Email-Worm.Win32.MTX

Détails techniques

C'est un virus-propagation qui se propage sous les systèmes Win32. Le virus infecte les fichiers exécutables Win32, tente d'envoyer des messages électroniques avec des fichiers joints infectés, et installe un composant de porte dérobée pour télécharger et générer des "plugins" sur un système affecté. Le ver a provoqué une épidémie mondiale de septembre à octobre 2000.

Le virus a une structure inhabituelle. Il se compose de trois composants différents qui s'exécutent en tant que programmes autonomes (Virus, Courrier électronique Worm et Backdoor). Le virus est le composant principal, et il maintient les programmes de ver et de porte dérobée dans son code sous forme compressée. En infectant le système, le virus les extrait et les engendre:

Structure du virus

 � =============== -
  � Le virus � -> installe Worm et Backdoor sur le système,
  � installation � puis trouve et infecte les fichiers exécutables Win32
  � et l'infection � 
  � routines � 
  � --------------- � 
  � Le code de ver � -> est extrait dans un fichier et exécuté en tant que programme autonome
  � (compressé) � 
  � --------------- � 
  � Backdoor code � -> est extrait dans un fichier et exécuté en tant que programme autonome
  � (compresse) � 
 L =============== -

Fichier EXE infecté

  � =============== -
  � Code de fichier � 
  � et données � 
  � � 
  � =============== � 
  � Code de virus: � 
  � --------------- � 
  �� Installation�� 
  �� et infection�� 
  � + ------------- + � 
  �� Ver �� 
  � + ------------- + � 
  �� Backdoor �� 
 ----L -------------- � 
 L =============== -

Le code du ver ne contient pas toutes les routines nécessaires pour infecter le système, étant envoyé en pièce jointe dans un message électronique infecté (voir ci-dessous). Le ver a besoin de "l'aide" du composant viral, et est envoyé comme infecté par le virus (le fichier ver est infecté par le virus en tant que fichier ordinaire puis envoyé). La raison d'une telle méthode n'est pas claire, mais probablement les composants ont été écrits par des personnes différentes.

Le composant Virus contient les chaînes de texte:

SABI�.b ViRuS
Logiciel fourni par [MATRiX] VX TeAm: Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
Greetz: Tous les gars VX dans #virus et Vecna ​​pour nous aider
Visitez-nous à:
http://www.coderz.net/matrix

Le composant de ver contient les chaînes de texte:

Logiciel fourni par l'équipe [MATRiX] VX:
Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
Greetz:
Tous les gars de VX sur #virus channel et Vecna
Visitez-nous: www.coderz.net/matrix

La porte dérobée contient le texte:

Logiciel fourni par l'équipe [MATRiX]:
Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
Greetz:
Vecna ​​4 codes sources et idées

Le composant de virus

Le virus utilise la technologie "Entry Point Obscuring" lors de l'infection d'un fichier. Cela signifie que le virus n'affecte pas le fichier à son code d'entrée, mais place une instruction "Jump Virus" quelque part au milieu de la section de code de fichier pour rendre les procédures de détection et de désinfection plus complexes. Par conséquent, le virus est activé uniquement dans le cas où la branche d'un programme affecté correspondant reçoit le contrôle.

Le virus est également crypté, donc tout d'abord, il se décrypte lui-même lorsque son code prend le contrôle. Le virus recherche ensuite les fonctions de l'API Win32 nécessaires en analysant le noyau Win32. Pour ce faire, le virus essaie les adresses Win9x, WinNT et Win2000.

Le virus recherche ensuite les programmes anti-virus actifs dans le système et les quitte au cas où l'un d'eux serait détecté. La liste des programmes antivirus auxquels le virus porte attention est la suivante:

AntiViral Toolkit Pro
Moniteur AVP
Vsstat
Webscanx
Avconsol
McAfee VirusScan
Vshwin32
Central faire McAfee VirusScan

Ensuite, le virus installe ses composants sur le système. Ils sont décompressés installés dans le répertoire Windows puis générés. Trois fichiers sont créés et ils ont un ensemble d'attributs cachés et les noms suivants:

IE_PACK.EXE – code Worm pur
WIN32.DLL – Code du ver infecté par le virus (comme "Fichier infecté" ci-dessus)
MTX_.EXE – code de porte dérobée

Le virus infecte alors les fichiers exécutables PE EXE Win32 dans les répertoires courant, temporaire et Windows, puis quitte.

Ver

Pour envoyer des messages infectés, le ver utilise une technologie qui, pour la première fois, a été trouvée dans le ver Internet "Happy" (alias Happy99, alias SKA).

Le ver affecte le fichier WSOCK32.DLL dans le répertoire système Windows en ajoutant un composant de son code à la fin du fichier et en accrochant la routine "send" WSOCK32.DLL. Par conséquent, le ver surveille toutes les données envoyées d'un ordinateur affecté à Internet.

Généralement, le fichier WSOCK32.DLL est utilisé au démarrage du ver et il est verrouillé pour l'écriture. Pour éviter cela, le ver utilise une méthode standard: il crée une copie de l'original WSOCK32.DLL avec un nom WSOCK32.MTX, affecte cette copie et écrit ensuite "remplacer le fichier original par infecté" dans le fichier WININIT.INI:

NUL = C: WINDOWSSYSTEMWSOCK32.DLL
C: WINDOWSSYSTEMWSOCK32.DLL = D: WINDOWSSYSTEMWSOCK32.MTX

où "C: WINDOWSSYSTEM" est le nom du répertoire système de Windows et peut différer selon le nom du répertoire Windows installé.

