| ウイルス名 | WORM_MTX.A |
| 別名 | I-WORM.MTX, MATRIX, WORM_MTX.B, WORM_MTX.C, WORM_MTX.D, PE_MTX.A, W32/APOLOGY-B |
| ウイルス種類 | トロイの木馬型(ワーム) |
| プラットフォーム | Windows 9x |
| 暗号化 | No |
| ウイルスサイズ | 6144 or 9216 or 44878 バイト |
| 発見日 | 2000年9月上旬 |
| 遭遇の可能性 | 高い |
| 対応パターンファイル | 763以降 |
| 発病条件 | メール送信時 |
| 破壊活動 | メールにファイルを添付する |
| 詳細 | 「PE_MTX.A」ウイルスのウイルスドロッパー活動によりシステムにインストールされる不正プログラムです。ワーム部分とハッキングツール部分があります。ワーム部分はe-mailを通じて自分のコピーをばらまく能力を持っています。くわしくは「PE_MTX.A」の詳細情報をご覧ください。 このワーム自身は他のファイルへの感染活動は行いません。一個のプログラムなので駆除はできません。発見された場合はファイルを削除してください。 活動: 1)ハッキングツール部分 「WORM_MTX.A」ハッキングツールの実体は「PE_MTX.A」によって作成される"MTX_.EXE"ですがファイル名を変更しても動作しますので注意が必要です。ファイルサイズは6144バイトです。起動されるとWindowsのレジストリに以下のレジストリキーがないか検索します: 場所:HKEY_LOCAL_MACHINE \Software \[MATRIX] このキーがなかった場合、このキーを作成したあと続いて以下のレジストリキーも追加します。 場所:HKEY_LOCAL_MACHINE \Software \Microsoft \Windows \Currentversion \Run 値 :SystemBackup = <起動されたカレントディレクトリのパス> \<ファイル名> 例:デスクトップ上でMTX_.EXEが起動された場合 SystemBackup = C: \WINDOWS \デスクトップ \MTX_.exe この設定により、Windows起動時にハッキングツールが自動起動されるようになります。 つまり、[MATRIX]のレジストリキーはハッキングツールがすでにシステム改変を行っていることを示すフラグです。このキーがあった場合は自動起動設定は行いません。 その後、ハッキングツールはシステムに常駐し、ウイルス作者が指定したWebサイトからプラグインをダウンロードし、自らにインストールしようとします。しかし、ウイルスの不具合のためかこの活動は成功しません。したがってこのハッキングツールによる直接的な被害の心配はありません。 2)ワーム部分 「WORM_MTX.A」ワームは起動されると以下の手順でシステム改変を行います。 a. Windowsのネットワーク関連のシステムファイルである“WSOCK32.DLL”を“WSOCK32.MTX”にコピーします。 b. “WSOCK32.MTX”をワームプログラムのコードで改変します。 c. Windowsのシステムフォルダ(通常c: \Windows \system)にWindowsの設定ファイルである“WININIT.INI”を作成します。 d. “WININIT.INI”の設定により、次回Windows起動時に“WSOCK32.DLL”を削除し、“WSOCK32.MTX”を“WSOCK32.DLL”にリネームします。 つまり“WSOCK32.DLL”を“WSOCK32.MTX”で入れ替えてしまうわけです。この改変が終了すると、“WSOCK32.MTX”は“WSOCK32.DLL”にリネームされるので、結果的にコンピュータ上からはなくなります。また“wininit.ini”はWindowsの仕様により“wininit.bak”にリネームされます。 改変された“WSOCK32.DLL”(実体は不正プログラム“WSOCK32.MTX”)はメール送信をはじめとするネットワークの通信を監視し、ワーム活動を行います。SMTPのe-mailが送信されると同時に、ウイルスファイルを添付した空のメールを同じ宛先に送信します。WSOCK32.DLLを利用するこのメールへのファイル添付方法は、かつて流行したワーム「WORM_SKA」(通称:Happy99)と同様の方法です。 ワームが送信する添付ファイルは、「WORM_MTX.A」ウイルスが作成する“WIN32.DLL”をリネームしたものです。