Vírus e cia. / Backdoors

Matrix - MTX

Apelidos   Indicadores de infecção
  Onde obter mais informações
  Medidas gerais de prevenção


Em 23 de agosto de 2000, foi descoberto o Matrix, com 18.483 bytes. É, na realidade, uma combinação de vírus, worm e backdoor, cujas funções são:

- parte Worm/Backdoor: Faz com que os usuários recebam um mail com um arquivo anexado, cujo nome pode variar muito. Mas cuja última extensão em geral é PIF (comum de windows 9x ou NT) ou SCR (extensão de programas screensavers, os descansos de tela).

- parte Vírus: Modifica arquivos de 32 bits, como os de extensão EXE e DLL na pasta windows. 



Características

O componente do vírus procura no computador por um certo programa antivírus. Se houver, o vírus não executa. Se o vírus continua executar, descompactará o componente worm e deixará uma cópia dele na pasta do Windows, (geralmente C:\Windows) e o executará. O nome do arquivo é Ie_pack.exe que, depois de ser executado, é renomeado para Win32.dll.

O vírus também deixa o arquivo Mtx_.exe e o executa. Ele procura por executáveis do Win32 na pasta corrente, na pasta do Windows e na pasta Temp. No final, todos os executáveis do sistema serão infectados (principalmente os arquivos que se encontram na pasta do Windows).Assim, três arquivos ocultos são criadosna pasta Windows:

IE_PACK.EXE
MTX_.EXE
WIN32.DLL


Também é criada a seguinte chave no registro do windows (que executa o programa a cada reinício do windows):
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\SystemBackup = C:\WINDOWS\MTX_.EXE"

O arquivo MTX_.EXE começa fazer ligações pela Internet, a cada 2 minutos, usando o TCP, porta1137. O MTX tenta fazer cópia e executar arquivos de um website que contém outros programas similares.

A seguir, a parte worm do Matrix cria uma versão modificada do Wsock32.dll. Ou seja, o código de propagação se instala no arquivo "wsock32.dll" (driver responsável pelas conexões do Windows), para garantir o controle do tráfego de Internet. Como o Windows bloqueia o acesso ao arquivo "wsock32.dll", o MTX cria uma cópia desse arquivo com o nome "wsock32.mtx" e o infecta.

Depois, modifica o arquivo wininit.ini ciando uma cópia dele. O arquivo modificado wininit.ini contém comandos para substituir a versão original do Wsock32.dll. Quando o windows for reiniciado os arquivos são trocados.

Assim que o original é substituído, o novo Wsock32.dll intercepta a informação "being sent", por meio da função enviar (send). Ela é modificada para apontar para o próprio código. Isto habilita o vírus a enviar  uma cópia de si mesmo por email, a partir de um computador infectado. Assim, quando uma mensagem estiver sendo enviada, um segundo email segue automaticamente para opara o mesmo destinatário, levando um arquivo infectado como anexo. A mensagem estará em branco.O arquivo do MTX anexado, enviado por e-mail, tem a particularidade de ganhar um nome aleatório, escolhido a partir da seguinte lista:

 
ALANIS_Screen_Saver.SCR MATRiX_2_is_OUT.SCR
ANTI_CIH.EXE MATRiX_Screen_Saver.SCR
AVP_Updates.EXE Me_nude.AVI.pif
BILL_GATES_PIECE.JPG.pif METALLICA_SONG.MP3.pif
BLINK_182.MP3.pif NEW_NAPSTER_site.TXT.pif
FEITICEIRA_NUA.JPG.pif NEW_playboy_Screen_saver.SCR
FREE_xxx_sites.TXT.pif Protect_your_credit.HTML.pif
FUCKING_WITH_DOGS.SCR QI_TEST.EXE
Geocities_Free_sites.TXT.pif READER_DIGEST_LETTER.TXT.pif
HANSON.SCR README.TXT.pif
I_am_sorry.DOC.pif SEICHO-NO-IE.EXE
I_wanna_see_YOU.TXT.pif Sorry_about_yesterday.DOC.pif
INTERNET_SECURITY_FORUM.DOC.pif TIAZINHA.JPG.pif
IS_LINUX_GOOD_ENOUGH!.TXT.pif WIN_$100_NOW.DOC.pif
JIMI_HMNDRIX.MP3.pif YOU_are_FAT!.TXT.pif
LOVE_LETTER_FOR_YOU.TXT.pif zipped_files.EXE


Note-se que o nome é traiçoeiro, pois pode ter a terminação "TXT.pif", ou seja, quem o recebe - se não alterou a configuração padrão do windows, não verá a extensão ".pif", sendo enganado, pois pensará que se trata de um arquivo ".txt" (de texto). Paralelamente, alguns programas de correio eletrônico não exibem a extensão .pif.

