发信人: emil()
整理人: emil(2000-10-03 21:04:59), 站内信件
|
W95.MTX
病毒名称:W95.MTX
别名: W95.Oisdbo, I-Worm.MTX, TROJ_MTX.A, MTX.A, W32/MTX, I-Worm.M
TX, PE_MTX
危险等级:中
发作时间:无
长度: 9250字节(可变)
感染症状:无
发作症状:无
病毒类型:综合型(文件型病毒、蠕虫、后门)
操作平台:Windows 32位操作系统
感染对象:Windows PE格式执行文件
病毒介绍:W95.MTX是一个综合型病毒,含有病毒程序、蠕虫程序、后门程序等三
大部分,其中病毒部分是最主要的,而蠕虫和后门部分是由病毒部分解压出来的
。该病毒通过电子邮件传播,带毒的电子邮件没有标题,带有附件,附件的文件
名(见下文)和大小均可变。
蠕虫部分:
首先会做一个Wsock32.dll的拷贝,拷贝的文件名为Wsock32.mtx,该病毒之
所以能够通过电子邮件发送出去,就是通过修改这个.mtx文件指向自身的代码,
这样就允许病毒任意地向外发送电子邮件。下面是该病毒发送电子邮件的附件文
件可能的名字(.pif后缀名并不一定可见):
I_wanna_see_you.txt.pif
Matrix_screen_saver.scr
Love_letter_for_you.txt.pif
New_playboy_screen_saver.scr
Bill_gates_piece.jpg.pif
Tiazinha.jpg.pif
Feiticeira_nua.jpg.pif
Geocities_free_sites.txt.pif
New_napster_site.txt.pif
Metallica_song.mp3.pif
Anti_cih.exe
Internet_security_forum.doc.pif
Alanis_screen_saver.scr
Reader_digest_letter.txt.pif
Win_$100_now.doc.pif
Is_linux_good_enough!.txt.pif
Qi_test.exe
Avp_updates.exe
Seicho_no_ie.exe
You_are_fat!.txt.pif
Free_xxx_sites.txt.pif
I_am_sorry.doc.pif
Me_nude.avi.pif
Sorry_about_yesterday.doc.pif
Protect_your_credit.html.pif
Jimi_hendrix.mp3.pif
Hanson.scr
F___ing_with_dogs.scr
Matrix_2_is_out.scr
Zipped_files.exe
Blink_182.mp3.pif
此外,该病毒的蠕虫程序还会新建一个Wininit.ini文件,这个文件的作用是
在计算机重新启动后,将Wsock32.dll删除,并将Wsock32.mtx改名为Wsock32.dl
l,随后就轮到病毒部分上场了。该病毒修改Wsock32.dll之后,就会监控一些上
网操作,如浏览网页、发送电子邮件、FTP操作,以此防止用户连接一些反病毒站
点,向一些反病毒软件厂商发送电子邮件。不过,该病毒的蠕虫部分有一个bug,
所以传播不太广泛。
病毒部分:
病毒部分首先查找是否有如下的病毒监控程序正在运行,如果有,病毒部分
就不运行。
AntiViral Toolkit Pro
AVP Monitor
Vsstat
Webscanx
Avconsol
McAfee VirusScan
Vshwin32
Central do McAfee VirusScan
如果病毒部分继续运行的话,它就将蠕虫部分解压缩出来,并在Windows目录
下(如C:\Windows)生成一个名为Ie_pack.exe的蠕虫程序和一个Win32.dll文件
。随后,在当前目录、Windows目录、Temp(临时)目录查找可执行文件,并感染
之,有意思的是被感染的文件的大小必须能被101除尽,并且大于8k,而且有至少
20个入口调用指令,否则就不会被感染。
后门部分:
该病毒还会生成一个Mtx_.Exe文件(后门程序),并运行之,其作用是从一
个特定的网站上(i.am/[MATRIX])下载一些特定的文件。另外还会查找注册表是
否有 HKLM\Software\[MATRIX] 一项,如果存在则说明电脑已经被感染,否则就
修改注册表的启动项:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
"SystemBackup"="C:\WINDOWS\MTX_.EXE"
使得Mtx_.Exe在每次计算机启动时动能运行,并且在任务列表中是不可见的。
所以该后门部分可使得系统再次感染其他的病毒或被装上其它的木马程序或
更多功能的后门程序。不过,该后门部分同样存在bug,就是在连接特定的站点时
会出现一些错误信息。
备注: 借助一些反病毒软件,如AVP、NAV、MVS、PCc(最新病毒库)等查解
所有染毒文件,删除病毒生成的文件,重新拷贝Wsock32.dll,删除注册表中的病
毒注册资料。
--
欢迎光临聊毒斋!!!
http://cnav.myrice.com(主站) http://go2.163.com/~cnav(镜像)
Email: [email protected]
Oicq:201604
※ 来源:.月光软件站 http://www.moon-soft.com.[FROM: 202.103.177.26]
|
|