MTX

CRM
 Oracle CRM
Ochrona
 Usuń wirusy
 Programy
 Trend Micro
 Uaktualnienia
 Sklep
                 

MTX - zyskuje coraz większą "popularność" i przysparza kłopotów administratorom sieci korporacyjnych

Trojan o nazwie PE_MTX przysyłany jest pocztą email, zazwyczaj bez tematu i żadnej informacji. Ukrywa się w załączniku o losowo generowanej nazwie, na przykład:

README.TXT.pif
I_wanna_see_YOU.TXT.pif
MATRiX_Screen_Saver.SCR
LOVE_LETTER_FOR_YOU.TXT.pif
NEW_playboy_Screen_saver.SCR BILL_GATES_PIECE.JPG.pif
TIAZINHA.JPG.pif
FEITICEIRA_NUA.JPG.pif
Geocities_Free_sites.TXT.pif
NEW_NAPSTER_site.TXT.pif
METALLICA_SONG.MP3.pif
ANTI_CIH.EXE
INTERNET_SECURITY_FORUM.DOC.pif
ALANIS_Screen_Saver.SCR READER_DIGEST_LETTER.TXT.pif
WIN_$100_NOW.DOC.pif
IS_LINUX_GOOD_ENOUGH!.TXT.pif
QI_TEST.EXE
AVP_Updates.EXE
SEICHO-NO-IE.EXE
YOU_are_FAT!.TXT.pif
FREE_xxx_sites.TXT.pif
I_am_sorry.DOC.pif
Me_nude.AVI.pif
Sorry_about_yesterday.DOC.pif Protect_your_credit.HTML.pif
JIMI_HMNDRIX.MP3.pif HANSON.SCR
FUCKING_WITH_DOGS.SCR
MATRiX_2_is_OUT.SCR zipped_files.EXE BLINK_182.MP3.pif

Po uruchomieniu załącznika wirus ukrywa w katalogu Windows pliki: IE_PACK.EXE, WIN32.DLL (kopia wirusa) oraz MTX_.EXE (wirus PE). Następnie modyfikowane są rejestry systemu, co umożliwia uruchomienie MTX_.EXE przy następnym włączeniu systemu. Wirus tworzy kopię WSOCK32.DLL jako WSOCK32.MTX i modyfikuje go tak (zmiana funkcji SELECT(), SEND() and SENDTO()), aby przejąć kontrolę nad pocztą SMTP. Tworzone sa także nowe rejestry:

HKEY_LOCAL_MACHINE\Software\(MATRIX)
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run\ SytemBackup “c:\windows\mtx_.exe”

Zmieniany jest także WININIT.INI w celu wywołania WSOCK32.MTX zamiast oryginalnego WSOCK32.DLL. Zakażane są pliki EXE i SCR systemów Windows 95 i 98. Kod wirusa zawiera następujący łańcuch znaków:

Software provide by [MATRiX] VX team
Ultras, Mort, Nbk, Lord Dark, Del_Armg0,Anaktos
All VX guy in #virus channel and Vecna

Jak usunąć? 

  1. Wskaż START|URUCHOM
    Wpisz REGEDIT i zatwierdź ENTER
  2. W lewym panelu wskaż "+" na lewo od:
    HKEY_LOCAL_MACHINE
    Software
    Microsoft
    Windows
    CurrentVersion
    Run
    Jeśli będzie 
    SystemBackup = "c:\windows\mtx_.exe" skasuj cały klucz (klawisz DELETE). Potwierdź.
  3. Odszukaj :
    HKEY_LOCAL_MACHINE
    Software
    (MATRIX)
    Wykasuj klucz i wyjdź z edytora REGEDIT.
  4. Na dysku C odszukaj (START/ODSZUKAJ) i wykasuj następujące pliki: "wininit.ini" oraz "wsock32.mtx"
  5. uruchomić ponownie system (START|ZAMKNIJ, URCHOM PONOWNIE).
  6. Przeszukać zasoby przy pomocy programu antywirusowego Trend MICRO i wykasować wszystkie pliki zidentyfikowane jako TROJ_MTX.A. Zalecamy stosowanie najnowszych wzorców wirusów oraz oprogramowania. 

Zachęcamy do zapoznania się z założeniami PROFILAKTYKI ANTYWIRUSOWEJ

Opracowano na podstawie materiałów Trend Micro
© 2000 Trend Micro Incorporated. All Rights Reserved

 

 

 

               

Copyright  Air Trend 1999-2004