Win32/MTX(By TGSoft)
Win32.MTX è un virus da alta infettività costituito da 3 componenti, il "verme", il "virus" e il "backdoor".

Il codice virale infetta i file eseguibili Win32 e si diffonde grazie all'invio di un file attach, contenente il codice infettivo, ai messaggi di posta elettronica. Questa operazione viene effettuata dalla parte del codice denominata worm. Le 3 componenti di Win32.MTX vengono mandate in esecuzione come programma autonomi dalla parte principale cioè dal "virus" che risulta essere in forma non compressa, mentre il "verme" e il "backdoor" risultano essere in formato compresso così da poter sfuggire ai controlli per il rilevamento dei virus di nuova generazione.

La struttura di Win32.MTX è simile a quella che riportiamo di seguito:

Codice del Virus

Routine di installazione
ed infezione

Questa parte di codice se eseguita opera l'installazione nel sistema del Verme e del Backdoor che cercano ed infettano files eseguibili Win32.

Codice del Verme

(Compresso)

Questa parte di codice viene decrittografata (decompressa) ed eseguita come un programma autonomo

Codice del Backdoor

(Compresso)

 Questa parte di codice viene decrittografata (decompressa) ed eseguita come un programma autonomo

Il codice del Verme non contiene necessariamente tutte le routine per infettare il sistema durante l'invio come un file attach quando "infetta" un messaggio e-mail. Il file "Verme" è infettato dal virus come un file ordinario quando viene inviato. 

Il codice del Virus contiene il seguente testo:

SABIÁ.b ViRuS
Software provide by [MATRiX] VX TeAm: Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
Greetz: All VX guy in #virus and Vecna for help us
Visit us at:
http://www.coderz.net/matrix

Il codice del Verme contiene il seguente testo:

Software provide by [MATRiX] VX team:
Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
Greetz:
All VX guy on #virus channel and Vecna
Visit us: www.coderz.net/matrix

Il codice del Backdoor contiene il seguente testo:

Software provide by [MATRiX] team:
Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
Greetz:
Vecna 4 source codes and ideas

 

Tecnologie utilizzate nel codice del Virus

Le routine che costituiscono il Virus utilizzano la tecnologia EPO (Entry Point Obscuring) per infettare i files. Questo significa che il virus non modifica l'entry code (l'inizio del codice), ma inserisce un salto alle istruzioni del virus in qualunque punto in mezzo al file infetto. Questo rende le procedure di identificazione e rimozione molto complesse. In questo modo il virus può attivarsi solamente quando il programma infetto va ad eseguire l'istruzione che il codice virale ha modificato (inserito).

Win32.MTX risulta anche essere anche crittografato.

Successivamente il virus installa le sue componenti nella directory di Windows:

IE_PACK.EXE: Codice del verme per modificare il file WSOCK32.DLL

WIN32.DLL: Codice del verme infetto dal virus Win32.MTX

MTX_.EXE: Backdoor

 

Tecnologie utilizzate nel codice del Verme

Per inviare messaggi "infetti" la componente Verme utilizza la stesse tecnologia che venne utilizzata per la prima volta dal virus Happy99/Ska (Virus/Verme diffuso anche in Italia). Il Verme modifica il file WSOCK32.DLL nella directory Windows\System appendendo delle componenti del suo codice alla fine del file che permettono di monitorare le routine di invio. Il risultato è che il Verme in questo modo è in grado di controllare tutti i dati inviati da un computer infetto in Internet.

Il Verme, controllato i dati inviati in Internet non permette l'invio di messaggi ad alcuni domini, inoltre intercetta i messaggi inviati duplicandoli ed inserendovi l'attach infetto ed inviandoli ad alcuni indirizzi e-mail. In questo modo, all'indirizzo vittima verranno inviati due messaggi, il primo è il messaggio originale scritto dal mittente, il secondo è un messaggio con soggetto e contenuto vuoti, ma con un attach che ha come nome uno dei file dell'elenco. Il nome del file inviato viene selezionato dal Verme in relazione alla data corrente.

README.TXT.pif
I_wanna_see_YOU.TXT.pif
MATRiX_Screen_Saver.SCR
LOVE_LETTER_FOR_YOU.TXT.pif
NEW_playboy_Screen_saver.SCR
BILL_GATES_PIECE.JPG.pif
TIAZINHA.JPG.pif
FEITICEIRA_NUA.JPG.pif
Geocities_Free_sites.TXT.pif
NEW_NAPSTER_site.TXT.pif
METALLICA_SONG.MP3.pif
ANTI_CIH.EXE
INTERNET_SECURITY_FORUM.DOC.pif
ALANIS_Screen_Saver.SCR
READER_DIGEST_LETTER.TXT.pif
WIN_$100_NOW.DOC.pif
IS_LINUX_GOOD_ENOUGH!.TXT.pif
QI_TEST.EXE
AVP_Updates.EXE
SEICHO-NO-IE.EXE
YOU_are_FAT!.TXT.pif
FREE_xxx_sites.TXT.pif
I_am_sorry.DOC.pif
Me_nude.AVI.pif
Sorry_about_yesterday.DOC.pif
Protect_your_credit.HTML.pif
JIMI_HMNDRIX.MP3.pif
HANSON.SCR
FUCKING_WITH_DOGS.SCR
MATRiX_2_is_OUT.SCR
zipped_files.EXE
BLINK_182.MP3.pif

 

Tecnologie utilizzate nel codice del Backdoor

Durante l'esecuzione del codice di Backdoor questo crea una nuova chiave del registro di sistema che permette al virus di riconoscere che la macchina è già infetta. Nel caso che la chiave già esista, quindi che la macchina sia già infetta, viene saltata la procedura di installazione. Comunque il codice di backdoor si aggiunge alla lista dei programmi in esecuzione automatica.

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
SystemBackup=%WinDir%\MTX_.EXE