I-Worm.MTX 病理剖析

 

这个MTX病毒包括三个部分——蠕虫、病毒和后门程序。它在32位系统中传播：病毒部分

感染Win32可执行文件，企图

发送带有染毒附件的E-mail，安装后门程序部分以下载并植入受影响的系统。

    这个病毒具有不寻常的结构。它包含三个不同的部分（病毒、蠕虫、后门）。病毒

部分是重要部分，它将蠕虫、后门

程序代码以压缩的格式放入它的代码内。当感染系统时，它将它们解压缩并植入系统。

该MTX病毒的结构看起来像下面的样子：

 ------------------

 I The virus      I --> 安装蠕虫和后门程序到系统中，然后查找并感染Win32可执行

文件。

 I installation   I

 I and infection  I

 I routines       I

 ------------------

 I Worm code      I --> 被解压缩并作为单独运行的程序

 I (compressed)   I

 ------------------

 I Backdoor code  I --> 被解压缩并作为单独运行的程序

 I (compressed)   I

 ------------------

    这个蠕虫的代码中并不包含感染系统的全部必须程序，那个蠕虫文件被病毒作为一

个普通文件感染然后发送。

使用这种方式的原因还不清楚，可能这个部分的程序是有不同的人写的。

病毒部分包含下列文本：

 SAB.b ViRuS

 Software provide by [MATRiX] VX TeAm: Ultras, Mort, Nbk, LOrd DArk,

Del_Armg0, Anaktos

 Greetz: All VX guy in #virus and Vecna for help us

 Visit us at:

 http://www.coderz.net/matrix

蠕虫部分包含下列文本：

 Software provide by [MATRiX] VX team:

 Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos

 Greetz:

 All VX guy on #virus channel and Vecna

 Visit us: www.coderz.net/matrix

后门部分包含下列文本：

 Software provide by [MATRiX] team:

 Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos

 Greetz:

 Vecna 4 source codes and ideas

——病毒部分（Virus Component）：

    病毒部分在感染文件时采用了EPO（Entry Point Obscuring）技术。这意味着该病

毒在代码开始部分并不影响文件，

而将“跳转到病毒”指令放到程序的中部，这就使侦测和消毒过程更复杂。结果是这个

病毒只有在相应的受影响的程序得

到控制时才被激活。

    该病毒同样是加密的，当它的代码获得控制时它首先将自身加密。然后通过扫描Win

32内核查找必要的Win32API函数。

    它然后查找当前系统中处于激活状态的反病毒程序，一旦发现任何一个便退出。

该病毒查找的反病毒程序包括：

 AntiViral Toolkit Pro

 AVP Monitor

 Vsstat

 Webscanx

 Avconsol

 McAfee VirusScan

 Vshwin32

 Central do McAfee VirusScan

    然后将在系统中安装病毒的其他部分，它们被解压缩安装到Windows 目录中。在该

目录下产生三个具有隐含属性的

文件：

 IE_PACK.EXE   - 纯蠕虫代码

 WIN32.DLL     - 被病毒感染的蠕虫代码

 MTX_.EXE      - 后门程序代码

    该病毒然后感染当前、temporary和Windows目录下的Win32可执行PE EXE文件，然后

退出。

——蠕虫部分（Worm Component）

    蠕虫部分使用的技术是在第一次介绍Happy99/Ska时的发送染毒的消息主体。它通过

将其代码加入Windows System

目录下WSOCK32.DLL的尾部并始终“发送”WSOCK32.DLL的方式影响该文件。结果是，该

蠕虫监视所有从这台机器发送到

Internet上的数据。通常情况下，WSOCK32.DLL文件在蠕虫启动时被使用并由Windows锁

定。为了避免那样，该蠕虫使用

标准方式：创建原始WSOCK32.DLL的副本为WSOCK32.MTX，感染这个副本然后向

WININIT.INI文件中写入"replace ori_

ginal file with infected" 说明：:

