| ウイルス名 | PE_MTX.A |
| 別名 | I-WORM.MTX、WORM_MTX.A、MATRIX、MTX.A、WORM_MTX.A、W32/Apology-B |
| ウイルス種類 | ファイル感染型 |
| プラットフォーム | Windows 9x |
| 暗号化 | No |
| ウイルスサイズ | 18483バイト |
| 発見日 | 2000年9月上旬 |
| 遭遇の可能性 | 高い |
| 対応パターンファイル | 763 |
| 発病条件 | ファイル実行時 |
| 破壊活動 1 | ファイルを作成する |
| 破壊活動 2 | ファイルを変更する |
| 詳細 | 32bit形式実行可能ファイル(PE形式)感染型ファイル感染型ウイルスです。感染活動時にバックドア型ハッキングツールとe-mailを通じて自分のコピーをばらまくワーム型不正プログラムの2種の不正プログラムをマシンにインストールします。このように活動の際に別の不正プログラムを作成するような活動を一般的に「ウイルスドロッパー」と呼びます。特にこのウイルスはウイルスがドロップする不正プログラムとウイルス自身が複雑に連携して活動を行うため、混乱を招きやすいものといえます。 このウイルスが作成する2種の不正プログラムは双方とも「WORM_MTX.A」のウイルス名で検出されます。 活動: ウイルス感染ファイルが起動されると大きく分けて、 1)感染活動 2)ハッキングツール活動 3)ワーム活動 の3種の活動を行います。 1)感染活動 Windowsフォルダと感染ファイルが起動されたカレントフォルダにあるPE形式のEXEファイルに感染します。 2)ハッキングツールのインストール Windowsフォルダ(通常c: \Windows)に“MTX_.EXE”ファイルを隠し属性で作成し起動します。この“MTX_.EXE”は「WORM_MTX.A」のハッキングツール側プログラムの実体です。 “MTX_.EXEのファイルサイズは6144バイトで、起動されるとWindowsのレジストリに以下のレジストリキーがないか検索します。 場所:HKEY_LOCAL_MACHINE \Software \[MATRIX] このキーがなかった場合、このキーを作成したあと続いて以下のレジストリキーも追加します。 場所:HKEY_LOCAL_MACHINE \Software \Microsoft \Windows \Currentversion \Run 値 :SystemBackup = <起動されたカレントフォルダのパス> \<ファイル名> 例:WindowsフォルダでMTX_.EXEが起動された場合 SystemBackup = C: \WINDOWS \MTX_.exe このレジストリ設定により、Windows起動時にハッキングツールが自動起動されるようになります。 つまり、[MATRIX]のレジストリキーはハッキングツールがすでにシステム改変を行っていることを示すフラグです。このキーがあった場合は自動起動設定は行いません。 その後、ハッキングツールはシステムに常駐し、ウイルス作者が指定したWebサイトからプラグインをダウンロードし、自らにインストールしようとします。しかし、ウイルスの不具合のためかこの活動は成功しません。したがってこのハッキングツールによる直接的な被害の心配はありません。 3)ワームプログラムのインストール: Windowsフォルダ(初期設定ではc: \Windows)に“IE_PACK.EXE”、“WIN32.DLL”の2つのファイルを隠し属性で作成し“IE_PACK.EXE”を起動します。この2つのファイルはウイルスコードのコピーであり、具体的には「WORM_MTX.A」のワーム側プログラムに「PE_MTX.A」が感染した状態のものです。したがって、結果的には「WORM_MTX.A」のワーム部分が起動されることになります。 「WORM_MTX.A」ワームは起動されると以下の手順でシステム改変を行います。 a. Windowsのネットワーク関連のシステムファイルである“WSOCK32.DLL”を“WSOCK32.MTX”にコピーします。 b. “WSOCK32.MTX”をワームプログラムのコードで改変します。 c. WindowsフォルダにWindowsの設定ファイルである“WININIT.INI”を作成します。 d.“WININIT.INI”内の記述により、次回Windows起動時に“WSOCK32.DLL”を削除し、“WSOCK32.MTX”を“WSOCK32.DLL”にリネームします。 つまり“WSOCK32.DLL”を“WSOCK32.MTX”で入れ替えてしまうわけです。この改変が終了すると、“WSOCK32.MTX”は“WSOCK32.DLL”にリネームされるので見た目上ローカルドライブからなくなったように見えます。また、“wininit.ini”は使用されるとWindowsの仕様により“wininit.bak”にリネームされます。 改変された“WSOCK32.DLL”(実体は“WSOCK32.MTX”)はメール送信をはじめとするネットワークの通信を監視し、ワーム活動を行います。SMTPのe-mailが送信されると同時にウイルスファイルを添付した空のメールを同じ宛先に送信します。WSOCK32.DLLを利用するこのメールへのファイル添付方法は、以前流行したワーム「WORM_SKA」(通称:Happy99)と同様の方法です。 ワームが送信する添付ファイルは「WORM_MTX.A」ウイルスが作成する“WIN32.DLL”をリネームしたものです。したがってワームのみで起動された場合には“WIN32.DLL”が作成されないのでファイルを添付できず、ワーム活動は行えません。