Virus MTX

W32/MTX especie viral 3 en 1: virus, gusano de E-mail POP3 y troyano de control remoto

W32/MTX o I-Worm.MTX

Este virus es quizás uno de los más complejos de los últimos tiempos, ya que tiene 3 componentes diferentes, está encriptado y detecta la presencia de vacunas de los antivirus internacionales más conocidos, para impedir su detección y eliminación.

Se propaga bajo sistemas Windows de 32 bits (95/98/Me/NT/2000), infectando los archivos ejecutables y se auto-envía como un archivo anexado en mensajes de correo electrónico que emplean el protocolo POP3, así como también ingresa por puntos vulnerables del sistema, más conocidos como "holes" o "puertas falsas", para de allí poder tomar control, en forma remota, de las estaciones de trabajo en función de sus correspondientes direcciones IP.

El W32.MTX posee una estructura inusual que consta de 3 componentes que se ejecutan en un solo programa: Virus, Gusano de E-mail y Troyano de Control Remoto. Siendo el virus su principal componente, ya que almacena el gusano y las rutinas de control remoto en su código, dentro de un formato comprimido que mide apenas 18k. Al infectar el sistema extrae su otros 2 componentes y los distribuye de acuerdo a esta estructura:

Rutinas de instalación e infección		instala el gusano y el troyano, luego infecta los ejecutables
Código comprimido del gusano		es extraído de archivo y se ejecuta por sí mismo
Código de control remoto		es extraído de archivo y se ejecuta por sí mismo

Infección del archivo EXE:

Código de archivo y data

Código del virus

Instalación e infección

Gusano de envío de E-mails

Troyano de control remoto

El código del gusano no contiene las rutinas necesarias para infectar al sistema, de tal modo que es enviado por E-mail en un archivo infectado, en la modalidad de anexado. El gusano requiere de la ayuda del componente del virus y es enviado cuando está infectado por el virus (el archivo del gusano es infectado por el virus como si fuese un archivo normal y luego es enviado). Probablemente los componentes hayan sido escritos por personas diferentes. Muestra las siguientes cadenas:

 SABIÁ.b ViRuS
 Software provide by [MATRiX] VX TeAm: Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
 Greetz: All VX guy in #virus and Vecna for help us
 Visit us at:
 http://www.coderz.net/matrix

El componente del gusano tiene estas cadenas:

 Software provide by [MATRiX] VX team:
 Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
 Greetz:
 All VX guy on #virus channel and Vecna
 Visit us: www.coderz.net/matrix

El componente del troyano contiene este texto:

 Software provide by [MATRiX] team:
 Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
 Greetz:
 Vecna 4 source codes and ideas

Componente del Virus

El virus emplea la técnica de "Entry Point Obscuring" (Punto de ingreso oculto) mientras infecta un archivo. Esto significa que el virus no afecta al archivo en su código de entrada, pero coloca una instrucción de "Salto de Virus" en algún lugar, en la mitad de la sección del código del archivo, para que su detección y eliminación sea más compleja. Como resultado, el virus es activado solamente si el programa afectado recibe el control.

Este virus además está encriptado, de modo tal que en primer lugar se tiene que desencriptar por sí mismo, cuando su código toma el control del archivo afectado. Luego busca las funciones API de Win32 dentro del Kernel. Para lograr este objetivo, el virus prueba las direcciones de Win9x, WinNT y Win2000.

Inmediatamente después, el virus detecta los antivirus activados en el sistema y escapa del mismo en caso sea detectado. La lista de antivirus que busca es la siguiente:

 AntiViral Toolkit Pro
 AVP Monitor
 Vsstat
 Webscanx
 Avconsol
 McAfee VirusScan
 Vshwin32
 Central do McAfee VirusScan

A continuación, el virus instala sus componentes en el sistema, los cuales son descomprimidos en el directorio de Windows y luego diseminados. Son tres los archivos creados allí, los mismo que tienen el atributo de "ocultos" y con los siguientes nombres:

IE_PACK.EXE   - código del Gusano, no infectado
WIN32.DLL       - código de l Gusano, infectado por el virus
MTX_.EXE        - código del troyano de control remoto

Luego el virus infecta los archivos ejecutables PE EXE de Win32 en el directorio actual, temporal, los sub-directorios de Windows y finalmente sale de los mismos.

Gusano

Para enviar los archivos infectados el gusano usa la técnica que por primera vez fue empleada en el gusano Happy99, aka SKA.

Este gusano afecta al archivo WSOCK32.DLL en el directorio de Sistema de Windows, al agregar un componente de su código al final del archivo y enganchando la rutina "send" de WSOCK32.DLL. Como resultado, el gusano monitorea toda la data que es enviada desde una computadora afectada hacia Internet.

Usualmente el archivo WSOCK32.DLL está en uso en el instante que el gusano se activa y éste se protege contra escritura. Para evitar esto, el gusano emplea un método clásico: crea una copia del archivo original WSOCK32.DLL usando el nombre del archivo WSOCK32.MTX, afecta esa copia y luego escribe "replace original file with infected" al archivo WININIT.INI:

NUL=C:\WINDOWS\SYSTEM\WSOCK32.DLL C:\WINDOWS\SYSTEM\WSOCK32.DLL=D:\WINDOWS\SYSTEM\WSOCK32.MTX

"C:\WINDOWS\SYSTEM" es el nombre del directorio del sistema de Windows y puede diferir, dependiendo del nombre del directorio en el cual fue instalado los archivos del sistema operativo Windows.

