I-Worm.MTX 病理剖析
这个MTX病毒包括三个部分——蠕虫、病毒和后门程序。它在32位系统中传播:病毒部分
感染Win32可执行文件,企图
发送带有染毒附件的E-mail,安装后门程序部分以下载并植入受影响的系统。
这个病毒具有不寻常的结构。它包含三个不同的部分(病毒、蠕虫、后门)。病毒
部分是重要部分,它将蠕虫、后门
程序代码以压缩的格式放入它的代码内。当感染系统时,它将它们解压缩并植入系统。
该MTX病毒的结构看起来像下面的样子:
------------------
I The virus I --> 安装蠕虫和后门程序到系统中,然后查找并感染Win32可执行
文件。
I installation I
I and infection I
I routines I
------------------
I Worm code I --> 被解压缩并作为单独运行的程序
I (compressed) I
------------------
I Backdoor code I --> 被解压缩并作为单独运行的程序
I (compressed) I
------------------
这个蠕虫的代码中并不包含感染系统的全部必须程序,那个蠕虫文件被病毒作为一
个普通文件感染然后发送。
使用这种方式的原因还不清楚,可能这个部分的程序是有不同的人写的。
病毒部分包含下列文本:
SAB.b ViRuS
Software provide by [MATRiX] VX TeAm: Ultras, Mort, Nbk, LOrd DArk,
Del_Armg0, Anaktos
Greetz: All VX guy in #virus and Vecna for help us
Visit us at:
蠕虫部分包含下列文本:
Software provide by [MATRiX] VX team:
Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
Greetz:
All VX guy on #virus channel and Vecna
Visit us: www.coderz.net/matrix
后门部分包含下列文本:
Software provide by [MATRiX] team:
Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
Greetz:
Vecna 4 source codes and ideas
——病毒部分(Virus Component):
病毒部分在感染文件时采用了EPO(Entry Point Obscuring)技术。这意味着该病
毒在代码开始部分并不影响文件,
而将“跳转到病毒”指令放到程序的中部,这就使侦测和消毒过程更复杂。结果是这个
病毒只有在相应的受影响的程序得
到控制时才被激活。
该病毒同样是加密的,当它的代码获得控制时它首先将自身加密。然后通过扫描Win
32内核查找必要的Win32API函数。
它然后查找当前系统中处于激活状态的反病毒程序,一旦发现任何一个便退出。
该病毒查找的反病毒程序包括:
AntiViral Toolkit Pro
AVP Monitor
Vsstat
Webscanx
Avconsol
McAfee VirusScan
Vshwin32
Central do McAfee VirusScan
然后将在系统中安装病毒的其他部分,它们被解压缩安装到Windows 目录中。在该
目录下产生三个具有隐含属性的
文件:
IE_PACK.EXE - 纯蠕虫代码
WIN32.DLL - 被病毒感染的蠕虫代码
MTX_.EXE - 后门程序代码
该病毒然后感染当前、temporary和Windows目录下的Win32可执行PE EXE文件,然后
退出。
——蠕虫部分(Worm Component)
蠕虫部分使用的技术是在第一次介绍Happy99/Ska时的发送染毒的消息主体。它通过
将其代码加入Windows System
目录下WSOCK32.DLL的尾部并始终“发送”WSOCK32.DLL的方式影响该文件。结果是,该
蠕虫监视所有从这台机器发送到
Internet上的数据。通常情况下,WSOCK32.DLL文件在蠕虫启动时被使用并由Windows锁
定。为了避免那样,该蠕虫使用
标准方式:创建原始WSOCK32.DLL的副本为WSOCK32.MTX,感染这个副本然后向
WININIT.INI文件中写入"replace ori_
ginal file with infected" 说明::
NUL=C:\WINDOWS\SYSTEM\WSOCK32.DLL
C:\WINDOWS\SYSTEM\WSOCK32.DLL=D:\WINDOWS\SYSTEM\WSOCK32.MTX
被感染的WSOCK32将在下次重启时替换原来的WSOCK32文件,蠕虫获取访问从这台机
器发送出去的数据的权利。蠕虫
在关注发送出去的Email的同时关注访问的Internet 站点 (Web, ftp) 。
这个蠕虫的最直观的行为是停止访问一些Internet 站点,还不能向同样的域发送E
mail。它通过检测四个字母组合
的方式来判定:
nii.
nai.
avp.
f-se
mapl
pand
soph
ndmi
afee
yenn
lywa
tbav
yman
该蠕虫还不让用户向下列域发送Email:
wildlist.o*
il.esafe.c*
perfectsup*
complex.is*
HiServ.com*
hiserv.com*
metro.ch*
beyond.com*
mcafee.com*
pandasoftw*
earthlink.*
inexar.com*
comkom.co.*
meditrade.*
mabex.com *
cellco.com*
symantec.c*
successful*
inforamp.n*
newell.com*
singnet.co*
bmcd.com.a*
bca.com.nz*
trendmicro*
sophos.com*
maple.com.*
netsales.n*
f-secure.c*
蠕虫还可以截获发送的Email消息,然后企图向相同地址发送另一封带有染毒附件的
Email。结果受害的Email地址
将收到两封邮件,第一封是发送者的邮件,第二封的邮件主题和正文均为空但带有一个
附件,附件的名字是蠕虫根据
当前日期选择的:
README.TXT.pif
I_wanna_see_YOU.TXT.pif
MATRiX_Screen_Saver.SCR
LOVE_LETTER_FOR_YOU.TXT.pif
NEW_playboy_Screen_saver.SCR
BILL_GATES_PIECE.JPG.pif
TIAZINHA.JPG.pif
FEITICEIRA_NUA.JPG.pif
Geocities_Free_sites.TXT.pif
NEW_NAPSTER_site.TXT.pif
METALLICA_SONG.MP3.pif
ANTI_CIH.EXE
INTERNET_SECURITY_FORUM.DOC.pif
ALANIS_Screen_Saver.SCR
READER_DIGEST_LETTER.TXT.pif
WIN_$100_NOW.DOC.pif
IS_LINUX_GOOD_ENOUGH!.TXT.pif
QI_TEST.EXE
AVP_Updates.EXE
SEICHO-NO-IE.EXE
YOU_are_FAT!.TXT.pif
FREE_xxx_sites.TXT.pif
I_am_sorry.DOC.pif
Me_nude.AVI.pif
Sorry_about_yesterday.DOC.pif
Protect_your_credit.HTML.pif
JIMI_HMNDRIX.MP3.pif
HANSON.SCR
FUCKING_WITH_DOGS.SCR
MATRiX_2_is_OUT.SCR
zipped_files.EXE
BLINK_182.MP3.pif
——后门程序(Backdoor Component)
运行的时候,后门程序创建一个新的系统注册键,表明该机器已经被感染:
HKLM\Software\[MATRIX]
如果该注册键存在,后门程序将忽略安装过程,否则它将自动运行下面部分:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
SystemBackup=%WinDir%\MTX_.EXE
%WinDir% 是Windows目录。
这个后门程序在Windows中以隐含应用(服务)的方式保持激活状态,并运行一个例
行程序以连接到一些Internet 服
务器上,从那里获取文件并将他们植入系统中。所以该后门程序可以用其他病毒感染系
统或是安装特洛伊木马或其他功能
更强的后门程序。
