Matrix


Em 23 de agosto de 2000, foi descoberto o Matrix, com 18.483 bytes.
Atualmente é conhecido como Mtx (Win32), Win32.Mtx, W32/MTX@mm, W32/Apology, W32/MTX, W95.Oisdbo ou I-Worm.MTX sendo, na realidade, uma combinação de vírus, worm e backdoor, cujas funções são:

- parte Worm/Backdoor: Faz com que os usuários recebam um mail com um arquivo anexado, cujo nome pode variar muito. Mas cuja última extensão em geral é PIF (Portable Executable File, arquivo comum de windows 9x ou NT) ou SCR (extensão de programas screensavers, os descansos de tela).
- parte Vírus: Modifica arquivos de 32 bits, como os de extensão EXE e DLL na pasta windows.
Indicações de infecção:  

Existência do(s) seguinte(s) arquivo(s) na pasta Windows:  

IE_PACK.EXE
MTX_.EXE
WIN32.DLL
WSOCK32.MTX

    A ação do MTX:

    O componente do vírus procura no computador por um certo programa antivírus. Se houver, o vírus não executa. Se o vírus continua executar, descompactará o componente worm e deixará uma cópia dele na pasta do Windows, (geralmente C:\Windows) e o executará. O nome do arquivo é Ie_pack.exe que, depois de ser executado, é renomeado para Win32.dll.
    O vírus também deixa o arquivo Mtx_.exe e o executa. Ele procura por executáveis do Win32 na pasta corrente, na pasta do
Windows e na pasta Temp. No final, todos os executáveis do sistema serão infectados (principalmente os arquivos que se encontram na pasta do Windows).Assim, três arquivos ocultos são criados na pasta Windows:
IE_PACK.EXE
MTX_.EXE
WIN32.DLL
Também é criada a seguinte chave no registro do windows (que executa o programa a cada reinício do windows):
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\SystemBackup = "C:\WINDOWS\MTX_.EXE"
O arquivo MTX_.EXE começa fazer ligações pela Internet, a cada 2 minutos, usando o TCP, porta1137. O MTX tenta fazer cópia e executar arquivos de um website que contém outros programas similares.
    A seguir, a parte worm do Matrix cria uma versão modificada do Wsock32.dll. Ou seja, o código de propagação se instala no arquivo "wsock32.dll" (driver responsável pelas conexões do Windows), para garantir o controle do tráfego de Internet. Como o Windows bloqueia o acesso ao arquivo "wsock32.dll", o MTX cria uma cópia desse arquivo com o nome "wsock32.mtx" e o infecta.
    Depois, modifica o arquivo wininit.ini ciando uma cópia dele. O arquivo modificado wininit.ini contém comandos para substituir a versão original do Wsock32.dll. Quando o windows for reiniciado os arquivos são trocados.
Assim que o original é substituído, o novo Wsock32.dll intercepta a informação "being sent", por meio da função enviar (send). Ela é modificada para apontar para o próprio código. Isto habilita o vírus a enviar  uma cópia de si mesmo por email, a partir de um computador infectado. Assim, quando uma mensagem estiver sendo enviada, um segundo email segue automaticamente para opara o mesmo destinatário, levando um arquivo infectado como anexo. A mensagem estará em branco.O arquivo do MTX anexado, enviado por e-mail, tem a particularidade de ganhar um nome aleatório, escolhido a partir da seguinte lista:
ALANIS_Screen_Saver.SCR MATRiX_2_is_OUT.SCR
ANTI_CIH.EXE MATRiX_Screen_Saver.SCR
AVP_Updates.EXE Me_nude.AVI.pif
BILL_GATES_PIECE.JPG.pif METALLICA_SONG.MP3.pif
BLINK_182.MP3.pif NEW_NAPSTER_site.TXT.pif
FEITICEIRA_NUA.JPG.pif NEW_playboy_Screen_saver.SCR
FREE_xxx_sites.TXT.pif Protect_your_credit.HTML.pif
FUCKING_WITH_DOGS.SCR QI_TEST.EXE
Geocities_Free_sites.TXT.pif READER_DIGEST_LETTER.TXT.pif
HANSON.SCR README.TXT.pif
I_am_sorry.DOC.pif SEICHO-NO-IE.EXE
I_wanna_see_YOU.TXT.pif Sorry_about_yesterday.DOC.pif
INTERNET_SECURITY_FORUM.DOC.pif TIAZINHA.JPG.pif
IS_LINUX_GOOD_ENOUGH!.TXT.pif WIN_$100_NOW.DOC.pif
JIMI_HMNDRIX.MP3.pif YOU_are_FAT!.TXT.pif
LOVE_LETTER_FOR_YOU.TXT.pif zipped_files.EXE
Note-se que o nome é traiçoeiro, pois pode ter a terminação "TXT.pif", ou seja, quem o recebe - se não alterou a configuração padrão do windows, não verá a extensão ".pif", sendo enganado, pois pensará que se trata de um arquivo ".txt" (de texto). Paralelamente, alguns programas de correio eletrônico não exibem a extensão .pif.
Quando um destinatário desavisado clica no arquivo recebido, o vírus instala componentes no computador, destinados a enviar automaticamente mensagens por e-mail infectadas para todos os nomes que fazem parte de sua lista de endereços. Assim, em ambiente corporativo, o grande volume de e-mails pode derrubar servidores.
Além disso, a substituição do Wsock32.dll monitora a entrada dos endereços no navegador (requisições de HTTP) e os endereços dos destinatários de e-mail. Assim, o navegador congelará se o usuário tentar acessar um site de anti-vírus ou se enviar um e-mail para uma empresa de anti-vírus.
Ele detecta comunicação procurando cadeias e subcadeias nos domínios, buscando os seguintes textos nos URLs:  (note que cadeias do nome de muitos fabricantes de antivírus estão na lista):
afee hiserv.com NII.
avp. il.esafe.c pand
AVP. inexar.com pandasoftw
bca.com.nz inforamp.n perfectsup
beyond.com lywa singnet.co
bmcd.com.a mabex.com soph
cellco.com mapl sophos.com
comkom.co. maple.com. successful
complex.is mcafee.com symantec.c
earthlink. meditrade. tbav
F-Se metro.ch trendmicro
f-se nai. wildlist.o
f-secure.c ndmi yenn
F-Secure.c netsales.n yman
HiServ.com newell.com  
    Ou seja, ele tenta localizar os produtos antivírus abaixo:
Anti Viral Toolkit Pro - AVP Monitor - VSStat - WebScanX - AV Console - McAfee VirusScan - VSHWin32 - Central Point
McAfee VirusScan. Se algum um deles for encontrado, o vírus irá removê-lo do sistema.

O virus contém o seguinte texto ASCII:
  Software provide by [MATRiX] VX team:
  Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos Greetz:
  All VX guy on #virus channel and Vecna
  Visit us: www.coderz.net/matrix

 Procedimentos para desinfectar uma máquina que contenha o MTX: