| 対策Webトップ |
| PE_MTX.Aとは |
| 詳細情報 |
| 発見方法 |
| 手動削除方法 |
| 駆除/修復方法 |
| FAQ |
PE_MTX.A FAQ
PE_MTX.およびその亜種に関する質問でよくあるものをまとめました。
A. 感染すると他のPE形式(32bit形式実行可能ファイル)のファイルに感染するほか、ウイルスファイルをメールに添付して自動的に送信するしたり特定のWebページを表示できなくするなどの活動を行います。くわしくはウイルス詳細情報をご覧ください。
Q. ウイルスに感染すると、ウイルスファイル付きのメールはいつ送信されるのですか?
A. 「PE_MTX.A」はWindowsのネットワーク関係をつかさどるファイルであるWSOCK32.DLLを書き換えることによりメール送信を監視します。そしてメールが送信されるとその同じ宛先に続けてウイルスファイルを添付したメールを送信します。 これは有名なHAPPY99(TROJ_SKA)と同じ方法です。
Lotus Notesを利用した社内メールなど、送信にWSOCK32.DLLを使用しない製品を使用した場合は、ウイルスファイルを添付したメールが送信されることはありません。
Q. ウイルスファイル付きのメールは、メールソフトのアドレス帳に登録されているすべての宛先に送信されるのですか?
A. 有名なラブレターウイルス(VBS_LOVELETTER)はOutlookのアドレス帳に書かれている宛先に自動的に送信しますが、PE_MTX.Aは違います。 ある宛先にメールを送信した場合に、その宛先に続けて別のメールとしてウイルスファイルの添付されたメールを送信します。
このため、ウイルスに感染したことに気づきにくく、またウイルスを送られてきた人も不信感を抱かずにファイルを実行してしまいがちです。
Q. 送られてきたメールの添付ファイルを開かなければこのウイルスには感染しないのですか?
A. 添付されたウイルスファイルを実行しなければウイルスに感染することはありません。あわてずにメールごと削除してください。
Q. メールに添付されるウイルスのファイル名はどのような名前ですか?
A. メールに添付されるファイルのファイル名は以下のファイル名からシステムの日付をもとに決められます。
README.TXT.pif I_wanna_see_YOU.TXT.pif MATRiX_Screen_Saver.SCR LOVE_LETTER_FOR_YOU.TXT.pif NEW_playboy_Screen_saver.SCR BILL_GATES_PIECE.JPG.pif TIAZINHA.JPG.pif FEITICEIRA_NUA.JPG.pif Geocities_Free_sites.TXT.pif NEW_NAPSTER_site.TXT.pif METALLICA_SONG.MP3.pif ANTI_CIH.EXE INTERNET_SECURITY_FORUM.DOC.pif ALANIS_Screen_Saver.SCR READER_DIGEST_LETTER.TXT.pif WIN_$100_NOW.DOC.pif IS_LINUX_GOOD_ENOUGH!.TXT.pif QI_TEST.EXE AVP_Updates.EXE SEICHO-NO-IE.EXE YOU_are_FAT!.TXT.pif FREE_xxx_sites.TXT.pif I_am_sorry.DOC.pif Me_nude.AVI.pif Sorry_about_yesterday.DOC.pif Protect_your_credit.HTML.pif JIMI_HMNDRIX.MP3.pif HANSON.SCR FUCKING_WITH_DOGS.SCR MATRiX_2_is_OUT.SCR zipped_files.EXE BLINK_182.MP3.pif
Q. ウイルスに感染したようなのでトレンドマイクロのWebを見ようと思ったのですが、アクセスできません
A. ウイルスに感染するとその活動のひとつとして特定のWebサイトへのアクセスを妨害します。
実際には、アドレスの名前に次のような文字が含まれているWebサイトへのアクセスが妨害されます。nii. nai. avp. f-se mapl pand soph ndmi トレンドマイクロのWebサイトの名前(trendmicro)もこれに該当してしまうため、アクセスができなくなってしまいます。 この場合、WebサイトのIPアドレスを直接指定するような方法であればアクセスは可能です。
afee yenn lywa tbav yman
A. 「PE_MTX.A」を発見するためにはパターンファイル763以上が必要です。ウイルスバスター2001の体験版および製品版では、バージョンによってパターンファイルが762以下であるかのうせいがあります。その場合はパターンファイルを763以上に更新することで発見・駆除できます。
現在、トレンドマイクロのWebで公開しているウイルスバスター2001の体験版は「PE_MTX.A」に対応したものになっています。こちらからもダウンロードができます。
Q. ウイルスバスターのオンライン登録やパターンファイルなどのアップデートに失敗してしまいますが、ウイルスのせいでしょうか?
A. 「PE_MTX.A」の活動のひとつとして特定のWebサイト(ウイルス対策ソフトメーカーのサイトなどが対象)へのアクセスを妨害します。インターネットからのパターンファイルダウンロードではトレンドマイクロのWebサイトにアクセスする必要がありますが、この動作がウイルスによって妨害されてしまうため、ダウンロードに失敗してしまいます。この場合パターンファイルを別の方法により入手する必要があります。
A. 「PE_MTX.A」は駆除できますが、「TROJ_MTX.A」は既存ファイルに感染しているわけではなく単独で動作するプログラムであるため駆除作業を行うことはできません。「TROJ_MTX.A」を発見した場合、そのファイルは不必要なファイルですので削除してください。
Q. 「TROJ_MTX.A」で発見されたファイルすべてを削除したところ、Windowsが起動できなくなりました。
A. ウイルスは、WindowsのファイルであるWSOCK32.DLLを改変しますが、改変後のファイルは「TROJ_MTX.A」で発見されます。 このファイルはウイルスファイルが添付されたメールが送信されてしまう原因となっているファイルであり、削除する必要がありますが、正常なWSOCK32.DLLはすでに削除されてしまっています。
WSOCK32.DLLはネットワークに接続するために使用される重要なシステムファイルですので、WSOCK32.DLLが存在しない状態ではネットワークに接続できません。 WSOCK32.DLLを復旧するにはWindowsのCD-ROMに入っているものをコピーするなどの方法がありますが、詳細についてはマイクロソフト社までお問い合わせください。
Q. ウイルスバスターの手動検索では発見されるのですがリアルタイム検索では発見されないファイルがあります。
A. 手動検索では初期設定ですべてのファイルが検索対象となっていますが、リアルタイム検索では特定の拡張子のファイルを検索するようになっています。「PE_MTX.A」は、ウイルスがメールに添付して送信する感染ファイルに、拡張子がSCRやPIFのものがあります。リアルタイム検索では、バージョンによってSCRやPIFが検索対象となっていない場合があります。 リアルタイム検索の検索対象を「すべてのファイル」とするか、検索対象にSCR、PIFを追加することで、発見できるようになります。
Q. 「PE_MTX.A」と「TROJ_MTX.A」が発見されました。これらはどう違うのでしょうか?
A. 「TROJ_MTX.A」は「PE_MTX.A」が作成したファイルから発見される名前です。既存ファイルが感染したものは「PE_MTX.A」で発見され、ウイルスバスターでの駆除が可能です。「TROJ_MTX.A」はウイルスが作成したファイルで駆除はできません。不必要なファイルなので削除してください。
Q. パターンファイル763以上で対応とありますが、検索エンジンの対応バージョンを教えてください。
A. VSAPI5.00以上であれば問題なく発見・駆除可能です。
Q. 「PE_MTX.A」に感染したところ、WindowsフォルダにIE_PACK.EXEとWIN32.DLLというファイルが作成されました。これらはどのようなファイルですか?
A. 「PE_MTX.A」が実行されるとWindowsフォルダにIE_PACK.EXEとWIN32.DLLというファイルを作成します。「PE_MTX.A」がウイルスファイルを添付したメールを送信する際には、このWIN32.DLLをリネームして添付しています。IE_PACK.EXEとWIN32.DLLは「TROJ_MTX.A」のプログラムに「PE_MTX.A」が感染したような状態となっています。
A. これらのファイルは「TROJ_MTX.A」のファイルに「PE_MTX.A」が感染したような形態となっています。この場合、まず「PE_MTX.A」として駆除しますが、駆除後には「TROJ_MTX.A」のファイルが残ります。ウイルスバスターでは多重感染のウイルスに備えて一度駆除したファイルを続けて検索し、さらに処理を行う機能があります。そのため「PE_MTX.A」に対して駆除処理をしたあと、続けて「TROJ_MTX.A」として発見し処理しようとしますが、「TROJ_MTX.A」は駆除不可能なため、結果的に駆除に失敗したという表示となります。
Q. 「PE_MTX.A」を発見し駆除しましたが、駆除後のファイルから「TROJ_MTX.A」が発見されました。どういうことですか?
A. メールに添付されてくるウイルスファイルは、「TROJ_MTX.A」に「PE_MTX.A」が感染しているような状態になっています。そのためこのファイルを「PE_MTX.A」として駆除すると、駆除後のファイルとして「TROJ_MTX.A」のファイルが残ります。
トレンドマイクロの製品は、多重感染ファイルを検索する機能を持っているものがあります。その際は駆除したファイルに対して自動的に再度検索を行います。今回の場合、「PE_MTX.A」駆除後の検索で「TROJ_MTX.A」を発見しさらに駆除しようとしますが、「TROJ_MTX.A」は駆除ができないため駆除処理に失敗します。そのため検索結果としては「PE_MTX.A」を発見し、駆除に失敗となります(駆除失敗時の2次処理が選択されている場合はその処理が行われます)。
多重感染ファイルを検索する機能を持っていない一部の製品では最初に発見する「PE_MTX.A」の駆除のみで処理が終わってしまうため、駆除後のファイルとして「TROJ_MTX.A」のファイルが残ります。
各製品の多重感染ファイル検索機能の有無は以下のとおりです(すべて最新バージョンでの情報です)。
●多重感染ファイル検索機能がある製品
ウイルスバスター98
ウイルスバスター2000
ウイルスバスター2001
ウイルスバスター コーポレートエディション 3.5
ServerProtect for Windows NT 4.8
ServerProtect 5
InterScan for Microsoft Exchange
InterScan for Lotus Notes
(Windows NT版 ver.2.04+Patch2以降、AS/400版 ver.1.9以降、UNIX版 Ver.1.91+修正パッチ)
InterScan VirusWall for Windows NT
InterScan VirusWall
(UNIX版 多重感染ファイル対応 HotFix プログラム適用時)
Q. InterScan for Lotus Notesを利用しています。手動検索やリアルタイム検索では「PE_MTX.A」を発見できますが、メール検索では発見できません。
A. InterScan for Lotus NotesのSolaris版、AIX版でメール検索のみPE_MTX.Aを検出できないという問題が確認されました。
Solaris版、AIX版ともにすでに修正モジュールが作成されていますので、発見するためには修正モジュールを適用してください。
なお、WindowsNT版とAS/400版では、検索エンジンとパターンファイルが「PE_MTX.A」に対応していればメール検索でも発見に問題はありません。
|
Copyright (c) 1999-2001 Trend Micro Incorporated. All Rights Reserved. |
