|
Actualizado sábado 7 de octubre de 2000.
Utilidad para sacar el virus W32/MTX
Virus: W32/MTX@MM
Alias: W32/MTX, I-Worm.MTX, MTX_.exe, W32/Apology-B.
Tipo: Virus, Gusano y Trojan
Tamaño: 18 Kb aprox.
Origen: Internet, Setiembre/2000
Destructivo: NO
Se trata de un infector de archivos de 32bit de formato PE (ejecutables de Windows 9x y NT). Se propaga en sistemas Win32
(9x, NT y 2000). Modifica el archivo WSOCK32.DLL para poder enviarse a través del correo electrónico como adjunto. Se trata de una combinación de virus, gusano y trojan con características de backdoor.
Este virus llega vía E-mail como adjunto de un mensaje en blanco (sin ASUNTO ni CUERPO).
El nombre del adjunto puede ser cualquiera de estos (tomado al azar):
README.TXT.pif
I_wanna_see_YOU.TXT.pif
MATRiX_Screen_Saver.SCR
LOVE_LETTER_FOR_YOU.TXT.pif
NEW_playboy_Screen_saver.SCR
BILL_GATES_PIECE.JPG.pif
TIAZINHA.JPG.pif
FEITICEIRA_NUA.JPG.pif
Geocities_Free_sites.TXT.pif
NEW_NAPSTER_site.TXT.pif
METALLICA_SONG.MP3.pif
ANTI_CIH.EXE
INTERNET_SECURITY_FORUM.DOC.pif
ALANIS_Screen_Saver.SCR
READER_DIGEST_LETTER.TXT.pif
WIN_$100_NOW.DOC.pif
IS_LINUX_GOOD_ENOUGH!.TXT.pif
QI_TEST.EXE
AVP_Updates.EXE
SEICHO-NO-IE.EXE
YOU_are_FAT!.TXT.pif
FREE_xxx_sites.TXT.pif
I_am_sorry.DOC.pif
Me_nude.AVI.pif
Sorry_about_yesterday.DOC.pif
Protect_your_credit.HTML.pif
JIMI_HMNDRIX.MP3.pif
HANSON.SCR
FUCKING_WITH_DOGS.SCR
MATRiX_2_is_OUT.SCR
zipped_files.EXE
BLINK_182.MP3.pif
A pesar de su extensión, el virus es un ejecutable PE (recuerde además lo de la
"doble extensión". Vea como "Habilitar la opción para poder ver las extensiones verdaderas de los
archivos").
Si abrimos el adjunto (doble clic sobre él) el virus crea 3 archivos ocultos en la carpeta C:\Windows y los ejecuta:
Estos archivos son:
IE_PACK.EXE - (que es el propio gusano)
MTX_.EXE - (el trojan "backdoor")
WIN32.DLL - (un archivo infectado, contiene el gusano, el propio
virus y el trojan)
Se generará también un archivo llamado WSOCK32.MTX.
IE_PACK.EXE al ser ejecutado infecta al archivo WSOCK32.DLL (un API usado por Windows para las comunicaciones), esto lo hace para poder enviar un archivo infectado cuando el usuario envía sus mensajes vía correo electrónico (utiliza la función "Send" del API). Por cada mensaje enviado, se agregará otro, sin Asunto ni cuerpo, con el propio virus adjunto (ver la lista de nombres).
En algunos casos, si WSOCK32.DLL está en uso, el virus crea una copia con el nombre WSOCK32.MTX, la infecta y crea o modifica el archivo WININIT.INI (C:\Windows) para que la copia sea renombrada como WSOCK32.DLL al siguiente reinicio de Windows.
El virus infecta todos los archivos ejecutables de 32 bits de Windows 95 y 98 (archivos
PE), EXE, SCR y DLL en la carpeta actual, en la de Windows y en la carpeta TEMP.
Otras características de este virus, es que se comporta como un trojan con habilidades de Backdoor (puerta trasera). Puede conectarse a un determinado sitio de Internet, para intentar bajar actualizaciones para el propio virus.
Este backdoor es el MTX_.EXE, cuya única función es conectarse a un servidor en Internet (ya clausurado) y buscar nuevos componentes o actualizaciones para el virus, bajarlo y ejecutarlo si existiera alguno. Este archivo corre un proceso cada 2 minutos usando el puerto TCP 1137.
Los cambios en el registro son los siguientes:
HKLM\Software\(MATRIX)
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
"SystemBackup"="C:\WINDOWS\MTX_.EXE"
Inserto en el cuerpo del virus existe esta leyenda:
Software provide by [MATRiX] VX team
Ultras, Mort, Nbk, Lord Dark, Del_Armg0,Anaktos
All VX guy in #virus channel and Vecna
No posee ninguna característica destructiva (salvo la modificación de archivos mencionada).
Como sacar el virus de un sistema infectado en forma
automática
Vea: Utilidad para sacar el virus W32/MTX
Como sacar el virus de un sistema infectado en forma manual
1) Pulse Inicio, Ejecutar, teclee REGEDIT (+ ENTER)
2) En la columna de la izquierda, pulse en el símbolo "+", y busque la siguiente entrada:
HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run
Pulse sobre la carpeta "Run".
Si en la ventana de la derecha aparece el valor: SystemBackup =
"c:\windows\mtx_.exe" borre la clave completa (marque el nombre "SystemBackup" y pulse DELETE o SUPR).
Conteste que SI a la pregunta de confirmación.
3) Con el mismo procedimiento, busque la siguiente entrada:
HKEY_LOCAL_MACHINE
Software
(MATRIX)
Borre esta clave (la carpeta "(Matrix)" de la ventana de la izquierda), si aparece, y salga de REGEDIT (Registro, Salir).
4) Vaya a Inicio, Buscar, Archivos o carpetas.
5) Teclee "wininit.ini" en Nombre, y C:\ en "Buscar en". Si encuentra un archivo con ese nombre, márquelo y pulse la tecla SUPR o DELETE para borrarlo.
6) Vaya a Inicio, Apagar el sistema. Seleccione "Reiniciar" y OK.
Utilice un antivirus al día para curar los archivos infectados, o busque los archivos IE_PACK.EXE, MTX_.EXE y WIN32.DLL y bórrelos.
IMPORTANTE:
Estos archivos pueden tener los atributos de OCULTOS. Para ello asegúrese primero de que en Inicio, Configuración, Opciones de carpetas de Windows 98 (o cualquier menú Ver, Opciones del Explorador de Windows en Windows 95), estén marcadas las opciones "Ver todos los archivos", y desmarcadas las opciones "Ocultar los archivos de estos tipos" y "Ocultar extensiones de archivos conocidos" o similar. Vacíe luego la Papelera de reciclaje.
También deberá recuperase el archivo WSOCK32.DLL de los originales de Windows (utilizando la utilidad SFC en el caso de Windows 98), o copiándolo de una PC con el mismo sistema operativo (esa PC debe estar limpia de virus).
Antivirus como el F-PROT (actualizado), son capaces de curar los archivos infectados, si se ejecutan desde un disquete de inicio en DOS. Ver
"Como ejecutar F-PROT desde un
disquete".
|
|