Email-Worm.Win32.MTX

技術的な詳細

これはWin32システムで広まっているウイルスワームです。このウイルスは、Win32実行可能ファイルに感染し、感染した添付ファイルで電子メールメッセージを送信しようとします。また、影響を受けるシステム上で「プラグイン」をダウンロードして生成するバックドアコンポーネントをインストールします。ワームは、2000年9月〜10月に世界的な流行を引き起こしました。

このウイルスは珍しい構造をしています。スタンドアロンプ​​ログラム（ウイルス、電子メールワーム、バックドア）として実行される3つの異なるコンポーネントで構成されています。このウイルスは主なコンポーネントであり、ワームとバックドアプログラムは圧縮された形でコード内に保持されます。システムに感染すると、ウイルスはそれらを抽出して生成します。

ウイルス構造

 �===============  - 
 virusウイルス� - >は、システムにWormとBackdoorをインストールし、
  �インストール�はWin32実行可能ファイルを見つけて感染させます
  �と感染
  �ルーチン� 
  �---------------
  �ワームコード� - >がファイルに展開され、スタンドアロンプ​​ログラムとして実行されます
  �（圧縮）� 
  �---------------
  �バックドアコード� - >がファイルに展開され、スタンドアロンプ​​ログラムとして実行されます
  �（圧縮する）
 L ===============  - 

感染したEXEファイル

  �===============  - 
  �ファイルコード
  �とデータ
  �� 
  �===============� 
  �ウイルスコード：
  �---------------
  ��インストール
  ��と感染
  �+ ------------- +
  ��ワーム
  �+ ------------- +
  ��バックドア
  �L--------------
 L ===============  - 

ワームコードには、感染した電子メールメッセージの添付ファイルとして送信される、システムに感染するための必要なルーチンがすべて含まれているわけではありません（下記参照）。ワームは、ウイルスコンポーネントから "ヘルプ"を必要とし、ウイルスに感染して送信されます（ワームファイルはウイルスによって通常のファイルとして感染して送信されます）。そのような方法の理由は不明であるが、おそらくコンポーネントは異なる人々によって書かれている。

Virusコンポーネントには、次のテキスト文字列が含まれています。

SABI�.bViRuS
[MATRiX] VX Teamが提供するソフトウェア：Ultras、Mort、Nbk、LOrd DArk、Del_Armg0、Anaktos
Greetz：#virusとVecnaのすべてのVX男
で私たちを訪問：
http://www.coderz.net/matrix

ワームコンポーネントには、次のテキスト文字列が含まれています。

[MATRiX] VXチームが提供するソフトウェア：
ウルトラ、モート、Nbk、LOrd DArk、Del_Armg0、Anaktos
グレッツ：
#VirusチャンネルとVecnaのすべてのVX男
訪問：www.coderz.net/matrix

バックドアには次のテキストが含まれています。

[MATRiX]チームが提供するソフトウェア：
ウルトラ、モート、Nbk、LOrd DArk、Del_Armg0、Anaktos
グレッツ：
Vecna 4ソースコードとアイデア

ウイルスコンポーネント

このウイルスは、ファイルに感染する際に「Entry Point Obscuring」テクノロジを使用します。つまり、ウイルスはそのエントリーコードでファイルに影響を与えませんが、ファイルコードセクションの途中に "Jump Virus"命令を置き、検出と駆除手順をより複雑にします。結果として、対応する影響を受けたプログラムのブランチが制御を受け取った場合にのみ、ウイルスがアクティブになります。

ウイルスは暗号化されているため、まずコードが制御権を得たときに自身を復号化します。その後、ウィルスは、Win32カーネルをスキャンして、必要なWin32 API関数を探します。これを行うために、ウイルスはWin9x、WinNTおよびWin2000アドレスを試します。

このウイルスは、システム内でアクティブなウイルス対策プログラムを検索し、いずれかが検出された場合に終了します。ウイルスが注意を払うウイルス対策プログラムの一覧は、次のようになります。

AntiViral Toolkit Pro
AVPモニター
Vsstat
Webscanx
Avconsol
McAfee VirusScan
Vshwin32
McAfee VirusScan Central

次に、ウイルスはそのコンポーネントをシステムにインストールします。それらは解凍されてWindowsディレクトリにインストールされ、次に生成されます。 3つのファイルが作成され、隠し属性セットと以下の名前があります。

IE_PACK.EXE – 純粋なワームコード
WIN32.DLL – ウイルスに感染したワームコード（上記の "感染ファイル"として）
MTX_.EXE – バックドアコード

ウイルスは、Win32実行可能なPE EXEファイルを現在、一時、およびWindowsディレクトリに感染させて終了します。

ワーム

感染したメッセージを送信するために、このワームは「ハッピー」インターネットワーム（別名Happy99、SKA）に初めて発見された技術を使用しています。

このワームは、WindowsシステムディレクトリのWSOCK32.DLLファイルに影響します。コードの構成要素をファイルの末尾に追加し、WSOCK32.DLLルーチンを「送信」します。その結果、ワームは影響を受けるコンピュータからインターネットに送信されるすべてのデータを監視します。

通常、WSOCK32.DLLファイルはワームの起動時に使用されており、書き込み用にロックされています。これを回避するために、ワームはWSOCK32.MTX名で元のWSOCK32.DLLのコピーを作成し、そのコピーに影響を与え、WININIT.INIファイルに "元のファイルを感染ファイルに置き換える"

