ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

Email-Worm.Win32.MTX

Classe Email-Worm
Plataforma Win32
Descrição

Detalhes técnicos

Este é um vírus-worm se espalhando em sistemas Win32. O vírus infecta arquivos executáveis ​​Win32, tenta enviar mensagens de e-mail com arquivos anexados infectados, bem como instala um componente backdoor para baixar e gerar "plug-ins" em um sistema afetado. O verme causou uma epidemia global de setembro a outubro de 2000.

O vírus tem uma estrutura incomum. Ele consiste em três componentes diferentes que são executados como programas autônomos (vírus, worm de e-mail e backdoor). O vírus é o componente principal e mantém os programas worm e backdoor em seu código em formato compactado. Ao infectar o sistema, o vírus os extrai e gera:

Estrutura de vírus

 � =============== -
  � O vírus � -> instala o Worm e o Backdoor no sistema,
  � instalação � então localiza e infecta arquivos executáveis ​​Win32
  � e infecção � 
  � rotinas � 
  � --------------- � 
  � Worm code � -> é extraído para arquivo e executado como programa autônomo
 Compress (comprimido) � 
  � --------------- � 
  � Código backdoor � -> é extraído para arquivo e executado como programa autônomo
 Compress (comprime) � 
 L =============== -

Arquivo EXE infectado

  � =============== -
  � Código do arquivo � 
  � e dados � 
  � � 
  � =============== � 
  � Código do vírus: � 
  � --------------- � 
  �� Instalação�� 
  ��e infecção�� 
  � + ------------- + � 
  �� Worm �� 
  � + ------------- + � 
  �� Backdoor �� 
 --L -------------- � 
 L =============== -

O código do worm não contém todas as rotinas necessárias para infectar o sistema, sendo enviado como anexo em uma mensagem de e-mail infectada (veja abaixo). O worm precisa de "ajuda" do componente de vírus e é enviado como infectado pelo vírus (o arquivo do worm é infectado pelo vírus como um arquivo comum e depois enviado). A razão para tal método não é clara, mas provavelmente os componentes foram escritos por pessoas diferentes.

O componente Virus contém as strings de texto:

SABI�.b ViRuS
Software fornecido por [MATRiX] VX TeAm: Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
Greetz: Todos os caras do VX em #virus e Vecna ​​nos ajudam
Visite-nos em:
http://www.coderz.net/matrix

O componente worm contém as cadeias de texto:

Software fornecido pela equipe [MATRiX] VX:
Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
Greetz:
Todo o cara VX no canal #virus e Vecna
Visite-nos: www.coderz.net/matrix

O Backdoor contém o texto:

Software fornecido pela equipe [MATRiX]:
Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
Greetz:
Vecna ​​4 códigos fonte e idéias

O componente de vírus

O vírus usa a tecnologia "Entry Point Obscuring" ao infectar um arquivo. Isso significa que o vírus não afeta o arquivo em seu código de entrada, mas coloca uma instrução "Jump Virus" em algum lugar no meio da seção do código do arquivo para tornar os procedimentos de detecção e desinfecção mais complexos. Como resultado, o vírus é ativado somente no caso de uma ramificação correspondente do programa afetado receber o controle.

O vírus também é criptografado, então, antes de mais nada, ele se descriptografa quando seu código ganha controle. O vírus procura as funções necessárias da API do Win32, examinando o kernel do Win32. Para fazer isso, o vírus tenta os endereços Win9x, WinNT e Win2000.

O vírus então procura por programas antivírus ativos no sistema e sai caso algum deles seja detectado. A lista de programas antivírus que o vírus presta atenção aparece da seguinte forma:

AntiViral Toolkit Pro
Monitor AVP
Vsstat
Webscanx
Avconsol
McAfee VirusScan
Vshwin32
Central do McAfee VirusScan

Em seguida, o vírus instala seus componentes no sistema. Eles são descompactados instalados no diretório do Windows e depois gerados. Existem três arquivos criados e eles têm um conjunto de atributos oculto e os seguintes nomes:

IE_PACK.EXE – código puro do Worm
WIN32.DLL – código do Worm infectado pelo vírus (como "Arquivo infectado" acima)
MTX_.EXE – código backdoor

O vírus, em seguida, infecta arquivos EXE executáveis ​​do Win32 em diretórios atuais, temporários e do Windows e, em seguida, sai.

Minhoca

Para enviar mensagens infectadas, o worm usa a tecnologia que, pela primeira vez, foi encontrada no worm de Internet "Feliz" (também conhecido como Happy99, também conhecido como SKA).

O worm afeta o arquivo WSOCK32.DLL no diretório de sistema do Windows, anexando um componente de seu código ao final do arquivo e conectando a rotina "enviar" WSOCK32.DLL. Como resultado, o worm monitora todos os dados enviados de um computador afetado para a Internet.

Normalmente, o arquivo WSOCK32.DLL está em uso no momento em que o worm é iniciado e está bloqueado para gravação. Para evitar isso, o worm usa um método padrão: ele cria uma cópia do WSOCK32.DLL original com um nome WSOCK32.MTX, afeta essa cópia e grava "substituir o arquivo original por infectado" no arquivo WININIT.INI:

NUL = C: WINDOWSSYSTEMWSOCK32.DLL
C: WINDOWSSYSTEMWSOCK32.DLL = D: WINDOWSSYSTEMWSOCK32.MTX

onde "C: WINDOWSSYSTEM" é o nome do diretório de sistema do Windows e pode ser diferente dependendo do nome do diretório do Windows instalado.

