W95.MTX
Detectado como: W95.MTX
Apelido: W95.Oisdbo
Tamanho da Infecção: 9250 (Variable)
Detectado em: 5 de setembro de 2000
Área de infecção: Executáveis do Windows
Descrição
W95.MTX tem um componente de vírus e um componente de worm.
Infecta alguns
executáveis Win32 em pastas específicas.
Descrição Técnica
Componente Worm
O componente worm faz uma cópia do arquivo Wsock32.dll e nomeia
para
Wsock32.mtx. A função de Enviar exportar do arquivo .mtx é então
modificada para
apontar para o próprio código. Isto habilita o vírus para
enviar por email uma cópia do
worm infectado com o vírus quando o email é enviado de um
computador infectado.
Abaixo uma lista de nomes do arquivo que este vírus pode usar
quando envia o worm
infectado:
NOTA: Para aqueles arquivos com as extensões .pif, a extensão .pif
pode não
aparecer em alguns programas de correio.
I_wanna_see_you.txt.pif
Matrix_screen_saver.scr
Love_letter_for_you.txt.pif
New_playboy_screen_saver.scr
Bill_gates_piece.jpg.pif
Tiazinha.jpg.pif
Feiticeira_nua.jpg.pif
Geocities_free_sites.txt.pif
New_napster_site.txt.pif
Metallica_song.mp3.pif
Anti_cih.exe
Internet_security_forum.doc.pif
Alanis_screen_saver.scr
Reader_digest_letter.txt.pif
Win_$100_now.doc.pif
Is_linux_good_enough!.txt.pif
Qi_test.exe
Avp_updates.exe
Seicho_no_ie.exe
You_are_fat!.txt.pif
Free_xxx_sites.txt.pif
I_am_sorry.doc.pif
Me_nude.avi.pif
Sorry_about_yesterday.doc.pif
Protect_your_credit.html.pif
Jimi_hendrix.mp3.pif
Hanson.scr
F___ing_with_dogs.scr
Matrix_2_is_out.scr
Zipped_files.exe
Blink_182.mp3.pif
O arquivo Wininit.ini é criado por um componente worm; este
deleta o arquivo
Wsock32.dll e então renomeia o Wsock32.mtx para Wsock32.dll. O
Wininit.ini é
executado depois do computador ser reiniciado. Depois do Wininit.ini
ser criado, ele
executa o componente do vírus.
Componente do Vírus
O componente do vírus procura no computador por um específico
programa de
antivírus sendo executado. Se o vírus achar um, então o vírus
não executa. Se o vírus
continua executar, ele descompacta o componente worm, deixa uma cópia
dele na
pasta do Windows do usuário, (geralmente C:\Windows), e executa-o.
O nome do
arquivo deixado é Ie_pack.exe. Depois do Ie_pack.exe ser
executado, é renomeado
para Win32.dll.
O vírus também deixa Mtx_.Exe e executa-o. Este é um programa
de download que
vai para um específico site da Web (por exemplo,/[Matrix]) onde
plug-ins para o vírus
é baixado e executado. Ele também procura por executáveis do
Win32 na pasta
corrente, na pasta do Windows, e na pasta Temp. O arquivo para
ser infectado precisa
ter um tamanho que não é dividido por 101, é maior que o
tamanho de 8K, e tem pelo
menos 20 instruções de chamada importadas. Se não tiver, então
o arquivo não é
infectado pelo vírus.
O vírus também adiciona uma entrada no registro que deixa o
programa de download
executar automaticamente cada vez que o sistema é reiniciado. O
programa de
download não é mostrado na lista de Tarefas.
Como reparar utulizando o Norton AntiVírus
Para reparar este vírus, você precisa fazer o seguinte:
Executar uma verificação completa do sistema com as definições
de vírus mais
recentes.
o Repare arquivos detectados como W95.mtx e W95.mtx (.dll)
o Delete o arquivo W95.mtx.dr.
Remova o valor da seguinte chave de registro
"SystemBackup"="C:\WINDOWS\MTX_.EXE":
HKey_Local_Machine\Software\Microsoft\Windows\CurrentVersion\Run
Siga as instruções em cada sessão.
Verifique com o Norton AntiVírus
1.Execute o LiveUpdate para ter certeza de que você possui a
mais recente
definições de vírus.
2.Inicie o Norton AntiVírus (NAV) e execute a verificação
completa do sistema,
tenha certeza de que o NAV está configurado para verificar todos
os arquivos.
Se nenhum arquivo infectado foi detectado, então faça o
seguinte:
o Se os arquivos W95.mtx e W95.mtx (.dll) forem detectados, então
clique
Reparar.
o Se o arquivo W95.mtx.dr for detectado, então clique Excluir.
3.Saia do NAV.
Edite o registro
Siga estes passos para remover a entrada de vírus adicionada no
registro:
Importante: Nós recomendamos
fortemente que você faça uma cópia do seu registro
de sistema antes de fazer qualquer alteração. Mudanças
incorretas no registro pode
resultar em perda permanente de dados ou arquivos corrompidos.
Por favor tenha
certeza de que você modificou somente as chaves especificadas.
1.Clique Iniciar, e então clique Executar. A caixa de diálogo
aparece.
2.Digite regedit e então clique OK. O Editor de Registro abre.
3.Navegue para a seguinte sub-chave:
HKey_Local_Machine\Software\Microsoft\Windows\CurrentVersion\Run
4.No lado direito do painel, selecione o seguinte valor e
pressione Excluir:
"SystemBackup"="C:\WINDOWS\MTX_.EXE"
5.Clique Sim para confirmar.
6.Clique no menu Registro, e então clique Sair para salvar as
alterações feitas no
Editor de Registro.