NUL = C：WINDOWSSYSTEMWSOCK32.DLL
C：WINDOWSSYSTEMWSOCK32.DLL = D：WINDOWSSYSTEMWSOCK32.MTX

「C：WINDOWSSYSTEM」はWindowsのシステムディレクトリの名前で、インストールされているWindowsディレクトリの名前によって異なる場合があります。

次の再起動時に、感染したWSOCK32が元のウイルスを置き換え、感染したマシンから送信されたデータにアクセスします。ワームは、訪問されたインターネットサイト（Web、ftp）とコンピュータから送信された電子メールメッセージに注意を払います。

このウイルスの非常に目に見える動作は、複数のインターネットサイトを訪問する機能を阻止するとともに、同じドメイン（アンチウィルスドメイン名）にメッセージを送信する機能を無効にするためです。ウイルスは、以下のように4文字の組み合わせで検出します。

nii。
ナイ。
avp。
f-se
マープル
パン
洗練
ndmi
料金
イェン
リワ
tbav
イマン

ワームは、これらのドメインへの電子メールメッセージの送信も許可しません。

wildlist.o *
il.esafe.c *
完璧な*
complex.is *
HiServ.com *
hiserv.com *
metro.ch *
beyond.com *
mcafee.com *
pandasoftw *
アースリンク*
inexar.com *
comkom.co。*
瞑想。*
mabex.com *
cellco.com *
symantec.c *
成功*
inforamp.n *
newell.com *
singnet.co *
bmcd.com.a *
bca.com.nz *
トレンドマイクロ*
sophos.com *
maple.com。*
netsales.n *
f-secure.c *

ワームは、送信された電子メールメッセージを傍受し、感染した添付ファイルを含む重複したメッセージを同じアドレスに送信しようとします（「ハッピー」ワームと同じです）。結果として、犠牲者アドレスは2つのメッセージを受け取るはずです。最初は、送信者によって書き込まれた元のメッセージです。次に、空の件名とテキスト、および現在の日付に応じてワームによって選択された名前の1つを持つ添付ファイルを含むメッセージが表示されます。

README.TXT.pif
I_wanna_see_YOU.TXT.pif
MATRiX_Screen_Saver.SCR
LOVE_LETTER_FOR_YOU.TXT.pif
NEW_playboy_Screen_saver.SCR
BILL_GATES_PIECE.JPG.pif
TIAZINHA.JPG.pif
FEITICEIRA_NUA.JPG.pif
Geocities_Free_sites.TXT.pif
NEW_NAPSTER_site.TXT.pif
METALLICA_SONG.MP3.pif
ANTI_CIH.EXE
INTERNET_SECURITY_FORUM.DOC.pif
ALANIS_Screen_Saver.SCR
READER_DIGEST_LETTER.TXT.pif
WIN_ $ 100_NOW.DOC.pif
IS_LINUX_GOOD_ENOUGH！.TXT.pif
QI_TEST.EXE
AVP_Updates.EXE
SEICHO-NO-IE.EXE
YOU_are_FAT！.TXT.pif
FREE_xxx_sites.TXT.pif
I_am_sorry.DOC.pif
Me_nude.AVI.pif
Sorry_about_yesterday.DOC.pif
Protect_your_credit.HTML.pif
JIMI_HMNDRIX.MP3.pif
HANSON.SCR
FUCKING_WITH_DOGS.SCR
MATRiX_2_is_OUT.SCR
zipped_files.EXE
BLINK_182.MP3.pif

添付ファイルとして、ワームはウイルスコンポーネントによって削除されたWIN32.DLLファイルを使用します。

注意：ワームはWIN32.DLLファイルを削除しませんが、そのファイルを使用して送信されたメッセージに添付します。したがって、「純粋なワーム」は1回以上感染することはできません。被害者マシンで実行されると、ワームはWSOCK32.DLLに感染しますが、そのコピーをさらに送信することはできません。ワームは、この問題を「修正する」ために、感染したコピーを送信します（WIN32.DLLはウイルスコンポーネントに感染したワームコンポーネントです、上記参照）。

既知のワームの改変には、その普及過程にバグがあり、多くの場合、感染したマシンから影響を受けるメッセージを受信できない場合があります。それにもかかわらず、システムにダイヤルアップ接続がある場合、またはメールサーバーが十分に速い場合、ワームは問題なくコピーを送信します。

バックドア

実行中、Backdoorコンポーネントは、マシンがすでに感染していることを示す新しいレジストリキーをシステムレジストリに作成します。

HKLMSoftware [MATRIX]

このキーが存在する場合、バックドアはインストール手順をスキップします。それ以外の場合は、自動実行セクションに自身を登録します。

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
SystemBackup =％WinDir％MTX_.EXE

％WinDir％はWindowsディレクトリです。

バックドアは、隠されたアプリケーション（サービス）としてWindowsでアクティブのままで、一部のインターネットサーバーに接続し、そこからファイルを取得し、システムにそれらを生成するルーチンを実行します。そのため、バックドアはシステムに他のウイルスを感染させたり、トロイの木馬プログラムやより機能的なバックドアをインストールすることができます。

既知のウイルスバージョンのこのコンポーネントには、バックドアがインターネットサイトにアクセスしようとしたときに、アプリケーションのエラーに関するWindowsメッセージを標準で発生させるバグもあります。