Na próxima reinicialização, o WSOCK32 infectado substitui o original, e o worm obtém acesso aos dados que são enviados da máquina infectada. O worm presta atenção a sites da Internet (Web, ftp) que são visitados, bem como a mensagens de e-mail enviadas de um computador.

O comportamento muito visível do vírus é devido ao fato de que ele impede a capacidade de visitar vários sites da Internet, bem como desabilita o envio de mensagens para os mesmos domínios (eles são nomes de domínio antivírus). O vírus os detecta por combinações de quatro letras que aparecem da seguinte maneira:

nii.
nai.
avp.
f-se
mapl
pand
soph
ndmi
uma taxa
Yenn
lywa
tbav
yman

O worm também não permite o envio de mensagens de e-mail para esses domínios:

wildlist.o *
il.esafe.c *
perfectsup *
complex.is *
HiServ.com *
hiserv.com *
metro.ch *
beyond.com *
mcafee.com *
pandasoftw *
aterramento. *
inexar.com *
comkom.co. *
meditrade. *
mabex.com *
cellco.com *
symantec.c *
bem sucedido*
inforamp.n *
newell.com *
singnet.co *
bmcd.com.a *
bca.com.nz *
trendmicro *
sophos.com *
maple.com. *
netsales.n *
f-secure.c *

O worm também intercepta mensagens de e-mail que são enviadas e tenta enviar uma mensagem duplicada com um anexo infectado para o mesmo endereço (o mesmo que o worm "Feliz"). Como resultado, um endereço de vítima deve receber duas mensagens: primeiro, é a mensagem original, escrita por um remetente; segundo, vem uma mensagem com um assunto vazio e texto e um arquivo anexado que tem um dos nomes que são selecionados pelo worm dependendo da data atual:

README.TXT.pif
I_wanna_see_YOU.TXT.pif
MATRiX_Screen_Saver.SCR
LOVE_LETTER_FOR_YOU.TXT.pif
NEW_playboy_Screen_saver.SCR
BILL_GATES_PIECE.JPG.pif
TIAZINHA.JPG.pif
FEITICEIRA_NUA.JPG.pif
Geocities_Free_sites.TXT.pif
NEW_NAPSTER_site.TXT.pif
METALLICA_SONG.MP3.pif
ANTI_CIH.EXE
INTERNET_SECURITY_FORUM.DOC.pif
ALANIS_Screen_Saver.SCR
READER_DIGEST_LETTER.TXT.pif
WIN_ $ 100_NOW.DOC.pif
IS_LINUX_GOOD_ENOUGH! .TXT.pif
QI_TEST.EXE
AVP_Updates.EXE
SEICHO-NO-IE.EXE
YOU_are_FAT! .TXT.pif
FREE_xxx_sites.TXT.pif
I_am_sorry.DOC.pif
Me_nude.AVI.pif
Sorry_about_yesterday.DOC.pif
Protect_your_credit.HTML.pif
JIMI_HMNDRIX.MP3.pif
HANSON.SCR
FUCKING_WITH_DOGS.SCR
MATRiX_2_is_OUT.SCR
zipped_files.EXE
BLINK_182.MP3.pif

Como um arquivo anexado, o worm usa o arquivo WIN32.DLL que foi descartado pelo componente de vírus.

Observação: o worm não elimina o arquivo WIN32.DLL, mas usa esse arquivo para anexá-lo às mensagens enviadas. Assim, o "worm puro" não é capaz de se espalhar mais de uma vez: sendo executado em uma máquina vítima, o worm infectará o WSOCK32.DLL, mas não poderá enviar suas cópias ainda mais. Para "consertar este problema", o worm envia sua cópia infectada (o WIN32.DLL é um componente do worm infectado por um componente de vírus, veja acima).

A modificação conhecida do worm tem um bug em sua rotina de propagação e o servidor de e-mail, em muitos casos, não recebe mensagens afetadas da máquina infectada. Apesar disso, se o sistema tiver conexão dial-up, ou o servidor de e-mail for rápido o suficiente, o worm envia suas cópias sem problemas.

Porta dos fundos

Sendo executado, um componente Backdoor cria uma nova chave no registro do sistema que indica que a máquina já está infectada:

HKLMSoftware [MATRIX]

Caso esta chave exista, o Backdoor pula o procedimento de instalação. Caso contrário, ele se registrará na seção de execução automática:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
SystemBackup =% WinDir% MTX_.EXE

onde% WinDir% é o diretório do Windows.

O Backdoor fica ativo no Windows como um aplicativo oculto (serviço) e executa uma rotina que se conecta a algum servidor da Internet, obtém os arquivos de lá e os gera no sistema. Assim, o Backdoor pode infectar o sistema com outros vírus ou instalar programas de Trojan ou backdoors mais funcionais.

Esse componente na versão de vírus conhecida também possui um bug que causa uma mensagem padrão do Windows sobre um erro no aplicativo quando um backdoor tenta acessar um site da Internet.


Link para o original