La próxima vez que se inicie el sistema, el archivo WSOCK32 infectado reemplaza al original y el gusano obtiene acceso a la data que es enviada desde un equipo infectado. El gusano repara en los sitios de Internet tales como la Web o FTP, que son visitados, así como también en los mensajes de correo que usan el protocolo POP3, enviados por la computadora.

El comportamiento visible de este virus constituye el hecho que se detiene visitando varios sitios de Internet, o deshabilita el envío de mensajes de correo a los mismos dominios (por lo general a los sitios web de los antivirus). El virus los detecta por la combinación aleatoria de cualquiera de estas 4 letras:

 nii.
 nai.
 avp.
 f-se
 mapl
 pand
 soph
 ndmi
 afee
 yenn
 lywa
 tbav
 yman

El gusano tampoco permite enviar mensajes de correo a los siguientes dominios:

 wildlist.o*
 il.esafe.c*
 perfectsup*
 complex.is*
 HiServ.com*
 hiserv.com*
 metro.ch*
 beyond.com*
 mcafee.com*
 pandasoftw*
 earthlink.*
 inexar.com*
 comkom.co.*
 meditrade.*
 mabex.com *
 cellco.com*
 symantec.c*
 successful*
 inforamp.n*
 newell.com*
 singnet.co*
 bmcd.com.a*
 bca.com.nz*
 trendmicro*
 sophos.com*
 maple.com.*
 netsales.n*
 f-secure.c*

También intercepta mensajes de correo que son enviados y trata de enviar mensajes duplicados, con el archivo infectado anexado, a la misma dirección, del mismo modo que el virus "Happy99". Como resultado, la dirección de equipo afectado recibirá dos mensajes: el primero, que es original escrito por el remitente y el segundo será un mensaje con el campo del "Asunto" y el "Cuerpo del mensaje" en BLANCO, con un archivo anexado, que tiene uno de los siguientes nombres, que es elegido por el gusano, dependiendo de la fecha actual:

README.TXT.pif
I_wanna_see_YOU.TXT.pif
MATRiX_Screen_Saver.SCR
LOVE_LETTER_FOR_YOU.TXT.pif
NEW_playboy_Screen_saver.SCR
BILL_GATES_PIECE.JPG.pif
TIAZINHA.JPG.pif
FEITICEIRA_NUA.JPG.pif
Geocities_Free_sites.TXT.pif
NEW_NAPSTER_site.TXT.pif
METALLICA_SONG.MP3.pif
ANTI_CIH.EXE
INTERNET_SECURITY_FORUM.DOC.pif
ALANIS_Screen_Saver.SCR
READER_DIGEST_LETTER.TXT.pif
WIN_$100_NOW.DOC.pif
IS_LINUX_GOOD_ENOUGH!.TXT.pif
QI_TEST.EXE
AVP_Updates.EXE
SEICHO-NO-IE.EXE
YOU_are_FAT!.TXT.pif
FREE_xxx_sites.TXT.pif
I_am_sorry.DOC.pif
Me_nude.AVI.pif
Sorry_about_yesterday.DOC.pif
Protect_your_credit.HTML.pif
JIMI_HMNDRIX.MP3.pif
HANSON.SCR
FUCKING_WITH_DOGS.SCR
MATRiX_2_is_OUT.SCR
zipped_files.EXE
BLINK_182.MP3.pif

Como archivo anexado, el gusano emplea el WIN32.DLL que fue antes depositado por el componente del virus.

El gusano no toca el archivo WIN32.DLL, pero lo emplea para anexarlo a los mensajes que son enviados, de tal modo que el gusano por sí mismo, no está en la capacidad de esparcirse más de una vez y cuando se ejecute en el equipo receptor infectará el WSOCK32.DLL, pero no podrá enviar sus copias en adelante. Para "arreglar ese problema" el gusano envía la copia infectada. En este caso el archivo WIN32.DLL es el componente del gusano infectado por el componente del virus.

Por suerte, en la modificación del gusano conocido hay un "bug", en su rutina de contagio, y la mayoría de servidores de correo fallan al recepcionar los mensajes de correo afectados, que son enviados por un equipo infectado. Por ese motivo esta versión de virus, difícilmente se podrá difundir en forma masiva.

Troyano de Control Remoto

Cuando se ejecuta su componente se crea una nueva llave en el registro del sistema, que indica que el equipo ya está infectado:

[HKLM\Software\MATRIX]

Si esta llave existe, el troyano no procede a instalarse. Sin embargo se registra así mismo en la sección de auto-run:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
SystemBackup=%Windir%\MTX_.EXE

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP y C:\Winnt en Windows NT\2000.

El troyano permanece activo en Windows en la forma de un servicio o aplicación "oculta" y ejecuta una rutina que se conecta a algunos servidores de Internet, obtiene sus archivos de ellos y los esparce en el sistema. Como consecuencia final, el troyano de control remoto puede infectar el sistema con otros virus o instalar programas troyanos de mayor funcionabilidad.

PER ANTIVIRUS® detecta y elimina eficientemente este virus y sus variantes.