TU-Logo

TU Startseite


Sicherheit im Web
Antivirus
sog. E-Mail-Viren (Hoaxes)


Software
Microsoft IE
Java / JS
Win 3.1x
Win 32
Mac
Unix
Amiga
OS/2, Atari, NeXT,...
Suchmaschinen

erweiterte Suche in diesen Seiten
Privacy Policy

 

nach oben
 

© TU Berlin, tubIT, Bearbeiter: Frank Ziemann  -  Update: 02.09.2009


03.05.01 - Fehlalarm in Norton Antivirus

Extra-Blatt

Virus/Wurm: W32/MTX
(Alias: I-Worm.MTX, W95.MTX@M, W32/Apology)

Mehrteiliger Wurm/Virus tarnt sich u.a. als PIF-Datei

MTX besteht aus mehreren Teilen: Einem Wurm, der für die Verbreitung sorgt; einem Virus, der Dateien infiziert und einem RAT (Remote Administration Tool, Backdoor). Der Wurm benutzt eine ähnliche Technik wie Happy99 (W32/Ska): Er ersetzt die Datei WSOCK32.DLL durch eine modifizierte Version, die er zuvor als WSOCK32.MTX angelegt hat (er legt aber nicht wie Happy99 eine Kopie der Original-Datei ab). Der Austausch geschieht durch einen Eintrag in der Datei WININIT.INI beim nächsten Systemstart:

NUL=C:\WINDOWS\SYSTEM\WSOCK32.DLL
C:\WINDOWS\SYSTEM\WSOCK32.DLL=C:\WINDOWS\SYSTEM\WSOCK32.MTX

Der Pfad ist nicht fest 'verdrahtet', sondern wird ggf. den Gegebenheiten angepasst.
Damit sendet sich MTX als Attachment (einer ansonsten leeren Mail) an alle Adressen, an die Sie Mails schicken. Die Namen dieser Dateianhänge variieren je nach Datum:

ALANIS_Screen_Saver.SCR
ANTI_CIH.EXE
AVP_Updates.EXE
BILL_GATES_PIECE.JPG.pif
BLINK_182.MP3.pif
FEITICEIRA_NUA.JPG.pif
FREE_yahoo-email.DOC.pif
FREE_xxx_sites.TXT.pif
FUCKING_WITH_DOGS.SCR
Geocities_Free_sites.TXT.pif
HANSON.SCR
I_am_sorry.DOC.pif
I_wanna_see_YOU.TXT.pif
INTERNET_SECURITY_FORUM.DOC.pif
IS_LINUX_GOOD_ENOUGH!.TXT.pif
JIMI_HMNDRIX.MP3.pif
LOVE_LETTER_FOR_YOU.TXT.pif
MATRiX_2_is_OUT.SCR
MATRiX_Screen_Saver.SCR
Me_nude.AVI.pif
METALLICA_SONG.MP3.pif
NEW_NAPSTER_site.TXT.pif
NEW_playboy_Screen_saver.SCR
Protect_your_credit.HTML.pif
QI_TEST.EXE
READER_DIGEST_LETTER.TXT.pif
README.TXT.pif
SEICHO-NO-IE.EXE
Sorry_about_yesterday.DOC.pif
TIAZINHA.JPG.pif
WIN_$100_NOW.DOC.pif
YOU_are_FAT!.TXT.pif
zipped_files.EXE

Achtung: Die Endung .pif wird im Explorer nicht angezeigt, selbst wenn dieser so eingestellt ist, dass er alle Endungen anzeigen sollte. Die Datei kann folglich auch nicht im Explorer mit einer harmlosen Endung versehen werden. Abhilfe: Löschen Sie in dem Schlüssel

HKEY_CLASSES_ROOT\piffile
 
den Unterschlüssel " NeverShowExt="" " oder ändern Sie seinen Namen (nicht den Wert!) in " AlwaysShowExt ".
Im Gegensatz zu DOS- und Win16-Programmen werden Win32-PE-Programme direkt ausgeführt, wenn sie die Erweiterung '.pif' haben (d.h. sie werden wie EXE behandelt). Normalerweise enthalten PIF-Dateien Informationen über die Ausführung von DOS-Programmen in einer Windows-Umgebung.

MTX unterbindet ausserdem E-Mail- und WWW-Kontakt zu bestimmten Antivirus-Firmen.

Die Virus-Komponente infiziert Win32-EXE-Dateien (PE-Typ) im aktuellen Verzeichnis, im TEMP-Verzeichnis und im Windows-Verzeichnis. Sie installiert folgende versteckte Dateien im Windows-Verzeichnis:

IE_PACK.EXE - der Wurm
WIN32.DLL - der Wurm, mit dem Virus infiziert (diese Datei wird per Mail versandt)
MTX_.EXE - Backdoor

Die Backdoor-Komponente trägt sich in die Registry ein:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  SystemBackup=%WinDir%\MTX_.EXE

%WinDir% steht für das jeweilige Windows-Verzeichnis, meist C:\Windows.

Sie nimmt Verbindung mit einem Server im Internet auf, um weitere Dateien und Programme herunterzuladen und zu installieren. Die geschieht bei jedem Windows-Start. MTX_.EXE ist nicht in der Taskliste sichtbar.

[ W32/MTX manuell entfernen ]

Infos und Updates von Antivirus-Firmen zu W32/MTX:

Adressen, wo Sie auch mit einem MTX-befallenen Rechner Updates bekommen.


nach oben | zurück zur Hoax-Seite | zurück zur Virusinfo Übersicht | zurück zur Antivirus-Seite