Quando um destinatário desavisado clica no arquivo recebido, o vírus instala componentes no computador, destinados a enviar automaticamente mensagens por e-mail infectadas para todos os nomes que fazem parte de sua lista de endereços. Assim, em ambiente corporativo, o grande volume de e-mails pode derrubar servidores.

Além disso, a substituição do Wsock32.dll monitora a entrada dos endereços no navegador (requisições de HTTP) e os endereços dos destinatários de e-mail. Assim, o navegador congelará se o usuário tentar acessar um site de anti-vírus ou se enviar um e-mail para uma empresa de anti-vírus.

Ele detecta comunicação procurando cadeias e subcadeias nos domínios, buscando os seguintes textos nos URLs:  (note que partes do nome de muitos fabricantes de antivírus estão na lista):

 
afee hiserv.com NII.
avp. il.esafe.c pand
AVP. inexar.com pandasoftw
bca.com.nz inforamp.n perfectsup
beyond.com lywa singnet.co
bmcd.com.a mabex.com soph
cellco.com mapl sophos.com
comkom.co. maple.com. successful
complex.is mcafee.com symantec.c
earthlink. meditrade. tbav
F-Se metro.ch trendmicro
f-se nai. wildlist.o
f-secure.c ndmi yenn
F-Secure.c netsales.n yman
HiServ.com newell.com


Ou seja, ele tenta localizar os produtos antivírus abaixo:

Anti Viral Toolkit Pro - AVP Monitor - VSStat - WebScanX - AV Console - McAfee VirusScan - VSHWin32 - Central Point

McAfee VirusScan. Se algum um deles for encontrado, o vírus irá removê-lo do sistema.

O vírus contém o seguinte texto ASCII:
 
Software provide by [MATRiX] VX team:
Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos Greetz:
All VX guy on #virus channel and Vecna
Visit us: www.coderz.net/matrix



Apelidos

Mtx (Win32), Win32.Mtx, W32/MTX@mm, W32/Apology, W32/MTX, W95.Oisdbo ou I-Worm.MTX .



Indicadores de infecção

Existência do(s) seguinte(s) arquivo(s) na pasta Windows:

IE_PACK.EXE
MTX_.EXE
WIN32.DLL
WSOCK32.MTX

Descontaminação

- Procedimentos para retirar o Opaserv de um computador



A - Descontaminação com vacina específica

Essa é a solução proposta pela equipe CSRT (Content Security Response Team) da Aladdin:

1. Acesse os arquivos "Remove_MTX_Trojan.exe" e "Vs_make.exe" disponibilizados gratuitamente pela equipe CSRT da Aladdin:

http://www.aladdin.com.br/matrix/Remove_MTX_Trojan.exe
http://www.aladdin.com.br/matrix/Vs_make.exe

2. Tenha em mãos, um disco de 1.44mb formatado.
3. Execute o arquivo "Vs_make.exe". Este arquivo irá criar um disquete especial de recuperação.
4. Execute o arquivo "Remove MTX Trojan.exe". Isto irá limpar o  sistema.
5. Verifique se a BIOS está ajustada para iniciar através de disquete.
   Reinicie o computador infectado com o disquete de recuperação.
6. O sistema agora irá entrar no modo DOS e será desinfectado.
7. Reinicie o Windows.
8. Restaure o arquivo "wsock32.dll" a partir do CD de instalação do Windows ou copiando o arquivo de outro computador que rode o mesmo sistema operacional. No Windows 98 poderá ser encontrada uma cópia do "wsock32.dll" na pasta "Windows\Sysbackup".

Nota: Se o "eSafe" estiver instalado no computador, deve ficar desabilitado na barra de tarefas.



B- Descontaminação manual

IMPORTANTE: Só executar esses procedimentos se realmente souber fazê-lo, realmente. Em caso contrário, recorra a alguém que tenha um bom conhecimento técnico para descontaminar seu computador.

Erros neste processo podem causar danos sérios, comprometendo o funcionamento do sistema, podendo provocar mais estragos do que os ocasionados pelo próprio vírus.

Se necessitar de informações sobre a edição de registro do Windows e uso de comandos do DOS clique aqui.