Au prochain redémarrage, le WSOCK32 infecté remplace le fichier d'origine et le ver accède aux données envoyées par la machine infectée. Le ver fait attention aux sites Internet (Web, ftp) qui sont visités ainsi qu'aux courriels envoyés depuis un ordinateur.

Le comportement très visible du virus est dû au fait qu'il empêche la possibilité de visiter plusieurs sites Internet, ainsi que de désactiver l'envoi de messages aux mêmes domaines (ce sont des noms de domaine antivirus). Le virus les détecte par des combinaisons de quatre lettres qui apparaissent comme suit:

nii.
nai.
avp.
f-se
mapl
pand
soph
ndmi
afee
yenn
lywa
tbav
yman

Le ver ne permet pas non plus d'envoyer des messages électroniques à ces domaines:

wildlist.o *
il.esafe.c *
perfectsup *
complex.is *
HiServ.com *
hiserv.com *
metro.ch *
beyond.com *
mcafee.com *
pandasoftw *
lien de terre. *
inexar.com *
comkom.co. *
meditrade. *
mabex.com *
cellco.com *
symantec.c *
réussi*
inforamp.n *
newell.com *
singnet.co *
bmcd.com.a *
bca.com.nz *
trendmicro *
sophos.com *
maple.com. *
netsales.n *
f-secure.c *

Le ver intercepte également les messages électroniques qui sont envoyés et tente d'envoyer un message en double avec une pièce jointe infectée à la même adresse (le même que le ver "Happy"). En conséquence, une adresse de victime devrait recevoir deux messages: d'abord, le message original, écrit par un expéditeur; ensuite, un message avec un sujet et un texte vides et un fichier joint qui a un des noms sélectionnés par le ver en fonction de la date actuelle:

README.TXT.pif
I_wanna_see_YOU.TXT.pif
MATRiX_Screen_Saver.SCR
LOVE_LETTER_FOR_YOU.TXT.pif
NEW_playboy_Screen_saver.SCR
BILL_GATES_PIECE.JPG.pif
TIAZINHA.JPG.pif
FEITICEIRA_NUA.JPG.pif
Geocities_Free_sites.TXT.pif
NEW_NAPSTER_site.TXT.pif
METALLICA_SONG.MP3.pif
ANTI_CIH.EXE
INTERNET_SECURITY_FORUM.DOC.pif
ALANIS_Screen_Saver.SCR
READER_DIGEST_LETTER.TXT.pif
WIN_ $ 100_NOW.DOC.pif
IS_LINUX_GOOD_ENOUGH! .TXT.pif
QI_TEST.EXE
AVP_Updates.EXE
SEICHO-NO-IE.EXE
YOU_are_FAT! .TXT.pif
FREE_xxx_sites.TXT.pif
I_am_sorry.DOC.pif
Me_nude.AVI.pif
Sorry_about_yesterday.DOC.pif
Protect_your_credit.HTML.pif
JIMI_HMNDRIX.MP3.pif
HANSON.SCR
FUCKING_WITH_DOGS.SCR
MATRiX_2_is_OUT.SCR
zipped_files.EXE
BLINK_182.MP3.pif

En tant que fichier joint, le ver utilise le fichier WIN32.DLL qui a été supprimé par le composant viral.

Remarque: le ver ne supprime pas le fichier WIN32.DLL, mais utilise ce fichier pour le joindre aux messages envoyés. Ainsi, le "ver pur" n'est pas capable de se propager plus d'une fois: en cours d'exécution sur une machine victime, le ver infectera WSOCK32.DLL, mais ne pourra pas envoyer ses copies plus loin. Pour "résoudre ce problème", le ver envoie sa copie infectée (WIN32.DLL est un composant de ver infecté par un composant viral, voir ci-dessus).

La modification de ver connue a un bug dans sa routine d'étalement et dans de nombreux cas, le serveur de messagerie ne parvient pas à recevoir les messages affectés de la machine infectée. Malgré cela si le système dispose d'une connexion d'accès à distance, ou si le serveur de messagerie est assez rapide, le ver envoie ses copies sans problème.

Porte de derrière

En cours d'exécution, un composant Backdoor crée une nouvelle clé dans le registre système indiquant que la machine est déjà infectée:

HKLMSoftware [MATRIX]

Dans le cas où cette clé existe, la porte dérobée ignore la procédure d'installation. Sinon, il s'enregistre dans la section d'exécution automatique:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
SystemBackup =% WinDir% MTX_.EXE

où% WinDir% est le répertoire Windows.

La porte dérobée reste ensuite active dans Windows en tant qu'application cachée (service) et exécute une routine qui se connecte à un serveur Internet, obtient des fichiers à partir de là et les génère dans le système. Ainsi, la porte dérobée peut infecter le système avec d'autres virus ou installer des programmes de Troie ou des backdoors plus fonctionnels.

Ce composant dans la version du virus connu a également un bogue qui provoque un message Windows standard sur une erreur dans l'application lorsqu'une porte dérobée tente d'accéder à un site Internet.