|
VSantivirus No. 428 - Año 5 - Domingo 9 de setiembre de 2001
Nombre: PE_MTX_II.A
Tipo: Infector de archivos
Alias: MTX_II.A, TROJ_MTX_II.DLL, PALM_MTX_II.A
Aunque no es nuevo que existan cosas que siempre nos van a sorprender en el mundo de los virus, ésta en especial, se lleva un premio.
El MTX original es un infector de archivos de 32bit de formato
PE (ejecutables de Windows 9x y NT) que modifica el archivo
WSOCK32.DLL para poder enviarse a través del correo electrónico como adjunto, y constituye una combinación de virus, gusano y trojan con características de backdoor.
Esta versión, también infecta archivos en formato PE, modifica el archivo
WSOCK32.DLL y posee un troyano y un virus de Palm incluidos. Pero también posee una insólita característica: pide educadamente, el permiso para infectar archivos.
¿Broma o solo prueba de un código que luego, modificado podría causar más daños?.
Evidentemente, bajo estas condiciones, las características del virus lo hacen poco probable se propague tanto como otros, pero es interesante tenerlo en cuenta.
Es como decíamos, un infector de archivos PE de características polimórficas, que posee la particularidad además, de incluir un componente troyano, otro del tipo gusano, y otro que infecta plataformas
Palm.
Además, despliega mensajes tanto antes como después de infectar archivos.
* PE_MTX_II.A
El componente PE_MTX_II.A, es el que infecta archivos, propagando copias de si mismo vía e-mail (gusano), y liberando además una aplicación
Palm.
Cuando se ejecuta, el virus le pregunta al usuario si desea infectar un determinado archivo, o si desea infectar otros archivos continuamente.
El virus principal no está encriptado, y se copia a si mismo al directorio
System de Windows, en un archivo con un nombre elegido al azar y con la extensión
.DLL.
Cuando se ejecuta un archivo infectado, el virus extrae la porción de su propio código incluida en el archivo que se ejecutó, y la guarda en la carpeta
System, grabándola con un nombre al azar y con la extensión
.TMP.
Luego, crea un proceso separado y permite que se ejecute el archivo original.
Después de todo esto, el propio virus informa al usuario que ha creado una copia del virus con un nombre al azar, y despliega este mensaje:
THIS IS THE CURRENT VIRUS FILE NAME:
C:\WINDOWS\SYSTEM\[nombre al azar].DLL
Luego busca en el disco duro los archivos WS2_32.DLL y
WSOCK32.DLL, y le pregunta al usuario si desea infectar esos archivos:
CAN I TRY TO INFECT THIS FILE?
C:\WINDOWS\SYSTEM\WS2_32.DLL
[ Aceptar ]
[ Cancelar ]
Si el usuario pincha en ACEPTAR, procede a infectar el archivo indicado. De lo contrario lo ignora.
Si lo infecta, el virus también crea un respaldo del archivo con la extensión
".---".
Luego, modifica las funciones RECV, SEND, y CONNECT
de WSOCK32.DLL, para que apunten al código del virus.
En caso de haber infectado el archivo, entonces después de ello, el virus muestra el siguiente mensaje indicando que ha creado un respaldo del archivo infectado:
THIS FILE WAS INFECTED:
C:\WINDOWS\SYSTEM\WS2_32.---
El archivo infectado es detectado como TROJ_MTX_II.DLL.
El virus también carga la librería IMAGEHLP.DLL para usar la función
SearchTreeForFile API, para buscar los siguientes archivos con la intención de infectarlos:
NAPSTER.EXE
WINZIP32.EXE
EUDORA.EXE
WINRAR.EXE
W32DSM89.EXE
WZSEPE32.EXE
WSCRIPT.EXE
ICQ.EXE
La lista debe ser tomada como referencia, ya que cualquiera puede modificar estos archivos para infectar también otros.
El virus no infecta archivos menores a los 8,192 bytes (#2000 en
hexadecimal), o más grandes de 9,437,184 Bytes
(#900000).
Tampoco infecta archivos que contengan cualquiera de las siguientes secuencias de 2 caracteres en su nombre:
AV
00
VS
RW
VC
GP
Antes de infectar un archivo, el virus examina el primer byte en el punto de entrada del archivo
PE a infectar. No infecta este archivo si el primer byte es
9Ch en hexadecimal, que representa una instrucción PUSHF, y tampoco si es
60h, una instrucción PUSHA. De esta manera se asegura no volver a infectar archivos ya infectados.
* TROJ_MTX_II.DLL
Tamaño: 130,891 Bytes
El troyano es generalmente detectado en el archivo WS2_32.---
el cuál es usado por PE_MTX_II.A. Este troyano contiene las llamadas a las
APIs SEND y CONNECT y otras que pueden ser encontradas en el archivo
WSOCK32.DLL. Las llamadas a estas APIs pueden servir para realizar SPAM (correo no solicitado).
* PALM_MTX_II.A
Alias: SABiA II, MTX
Tamaño: 2,506 Bytes
Es un recurso de Palm (Palm Resource, PRC), liberado por el virus
PE_MTX_II.A.
Cuando se ejecuta, muestra una caja de mensajes con agradecimientos a algunos de los escritores de virus más notorios.
También posee una rutina (payload), que al azar despliega gráficos de pequeños rectángulos en la pantalla.
Una vez liberado por PE_MTX_II.A, este archivo PRC queda en el directorio add-on de
Palm. PE_MTX_II.A automáticamente sube este archivo a un dispositivo
Palm, cuando el usuario de un Palm sincroniza dicho dispositivo a una computadora infectada por
PE_MTX_II.A.
El archivo PRC puede mostrar algunos de estos mensajes:
Trojan/W0rm/Palm/W32.
SABiA Second Edition. New Version
Thanx and Greetz: all vx
guy in #vxers, Z0MBiE, mort,
Vecna, Del_Armg0, VirusBuster,.
anaktos, Lord_Dark, Kamaileon,
Nim Bus, Alevirus, PointBat
SABiA II Vesrion 1.1 PalmPlugin
web page:www.matrixvx.org
What is The MATRiX?
Glosario:
Archivos PE (Portable Executable) - Este formato de archivos ejecutables de Windows, recibe el nombre de "portátil" porque puede ser compartido por todos los sistemas operativos de 32 bits. El mismo archivo puede ejecutarse en cualquier versión de Windows 95, 98, Me, NT, y 2000. Todos los archivos de formato PE son ejecutables (las extensiones más conocidas son .EXE, .DLL, .OCX, .SCR y .CPL), pero no todos los ejecutables son portátiles.
API (Application Program Interface). Interfaz de programa de aplicación. Un conjunto de rutinas que un programa de aplicación utiliza para solicitar y efectuar servicios de nivel inferior ejecutados por el sistema operativo de un equipo. También, un conjunto de convención de llamada en programación que definen cómo se debe invocar un servicio a través de la aplicación.
Fuente: Trend Micro
(c) Video Soft - http://www.videosoft.net.uy
|
|