 

1 Clicar no botão Iniciar em Executar
Digitar, na caixa de texto, "regedit" (sem as apas)
Clicar em Editar - Localizar ("Edit" - "Find")
Digitar HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 
Clicar em "SystemBackup = C:\WINDOWS\mtx_.exe" e excluir este valor. (Clicar em "Sim" para confirmação da exclusão).
2 Localizar também a seguinte chave do registro se existir:
HKEY_LOCAL_MACHINE\Software\[MATRiX]
Clicar sobre esta chave e excluir. Depois, clicar no botão "Sim" para confirmar a exclusão .
3 Clicar em Botão Iniciar / Localizar e procurar os seguintes arquivos:
C:\WINDOWS\IE_PACK.EXE
C:\WINDOWS\WIN32.DLL
Excluir estes arquivos definitivamente da máquina infectada.
Entretanto, esses arquivos podem estar com o atributo oculto ativado. Se não os encontrar:
- Abrir o Windows Explorer.
- Clicar no menu Exibir - Opções de pasta" e na aba "Modo de exibição"
- Deixar selecionada a opção "Mostrar todos os arquivos"
   (Se precisar de mais informações sobre esse assunto, clique aqui ).
4 Clicar em Botão Iniciar / Localizar e procurar os seguintes arquivos, se existirem: 
C:\WINDOWS\WININIT.BAK
C:\WINDOWS\WININIT.INI
Editar os arquivos (usando o Bloco de Notas - Notepad.exe) removendo as seguintes linhas se existirem:
NUL=C:\ARQUIV~1\COMMAN~1\F-PROT95
NUL=C:\WINDOWS\SYSTEM\WSOCK32.DLL
C:\WINDOWS\SYSTEM\WSOCK32.DLL=C:\WINDOWS\SYSTEM\WSOCK32.MTX
5 Clicar no botão Iniciar e em Desligar
Selecionar a opção "Reiniciar o computador em modo MS-DOS"
Depois, no prompt do DOS, acessar a pasta onde está o arquivo,
usando o comando CD e digitar: CD C:\WINDOWS  (e pressionar Enter)
Para mudar o atributo do arquivo, digitar:
C:\WINDOWS\ATTRIB -H MTX_.EXE  (e pressionar Enter)
Finalmente, deletar o arquivo digitando:
C:\WINDOWS\DEL MTX_.EXE (e pressionar Enter)
Certificar-se que o arquivo C:\WINDOWS\MTX_.EXE foi apagado,
digitando o comando C:\WINDOWS\dir MTX_.EXE (e pressionar Enter)
O arquivo não deve ser encontrado.
6 Copiar o arquivo C:\WINDOWS\SYSTEM\WSOCK32.DLL para um disquete, de um computador não contaminado, que tenha o mesmo sistema operacional instalado (a mesma versão do Windows) e, depois, copiar este arquivo para a pasta C:\WINDOWS\SYSTEM na máquina infectada, mandando sobrescrever o arquivo existente.
7 Deletar o arquivo
C:\WINDOWS\SYSTEM\WSOCK32.MTX, se existir.
8 Voltar para o Windows usando o comando EXIT.
9 Alguns arquivos do sistema certamente foram danificados pelo vírus. Atualizar o antivírus e o executar, fazendo uma verificação no computador todo (todos os "drives"). 



Medidas gerais de prevenção

Há um conjunto de procedimentos gerais de prevenção contra vírus e outros programas maliciosos que sempre devem ser realizados (em qualquer computador, especialmente nos conectados à Internet).

Essas medidas podem ser resumidas assim:

1. Jamais executar um programa ou abrir um arquivo sem antes executar o antivírus sobre a pasta que o contenha.

2. Atualizar o seu antivírus constantemente (todas as semanas e até diariamente as empresas distribuem cópias gratuitas dos arquivos que atualizam a lista dos novos vírus e vacinas).

3. Desativar a opção de executar documentos diretamente do programa de correio eletrônico.

4. Jamais executar programas que não tenham sido obtidos de fontes absolutamente confiáveis.

Leia mais sobre esse assunto, clicando aqui.

Onde obter mais informações

http://www.aladdin.com.br/home/matrixv.shtml

http://vil.mcafee.com/dispVirus.asp?virus_k=98797&

http://www.nai.com

http://www.symantec.com.br/region/br/avcenter/data/w95.mtx.support.html




Este "site", destinado prioritariamente aos alunos de Fátima Conti,
pretende auxiliar quem esteja começando a se interessar por internet,
segue as regras da  FDL (Free Documentation Licence),
computadores e programas, estando em permanente construção.
Sugestões e comentários são bem vindos.
Se desejar colaborar, clique aqui.
Agradeço antecipadamente.

Deseja enviar essa página?

Se você usa um programa de correio eletrônico devidamente configurado e tem
um e-mail pop3, clique em "Enviar página" (abaixo) para abrir o programa.
Preencha o endereço do destinatário da mensagem.
E pode acrescentar o que quiser.
(Se não der certo, clique aqui para saber mais).

Enviar página

Se você usa webmail copie o endereço abaixo

http://www.cultura.ufpa.br/dicas/vir/vir-mtx.htm

Acesse a página do seu provedor. Abra uma nova mensagem.
Cole o endereço no campo de texto.
Preencha o endereço do destinatário.
E também pode acrescentar o que quiser.

Última alteração: 24 out 2010