenter/data/w95.mtx.html  
.
Principal | Artigos | AV Online | Ferramentas | Testes | Notícias | Boletim informativo | Serviços | Quem sou | Contatos
 .

Ary Lima Jr