メールに添付されるファイルのファイル名は以下のファイル名からランダムに決められます。 README.TXT.pif、I_wanna_see_YOU.TXT.pif、MATRiX_Screen_Saver.SCR、LOVE_LETTER_FOR_YOU.TXT.pif、NEW_playboy_Screen_saver.SCR、BILL_GATES_PIECE.JPG.pif、TIAZINHA.JPG.pif、FEITICEIRA_NUA.JPG.pif、Geocities_Free_sites.TXT.pif、NEW_NAPSTER_site.TXT.pif、METALLICA_SONG.MP3.pif、ANTI_CIH.EXE、INTERNET_SECURITY_FORUM.DOC.pif、ALANIS_Screen_Saver.SCR、READER_DIGEST_LETTER.TXT.pif、WIN_$100_NOW.DOC.pif、IS_LINUX_GOOD_ENOUGH!.TXT.pif、QI_TEST.EXE、AVP_Updates.EXE、SEICHO-NO-IE.EXE、YOU_are_FAT!.TXT.pif、FREE_xxx_sites.TXT.pif、I_am_sorry.DOC.pif、Me_nude.AVI.pif、Sorry_about_yesterday.DOC.pif、Protect_your_credit.HTML.pif、 JIMI_HMNDRIX.MP3.pif、HANSON.SCR、FUCKING_WITH_DOGS.SCR、MATRiX_2_is_OUT.SCR、zipped_files.EXE、BLINK_182.MP3.pif また、ワームである“WSOCK32.DLL”は特定の文字列を含むURLへのネットワークアクセス(メール送信、Webページ閲覧、ダウンロードなど)を妨害します。
NII、nai、avp、AVP、f-se、F-Se、mapl、pand、soph、ndmi、afee、yenn、lywa、tbav、yman ※以下の文字列を含むメールサーバへの送信が不可能になります。
|
| 備考 | このウイルスは新しい感染方法である「Entry-point-obscuring」を使用した初めてのウイルスと思われます。「Entry-point-obscuring」とはこれまでのウイルスで行われていたようなエントリポイントやファイルヘッダ情報の変更を行わずに感染できる方法です。従来のウイルスとは異なる感染方法のため、検出のためにはより高度な技術が必要となります。ただし、この感染方法のために「PE_MTX.A」のウイルス活動自体が不安定であり、感染対象のファイルによって上記活動の一部、または全部が行えない場合もあります。 --- ウイルスコード内に以下の文字列を含みます: “Software provide by [MATRiX] VX team Ultras, Mort, Nbk, Lord Dark, Del_Armg0,Anaktos All VX guy in #virus channel and Vecna” --- 「PE_MTX.A」は駆除が行えますが「WORM_MTX.A」は一個のプログラムなので駆除は行えません。ファイルごと削除してください。ウイルスを実行してしまいシステムが改変されてしまった場合には以下の方法で修復する必要があります。 ・手動削除手順: 1)「PE_MTX.A」の検出をすべて駆除してください。 ただし、メールの添付ファイルとウイルスが作成する“IE_PACK.EXE”、“WIN32.DLL”の2つのファイルはもともと「WORM_MTX.A」ワームにウイルス感染しているものですので、駆除しても失敗し「WORM_MTX.A」になるだけです。単純にファイル削除してください。 2)不正プログラムの自動起動設定を削除します。 Windowsのレジストリエディタ(regedit.exe)などを使用して以下のレジストリキーを削除してください。 場所:HKEY_LOCAL_MACHINE \Software \Microsoft \Windows \Currentversion \Run 値 : SystemBackup = c: \windows \MTX_.EXE 3)Windowsの検索機能で“wininit.ini”ファイルを検索し、削除してください。この場合、WORM_MTX.Aがまだ実行されたいない証拠なので、wsock32.MTXを検索し、削除してください。すでにウイルス活動後に再起動してしまっていた場合、このファイルはない場合があります。存在しない場合にはこの手順を行う必要はありません。 4)コンピュータを再起動し、「WORM_MTX.A」名で発見したファイルをすべて削除してください。 このうち、ウイルスが置き換える“WSOCK32.DLL”はWindowsが使用するファイルのため削除できない場合があります。その場合はDOS、もしくはWindowsのSafeモードでコンピュータを起動して削除してください。 なお、“WSOCK32.DLL”はWindowsのネットワーク接続に使用されるシステムファイルですので削除したままですとネットワーク使用時にエラーが発生し、ネットワーク接続できなくなります。Windowsのシステムファイルの修復方法はWindowsの製造元であるマイクロソフトまでお問い合わせください。基本的にはWindowsの再インストールやWindows 98の「システムファイルチェッカー」機能により修復できるようです。 |
|
Copyright (c) 1999-2001 Trend Micro Incorporated. All Rights Reserved. |