したがってワームのみで起動された場合には“WIN32.DLL”が作成されないのでファイルを添付できず、ワーム活動は行えません。メールに添付されるファイルのファイル名は以下のファイル名からシステム日付の条件を元に決められます。 README.TXT.pifまた、ワームである“WSOCK32.DLL”は特定の文字列を含むURLへのネットワークアクセス(メール送信、Webページ閲覧、ダウンロードなど)を以下の条件で妨害します。 以下の文字列を含むURLへのアクセスを妨害: NII、nai、avp、AVP、f-se、F-Se、mapl、pand、soph、ndmi、afee、yenn、lywa、tbav、yman以下の文字列を含むメールサーバへのメール送信を妨害: wildlist.o*、il.esafe.c*、perfectsup*、complex.is*、HiServ.com*、hiserv.com*、metro.ch*、beyond.com*、mcafee.com*、pandasoftw*、earthlink.*、inexar.com*、comkom.co.*、meditrade.*、mabex.com*、cellco.com*、symantec.c*、successful*、inforamp.n*、newell.com*、singnet.co*、bmcd.com.a*、bca.com.nz*、trendmicro*、sophos.com*、maple.com.*、netsales.n*、f-secure.c*、F-Secure.c* |
| 備考 | 不正コード内に以下の文字列を含みます。 "Software provide by [MATRiX] VX team Ultras, Mort, Nbk, Lord Dark, Del_Armg0,Anaktos All VX guy in #virus channel and Vecna" --- 一個のプログラムなので駆除は行えません。ファイルごと削除してください。実行してしまった場合に改変されたシステムは以下の方法で修復する必要があります。 ・手動削除手順: 1)不正プログラムの自動起動設定を削除します。 Windowsのレジストリエディタ(regedit.exe)などを使用して以下のレジストリキーを削除してください。 場所:HKEY_LOCAL_MACHINE \Software \Microsoft \Windows \Currentversion \Run 値 : SystemBackup = c: \windows \MTX_.EXE 2)Windowsの検索機能で"wininit.ini"ファイルを検索し、削除してください。すでにウイルス活動後再起動してしまっていた場合、このファイルはない場合があります。すでに存在しない場合にはこの手順を行う必要はありません。 3)コンピュータを再起動し、ウイルス発見したファイルをすべて駆除もしくは削除してください。 「WORM_MTX.A」名で検出されるファイルはすべて削除してください。 “WSOCK32.DLL”はWindowsが使用するファイルのため削除できない場合があります。その場合はDOS、もしくはWindowsのSafeモードで起動し、削除してください。 「PE_MTX.A」名で検出されるものは駆除が可能ですが、ウイルスが作成する“IE_PACK.EXE”、“WIN32.DLL”の2つのファイルはもともと「WORM_MTX.A」ワームにウイルス感染しているものですので、駆除しても「WORM_MTX.A」になるだけです。駆除に失敗しますので削除してください。 --- なお、“WSOCK32.DLL”はWindowsのネットワーク接続に使用されるシステムファイルですので、削除したままですとネットワーク使用時にエラーが発生し、ネットワーク接続できなくなります。“WSOCK32.DLL”を削除した場合には、Windowsの再インストールを行うなどしてシステムファイルの修復を行ってください。Windows 98の場合、Windowsの「システムファイルチェッカー」機能により修復できる場合があるようです。Windowsのシステムファイルの修復方法は、Windowsの製造元であるマイクロソフトまでお問い合わせください。 |
| 亜種情報 | PE_MTX.A WORM_MTX.B WORM_MTX.C WORM_MTX.D |
|
Copyright (c) 1999-2001 Trend Micro Incorporated. All Rights Reserved. |