H+BEDV Datentechnik GmbH

Homepage
Produkte

News

Virenkunde
Downloads
Support
Kontakt
 
English

Copyright 1998-2000
webmaster@antivir.de
Virenbeschreibung

av_shad.gif (1951 Byte)
 

Der Internetwurm W95/MTX

Name: MTX
Alias: Iworm_MTX, I-Worm.MTX, Matrix

Der MTX – Wurm besteht aus drei Komponenten : Virus, Email-Wurm, und Backdoor. Der Virus läuft auf allen Win32 – Systemen ( Windows 9x, Windows NT, Windows 2000). Er infiziert .EXE und .DLL Dateien, sendent Emails mit einem infizierten Attachment ( Dateianhang ) und installiert Backdoor-Module, um Plugins von einem Server zu hohlen und zu aktivieren, auf ihren PC.

Die Virus Komponente
Der Virus entschlüsselt zuerst seinen Code und führt sich dann aus. Der Virus sucht nach aktiven Komponenten folgendender Anti - Viren – Programme:

AntiViral Toolkit Pro
AVP Monitor
Vsstat
Webscanx
Avconsol
McAfee VirusScan
Vshwin32
Central do McAffee VirusScan

Wird eines der Komponenten gefunden, wird der Virus nicht aktiv!

Anschließend dekomprimiert der Virus seine Komponenten und installiert diese im Windows Verzeichnis. Dann befinden sich folgende Komponente auf Ihrem PC:

IE_PACK.EXE - „sauberer“ Wurm – Code
WIN32.DLL - Wurm – Code mit Virus infiziert
MTX_.EXE - Backdoor –Code

Diese drei Dateien sind mit dem Attribut “versteckt“ versehen und stehen im Windows – Verzeichnis, wie auch im Windows\System - Verzeichnis. Der Virus infiziert alle .EXE und .DLL Dateien die sich im Windows, Temp und in dem Verzeichnis stehen, in dem der Virus ausgeführt wird. Es ist nicht auszuschließen, daß lebenswichtige Windows-Dateien beschädigt oder zerstört werden, so daß Sie Windows beim nächsten Neustart nicht mehr starten können.

Die Wurm Komponente
Die Wurm – Komponente manipuliert die Datei WSOCK32.DLL im Windows – Verzeichnis, indem er Teile seines Codes an das Ende dieser Datei anhängt und einen Send – Befehl an WSOCK32.DLL gibt. Dadurch manipuliert der Wurm alle Emails, die vom infizierten System versendet werden.

WSOCK32.DLL wird möglicherweise von Windows schon genutzt und somit kann der Wurm keine Änderungen an dieser Datei vornehmen. Um dies zu ändern, kopiert er WSOCK32.DLL mit dem Namen WSOCK32.MTX, infiziert diese Kopie und schreibt eine Anweisung in die WININIT.INI, daß die orginale WSOCK32.DLL beim nächsten Start gegen die infizierte WSOCK32.MTX ausgetauscht wird.
In die WININIT.INI schreibt er folgende Anweisung:

NUL=C:\WINDOWS\SYSTEM\WSOCK32.DLL
C:\WINDOWS\SYSTEM\WSOCK32.DLL=C:\WINDOWS\SYSTEM\WSOCK32.MTX

Dadurch wird der Wurm aktiviert und überwacht sämtliche Internet-Zugriffe (Web und FTP) des betreffenden Systems ebenso wie alle Emails, die von diesem System versandt werden. An manche Internet-Sites werden die Zugriffe verhindert und es können keine Email an diese Domains verschickt werden. Für die Erkennung benutzt der Virus die folgenden Kombinationen von vier Zeichen:

afee
avp.
nai.
nii.
f-se
lywa
mapl
ndmi
pand
soph
tbav
yenn

Weiterhin verhindert der Wurm das versenden von Email an folgende Domains:

bca.com.nz*
beyond.com*
bmcd.com*
cellco.com*
earthlink.*
f-secure.*
il.esafe.c*
mcafee.com*
netsales.n*
perfectsup*
symantec.c*
wildlist.o*

Der Wurm spioniert beim erstellten von anderen Email hinterher und versucht eine zweite Email zu verschicken mit einem Attachment ( Dateianhang ) , die aber keinen Betreff und keine Email- Text enthält. Die angehängte Datei hat meist einer der folgenden Namen:

ALANIS_Screen_Saver.SCR
ANTI_CIH.EXE
AVP_updates.EXE
BILL_GATES_PIECE.JPG.pif
BLINK_182.MP3.pif
FEITICEIRA_NUA.JPG.pif
FREE_xxx_sites.TXT.pif
FUCKING_WITH_DOGS.SCR
Geocities_Free_Sites.TXT.pif
HANSON.SCR
INTERNET_SECURITY_FORUM.DOC.pif
IS_LINUS_GOOD_ENOUGH!.TXT.pif
I_am_sorry.DOC.pif
I_wanna_see_You.TXT.pif


Der Wurm sendet die Datei WIN32.DLL, die bei der ersten Installation von MTX von der Virus – Komponente auf dem infizierten System generiert wurde.

Die Backdoor Komponente
Wird die Backdoor Komponente ausgeführt, fügt sie einen neuen Registry-Key ein:

HKLM\Software\[MATRIX]

Ist der Key bereits eingetragen, wird die Installation übersprungen. Ist dies nicht der Fall, trägt sich das Backdoor in der Registry in die Auto Run Section ein:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
SystemBackup=%WinDir%\MTX_.EXE

Dabei ist %WinDir% das Windows Verzeichnis.

Das Backdoor bleibt als eine verborgene Anwendung im Hintergrund aktiv und ruft eine Routine auf, die irgendwann Verbindung mit dem Internet aufnimmt. Hier holt er sich Dateien, die er in das infizierte System einfügt. Dadurch kann der MTX andere Viren, Trojaner oder Backdoors holen.

In der bekannte Version hat diese Routine allerdings einen Programmierfehler, der einen Windows Fehler verursacht.

Um den MTX Virus zu entfernen rufen Sie über START – AUSFÜHREN das Programm REGEDIT auf und entfernen Sie die Auto - Run - Funktion und den MATRIX - Key aus der Registry!

Um ein von MTX infiziertes System weithin wieder zu säubern, müssen Sie Windows beenden und ins DOS gehen und von hier die folgenden drei Dateien löschen:

IE_PACK.EXE
WIN32.DLL
MTX_.EXE

Das Orginal der sauberen WSOCK32.DLL sollte von einem Backup geholt werden.

 

  weitere Virenbeschreibungen
  Virenkunde