Die DEUTSCHEN Trojaner-Seiten
Home
W32/MTX verbreitet sich zunehmend


Der Virus/Worm MTX ist kein "althergebrachter" Virus oder Worm, wie man diese sonst kennt. MTX besteht aus einem Virus, Worm und Backdoor-Trojaner. Die Technik von MTX erinnert recht stark an die des Happy99 -Worm, der seit nun fast zwei Jahren immer wieder sein Unwesen treibt und immer noch sehr häufig in freier Wildbahn anzutreffen ist (auch in abgewandelter Form als Happy2000 bekannt).

Hier eine Kurzbeschreibung von W32/MTX, da eine stark zunehmende Verbreitung zu beobachten ist. Am Ende dieser Meldung sind Links zu weiterführenden Informationen im Web zu finden.

Auch MTX ersetzt die Original WSOCK32.DLL gegen eine "modifizierte", verseuchte Datei. Dieses geschieht allerdings erst bei einem erneuten Systemstart, nachdem das System überhaupt infiziert wurde. Bei der Infektion (also Doppelklick des Dateianhanges) wird dazu ein entsprechender Eintrag in der WININIT.INI angelegt, der so ausschaut:

NUL=C:\WINDOWS\SYSTEM\WSOCK32.DLL
C:\WINDOWS\SYSTEM\WSOCK32.DLL=C:\WINDOWS\SYSTEM\WSOCK32.MTX

MTX verbreitet sich in Form von Attachements. Sobald der Anwender irgendjemand eine E-Mail schreibt und absendet, so schickt der Worm eine Mail ohne Betreff und Text mit einem Dateianhang an den Empfänger. Die Namen der angehängten Datei unterscheiden sich jeweils nach einem entsprechendem Datum:

README.TXT.pif
I_wanna_see_YOU.TXT.pif
MATRiX_Screen_Saver.SCR
LOVE_LETTER_FOR_YOU.TXT.pif
NEW_playboy_Screen_saver.SCR
BILL_GATES_PIECE.JPG.pif
TIAZINHA.JPG.pif
FEITICEIRA_NUA.JPG.pif
Geocities_Free_sites.TXT.pif
NEW_NAPSTER_site.TXT.pif
METALLICA_SONG.MP3.pif
ANTI_CIH.EXE
INTERNET_SECURITY_FORUM.DOC.pif
ALANIS_Screen_Saver.SCR
READER_DIGEST_LETTER.TXT.pif
WIN_$100_NOW.DOC.pif
IS_LINUX_GOOD_ENOUGH!.TXT.pif
QI_TEST.EXE
AVP_Updates.EXE
SEICHO-NO-IE.EXE
YOU_are_FAT!.TXT.pif
FREE_xxx_sites.TXT.pif
I_am_sorry.DOC.pif
Me_nude.AVI.pif
Sorry_about_yesterday.DOC.pif
Protect_your_credit.HTML.pif
JIMI_HMNDRIX.MP3.pif
HANSON.SCR
FUCKING_WITH_DOGS.SCR
MATRiX_2_is_OUT.SCR
zipped_files.EXE
BLINK_182.MP3.pif

Die Endung "PIF" wird durch Windows im Normalfall nicht angezeigt. Daher wird der Anwender vermuten, es handelt sich um eine scheinbar harmlose HTML-Datei. Genau hier ist sicherlich auch der Grund zu finden, warum sich dieser Worm so stark verbreiten konnte. Wird die Endung "PIF" jedoch sehr wohl angezeigt, so macht auch die Tatsache viele Anwender neugierig, da derartige Dateien nicht bekannt sind.

Eigentlich enthalten PIF-Dateien lediglich Informationen über den Start einer DOS-Anwendung unter Windows-Betriebssystemen. Jedoch können hier auch schädliche Codes "eingebettet" werden, wie der MTX-Worm eindrucksvoll unter Beweis stellt.

Hier noch einmal die "Funktionen" bzw. Eigenschaften von MTX kurz im Überblick:

- versendet sich als Attachement per E-Mail (Worm-Funktion)
- installiert einen Backdoor-Trojaner, um später weitere Dateien von entfernten Servern donwzuloaden
- unterbindet den Kontakt zu diversen AntiVirus-Firmen per WWW und E-Mail (scheinbar um sich keine Hilfe holen zu können, als Motiv des Autors)

Hier nun weiterführende Informationen zu MTX, die Herr Ziemann (www.hoax-info.de) sehr ausführlich und verständlich zusammengefasst hat.

Beschreibung:
http://www.tu-berlin.de/www/software/virus/mtx.shtml

Manuelle Entfernung:
http://www.tu-berlin.de/www/software/virus/mtx_removal.shtml


(tt) 27.10.2000