 NUL=C:/WINDOWS/SYSTEM/WSOCK32.DLL

 C:/WINDOWS/SYSTEM/WSOCK32.DLL=D:/WINDOWS/SYSTEM/WSOCK32.MTX

     被感染的WSOCK32将在下次重启时替换原来的WSOCK32文件，蠕虫获取访问从这台机

器发送出去的数据的权利。蠕虫

在关注发送出去的Email的同时关注访问的Internet 站点 (Web, ftp) 。

     这个蠕虫的最直观的行为是停止访问一些Internet 站点，还不能向同样的域发送E

mail。它通过检测四个字母组合

的方式来判定：

 nii.

 nai.

 avp.

 f-se

 mapl

 pand

 soph

 ndmi

 afee

 yenn

 lywa

 tbav

 yman

    该蠕虫还不让用户向下列域发送Email：

 wildlist.o*

 il.esafe.c*

 perfectsup*

 complex.is*

 HiServ.com*

 hiserv.com*

 metro.ch*

 beyond.com*

 mcafee.com*

 pandasoftw*

 earthlink.*

 inexar.com*

 comkom.co.*

 meditrade.*

 mabex.com *

 cellco.com*

 symantec.c*

 successful*

 inforamp.n*

 newell.com*

 singnet.co*

 bmcd.com.a*

 bca.com.nz*

 trendmicro*

 sophos.com*

 maple.com.*

 netsales.n*

 f-secure.c*

    蠕虫还可以截获发送的Email消息，然后企图向相同地址发送另一封带有染毒附件的

Email。结果受害的Email地址

将收到两封邮件，第一封是发送者的邮件，第二封的邮件主题和正文均为空但带有一个

附件，附件的名字是蠕虫根据

当前日期选择的：

 README.TXT.pif

 I_wanna_see_YOU.TXT.pif

 MATRiX_Screen_Saver.SCR

 LOVE_LETTER_FOR_YOU.TXT.pif

 NEW_playboy_Screen_saver.SCR

 BILL_GATES_PIECE.JPG.pif

 TIAZINHA.JPG.pif

 FEITICEIRA_NUA.JPG.pif

 Geocities_Free_sites.TXT.pif

 NEW_NAPSTER_site.TXT.pif

 METALLICA_SONG.MP3.pif

 ANTI_CIH.EXE

 INTERNET_SECURITY_FORUM.DOC.pif

 ALANIS_Screen_Saver.SCR

 READER_DIGEST_LETTER.TXT.pif

 WIN_$100_NOW.DOC.pif

 IS_LINUX_GOOD_ENOUGH!.TXT.pif

 QI_TEST.EXE

 AVP_Updates.EXE

 SEICHO-NO-IE.EXE

 YOU_are_FAT!.TXT.pif

 FREE_xxx_sites.TXT.pif

 I_am_sorry.DOC.pif

 Me_nude.AVI.pif

 Sorry_about_yesterday.DOC.pif

 Protect_your_credit.HTML.pif

 JIMI_HMNDRIX.MP3.pif

 HANSON.SCR

 FUCKING_WITH_DOGS.SCR

 MATRiX_2_is_OUT.SCR

 zipped_files.EXE

 BLINK_182.MP3.pif

——后门程序（Backdoor Component）

    运行的时候，后门程序创建一个新的系统注册键，表明该机器已经被感染：

   HKL
4000
M/Software/[MATRIX]

    如果该注册键存在，后门程序将忽略安装过程，否则它将自动运行下面部分：

   HKLM/Software/Microsoft/Windows/CurrentVersion/Run

  SystemBackup=%WinDir%/MTX_.EXE

  %WinDir% 是Windows目录。

    这个后门程序在Windows中以隐含应用（服务）的方式保持激活状态，并运行一个例

行程序以连接到一些Internet 服

务器上，从那里获取文件并将他们植入系统中。所以该后门程序可以用其他病毒感染系

统或是安装特洛伊木马或其他功能

更强的后门程序。