Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

PE_MTX_II.A. La amabilidad hecha virus
 
VSantivirus No. 428 - Año 5 - Domingo 9 de setiembre de 2001

Nombre: PE_MTX_II.A
Tipo: Infector de archivos
Alias: MTX_II.A, TROJ_MTX_II.DLL, PALM_MTX_II.A

Aunque no es nuevo que existan cosas que siempre nos van a sorprender en el mundo de los virus, ésta en especial, se lleva un premio.

El MTX original es un infector de archivos de 32bit de formato PE (ejecutables de Windows 9x y NT) que modifica el archivo WSOCK32.DLL para poder enviarse a través del correo electrónico como adjunto, y constituye una combinación de virus, gusano y trojan con características de backdoor.

Esta versión, también infecta archivos en formato PE, modifica el archivo WSOCK32.DLL y posee un troyano y un virus de Palm incluidos. Pero también posee una insólita característica: pide educadamente, el permiso para infectar archivos.

¿Broma o solo prueba de un código que luego, modificado podría causar más daños?.

Evidentemente, bajo estas condiciones, las características del virus lo hacen poco probable se propague tanto como otros, pero es interesante tenerlo en cuenta.

Es como decíamos, un infector de archivos PE de características polimórficas, que posee la particularidad además, de incluir un componente troyano, otro del tipo gusano, y otro que infecta plataformas Palm.

Además, despliega mensajes tanto antes como después de infectar archivos.

* PE_MTX_II.A

El componente PE_MTX_II.A, es el que infecta archivos, propagando copias de si mismo vía e-mail (gusano), y liberando además una aplicación Palm.

Cuando se ejecuta, el virus le pregunta al usuario si desea infectar un determinado archivo, o si desea infectar otros archivos continuamente.

El virus principal no está encriptado, y se copia a si mismo al directorio System de Windows, en un archivo con un nombre elegido al azar y con la extensión .DLL.

Cuando se ejecuta un archivo infectado, el virus extrae la porción de su propio código incluida en el archivo que se ejecutó, y la guarda en la carpeta System, grabándola con un nombre al azar y con la extensión .TMP.

Luego, crea un proceso separado y permite que se ejecute el archivo original.

Después de todo esto, el propio virus informa al usuario que ha creado una copia del virus con un nombre al azar, y despliega este mensaje:

THIS IS THE CURRENT VIRUS FILE NAME: 

C:\WINDOWS\SYSTEM\[nombre al azar].DLL

Luego busca en el disco duro los archivos WS2_32.DLL y WSOCK32.DLL, y le pregunta al usuario si desea infectar esos archivos:

CAN I TRY TO INFECT THIS FILE?

C:\WINDOWS\SYSTEM\WS2_32.DLL 
[    Aceptar    ]             [   Cancelar   ]

Si el usuario pincha en ACEPTAR, procede a infectar el archivo indicado. De lo contrario lo ignora.

Si lo infecta, el virus también crea un respaldo del archivo con la extensión ".---".

Luego, modifica las funciones RECV, SEND, y CONNECT de WSOCK32.DLL, para que apunten al código del virus.

En caso de haber infectado el archivo, entonces después de ello, el virus muestra el siguiente mensaje indicando que ha creado un respaldo del archivo infectado:

THIS FILE WAS INFECTED:

C:\WINDOWS\SYSTEM\WS2_32.---

El archivo infectado es detectado como TROJ_MTX_II.DLL.

El virus también carga la librería IMAGEHLP.DLL para usar la función SearchTreeForFile API, para buscar los siguientes archivos con la intención de infectarlos:

NAPSTER.EXE 
WINZIP32.EXE 
EUDORA.EXE 
WINRAR.EXE 
W32DSM89.EXE 
WZSEPE32.EXE 
WSCRIPT.EXE 
ICQ.EXE

La lista debe ser tomada como referencia, ya que cualquiera puede modificar estos archivos para infectar también otros.

El virus no infecta archivos menores a los 8,192 bytes (#2000 en hexadecimal), o más grandes de 9,437,184 Bytes (#900000).

Tampoco infecta archivos que contengan cualquiera de las siguientes secuencias de 2 caracteres en su nombre:

AV
00
VS
RW
VC
GP

Antes de infectar un archivo, el virus examina el primer byte en el punto de entrada del archivo PE a infectar. No infecta este archivo si el primer byte es 9Ch en hexadecimal, que representa una instrucción PUSHF, y tampoco si es 60h, una instrucción PUSHA. De esta manera se asegura no volver a infectar archivos ya infectados.

* TROJ_MTX_II.DLL

Tamaño: 130,891 Bytes

El troyano es generalmente detectado en el archivo WS2_32.--- el cuál es usado por PE_MTX_II.A. Este troyano contiene las llamadas a las APIs SEND y CONNECT y otras que pueden ser encontradas en el archivo WSOCK32.DLL. Las llamadas a estas APIs pueden servir para realizar SPAM (correo no solicitado).

* PALM_MTX_II.A

Alias: SABiA II, MTX
Tamaño: 2,506 Bytes

Es un recurso de Palm (Palm Resource, PRC), liberado por el virus PE_MTX_II.A.

Cuando se ejecuta, muestra una caja de mensajes con agradecimientos a algunos de los escritores de virus más notorios.

También posee una rutina (payload), que al azar despliega gráficos de pequeños rectángulos en la pantalla.

Una vez liberado por PE_MTX_II.A, este archivo PRC queda en el directorio add-on de Palm. PE_MTX_II.A automáticamente sube este archivo a un dispositivo Palm, cuando el usuario de un Palm sincroniza dicho dispositivo a una computadora infectada por PE_MTX_II.A.

El archivo PRC puede mostrar algunos de estos mensajes:

Trojan/W0rm/Palm/W32.
SABiA Second Edition. New Version
Thanx and Greetz: all vx
guy in #vxers, Z0MBiE, mort,
Vecna, Del_Armg0, VirusBuster,.
anaktos, Lord_Dark, Kamaileon,
Nim Bus, Alevirus, PointBat
SABiA II Vesrion 1.1 PalmPlugin
web page:www.matrixvx.org
What is The MATRiX?

Glosario:

Archivos PE (Portable Executable) - Este formato de archivos ejecutables de Windows, recibe el nombre de "portátil" porque puede ser compartido por todos los sistemas operativos de 32 bits. El mismo archivo puede ejecutarse en cualquier versión de Windows 95, 98, Me, NT, y 2000. Todos los archivos de formato PE son ejecutables (las extensiones más conocidas son .EXE, .DLL, .OCX, .SCR y .CPL), pero no todos los ejecutables son portátiles.

API (Application Program Interface). Interfaz de programa de aplicación. Un conjunto de rutinas que un programa de aplicación utiliza para solicitar y efectuar servicios de nivel inferior ejecutados por el sistema operativo de un equipo. También, un conjunto de convención de llamada en programación que definen cómo se debe invocar un servicio a través de la aplicación.


Fuente: Trend Micro
(c) Video Soft - http://www.videosoft.net.uy

 

Copyright 1996-2001 Video Soft BBS