Matrix
Em 23 de agosto de 2000, foi descoberto
o Matrix, com 18.483 bytes.
Atualmente é conhecido como Mtx (Win32), Win32.Mtx,
W32/MTX@mm, W32/Apology, W32/MTX, W95.Oisdbo ou I-Worm.MTX sendo, na realidade,
uma combinação de vírus, worm e backdoor, cujas
funções são:
- parte Worm/Backdoor: Faz com que os usuários recebam
um mail com um arquivo anexado, cujo nome pode variar muito. Mas cuja última
extensão em geral é PIF (Portable Executable File, arquivo
comum de windows 9x ou NT) ou SCR (extensão de programas screensavers,
os descansos de tela).
- parte Vírus: Modifica arquivos de 32 bits, como
os de extensão EXE e DLL na pasta windows.
Indicações de infecção:
Existência do(s) seguinte(s) arquivo(s) na pasta Windows:
IE_PACK.EXE
MTX_.EXE
WIN32.DLL
WSOCK32.MTX
A ação do MTX:
O componente do vírus procura
no computador por um certo programa antivírus. Se houver, o vírus
não executa. Se o vírus continua executar, descompactará
o componente worm e deixará uma cópia dele na pasta do Windows,
(geralmente C:\Windows) e o executará. O nome do arquivo é
Ie_pack.exe que, depois de ser executado, é renomeado para Win32.dll.
O vírus também deixa o
arquivo Mtx_.exe e o executa. Ele procura por executáveis do Win32
na pasta corrente, na pasta do
Windows e na pasta Temp. No final, todos os executáveis
do sistema serão infectados (principalmente os arquivos que se encontram
na pasta do Windows).Assim, três arquivos ocultos são criados
na pasta Windows:
IE_PACK.EXE
MTX_.EXE
WIN32.DLL
Também é criada a seguinte chave no registro
do windows (que executa o programa a cada reinício do windows):
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\SystemBackup
= "C:\WINDOWS\MTX_.EXE"
O arquivo MTX_.EXE começa fazer ligações
pela Internet, a cada 2 minutos, usando o TCP, porta1137. O MTX tenta fazer
cópia e executar arquivos de um website que contém outros
programas similares.
A seguir, a parte worm do Matrix cria
uma versão modificada do Wsock32.dll. Ou seja, o código de
propagação se instala no arquivo "wsock32.dll" (driver responsável
pelas conexões do Windows), para garantir o controle do tráfego
de Internet. Como o Windows bloqueia o acesso ao arquivo "wsock32.dll",
o MTX cria uma cópia desse arquivo com o nome "wsock32.mtx" e o
infecta.
Depois, modifica o arquivo wininit.ini
ciando uma cópia dele. O arquivo modificado wininit.ini contém
comandos para substituir a versão original do Wsock32.dll. Quando
o windows for reiniciado os arquivos são trocados.
Assim que o original é substituído, o novo
Wsock32.dll intercepta a informação "being sent", por meio
da função enviar (send). Ela é modificada para apontar
para o próprio código. Isto habilita o vírus a enviar
uma cópia de si mesmo por email, a partir de um computador infectado.
Assim, quando uma mensagem estiver sendo enviada, um segundo email segue
automaticamente para opara o mesmo destinatário, levando um arquivo
infectado como anexo. A mensagem estará em branco.O arquivo do MTX
anexado, enviado por e-mail, tem a particularidade de ganhar um nome aleatório,
escolhido a partir da seguinte lista:
ALANIS_Screen_Saver.SCR MATRiX_2_is_OUT.SCR
ANTI_CIH.EXE MATRiX_Screen_Saver.SCR
AVP_Updates.EXE Me_nude.AVI.pif
BILL_GATES_PIECE.JPG.pif METALLICA_SONG.MP3.pif
BLINK_182.MP3.pif NEW_NAPSTER_site.TXT.pif
FEITICEIRA_NUA.JPG.pif NEW_playboy_Screen_saver.SCR
FREE_xxx_sites.TXT.pif Protect_your_credit.HTML.pif
FUCKING_WITH_DOGS.SCR QI_TEST.EXE
Geocities_Free_sites.TXT.pif READER_DIGEST_LETTER.TXT.pif
HANSON.SCR README.TXT.pif
I_am_sorry.DOC.pif SEICHO-NO-IE.EXE
I_wanna_see_YOU.TXT.pif Sorry_about_yesterday.DOC.pif
INTERNET_SECURITY_FORUM.DOC.pif TIAZINHA.JPG.pif
IS_LINUX_GOOD_ENOUGH!.TXT.pif WIN_$100_NOW.DOC.pif
JIMI_HMNDRIX.MP3.pif YOU_are_FAT!.TXT.pif
LOVE_LETTER_FOR_YOU.TXT.pif zipped_files.EXE
Note-se que o nome é
traiçoeiro, pois pode ter a terminação "TXT.pif",
ou seja, quem o recebe - se não alterou a configuração
padrão do windows, não verá a extensão ".pif",
sendo enganado, pois pensará que se trata de um arquivo ".txt" (de
texto). Paralelamente, alguns programas de correio eletrônico não
exibem a extensão .pif.
Quando um destinatário desavisado clica no arquivo
recebido, o vírus instala componentes no computador, destinados a
enviar automaticamente mensagens por e-mail infectadas para todos os nomes
que fazem parte de sua lista de endereços. Assim, em ambiente corporativo,
o grande volume de e-mails pode derrubar servidores.
Além disso, a substituição do Wsock32.dll
monitora a entrada dos endereços no navegador (requisições
de HTTP) e os endereços dos destinatários de e-mail. Assim,
o navegador congelará se o usuário tentar acessar um site
de anti-vírus ou se enviar um e-mail para uma empresa de anti-vírus.
Ele detecta comunicação procurando cadeias
e subcadeias nos domínios, buscando os seguintes textos nos URLs:
(note que cadeias do nome de muitos fabricantes de antivírus estão
na lista):
afee hiserv.com NII.
avp. il.esafe.c pand
AVP. inexar.com pandasoftw
bca.com.nz inforamp.n perfectsup
beyond.com lywa singnet.co
bmcd.com.a mabex.com soph
cellco.com mapl sophos.com
comkom.co. maple.com. successful
complex.is mcafee.com symantec.c
earthlink. meditrade. tbav
F-Se metro.ch trendmicro
f-se nai. wildlist.o
f-secure.c ndmi yenn
F-Secure.c netsales.n yman
HiServ.com newell.com
Ou seja, ele tenta localizar os
produtos antivírus abaixo:
Anti Viral Toolkit Pro - AVP Monitor - VSStat - WebScanX
- AV Console - McAfee VirusScan - VSHWin32 - Central Point
McAfee VirusScan. Se algum um deles for encontrado, o vírus
irá removê-lo do sistema.
O virus contém o seguinte texto ASCII:
Software provide by [MATRiX] VX team:
Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
Greetz:
All VX guy on #virus channel and Vecna
Visit us:
www.coderz.net/matrix
Procedimentos para desinfectar uma máquina
que contenha o MTX: