対策Webトップ
マトリックスとは
詳細情報
発見方法
手動削除方法
駆除/修復方法
FAQ



マトリックスとは

マトリックス概要
動作環境
感染方法
ウイルス活動
感染防止対策
ファイルを開いてしまったら…

マトリックス概要
「Entry-point-obscuring」(エントリィ ポイント オブスキュアリング)を使用した32bit形式実行可能ファイル(PE形式)感染型ウイルスです。メールの添付ファイルとして送られてきます。感染活動時には、バックドア型ハッキングツールとe-mailを通じて自分のコピーをばらまくワーム型不正プログラムの2種の不正プログラムをインストールします。このように活動の際に別の不正プログラムを作成するものを「ウイルスドロッパー」と呼んでいます。ワーム活動を行う不正プログラムのほうは、流行したワーム「WORM_SKA.A」(通称:HAPPY99)と同様の方法を用いて感染を広げます。感染すると、特定の文字列を含むURLへのネットワークアクセス(メール送信、Webページ閲覧、ダウンロードなど)ができなくなります。 >>PE_MTX.Aの詳細はこちら

動作環境
 Windows 95/98/Meで動作します(Windows NT/2000やMacでは動作しません)。ワームメールの送信には、直前にSMTPメールを送信していることが条件で、メールソフトの種類は問いません。ただし、SMTPを使用しないメール(Webメールやパソコン通信など)の場合は、ワームメールは送信されません。

感染方法
 メールの添付ファイルとして送られてきます。添付ファイル名は、システムの日にちにより決定されるためバリエーションがあります。送信者から送信されたメールは2通あり、1通は送信者の意志で出された通常のメール、もう1通は添付ファイルのみのメールでタイトルと本文がありません。こちらにウイルスが存在します。この添付ファイルを実行すると感染します。

ウイルス活動
 ウイルス部分とトロイの木馬部分にモジュールが分かれており非常に複雑な活動しますが、大きく分けて、
1)感染活動――カレントフォルダとWindowsフォルダのEXEファイルに感染する
2)ワーム活動――WSOCK32.DLLを置き換えウイルスを添付したメールを送信する
3)ハッキング活動――ハッキングツールの自動起動設定を行う
の3種類の活動を行います。

  1. 感染活動
    Windowsフォルダ(通常:\Windows)と感染ファイルが起動されたカレントフォルダにあるPE形式のEXEファイルに感染します。

  2. ワーム活動
    Windowsフォルダに「IE_PACK.EXE」と「WIN32.DLL」の2つのファイルを隠しファイルとして作成します。その後、ネットワーク接続に必要な「WSOCK32.DLL」ファイルを書き換え、ネットワークの通信を監視します。メールが送信されると、同時にウイルスファイルを添付した空のメールを同じ宛て先に送信します。メールの本文とタイトルはありません。添付ファイルの名前には、さまざまなバリエーションがあります。くわしくはウイルス情報詳細ページをご覧ください。
    「WSOCK32.DLL」を利用するこのメールへのファイル添付方法は、流行したワーム「TROJ_SKA」(通称:Happy99)と同様の方法で、メールソフトの種類は問いません。また、「WSOCK32.DLL」は特定の文字列を含むURLへのネットワークアクセス(メール送信、Webページ閲覧、ダウンロードなど)を妨害します。

    ※以下の文字列を含むURLをアクセス不可能にします。
    NII、nai、avp、AVP、f-se、F-Se、mapl、pand、soph、ndmi、afee、yenn、lywa、tbav、yman

    ※以下の文字列を含むメールサーバへの送信が不可能になります。
    wildlist.o*、il.esafe.c*、perfectsup*、complex.is*、HiServ.com*、hiserv.com*、metro.ch*、beyond.com*、mcafee.com*、pandasoftw*、earthlink.*、inexar.com*、comkom.co.*、meditrade.*、mabex.com*、cellco.com*、symantec.c*、successful*、inforamp.n*、newell.com*、singnet.co*、bmcd.com.a*、bca.com.nz*、trendmicro*、sophos.com*、maple.com.*、netsales.n*、f-secure.c*、F-Secure.c*

  3. ハッキング活動
    Windowsフォルダに「MTX_.EXE」というファイルを、隠しファイルとして作成し起動します。この「MTX_.EXE」は、ハッキングツールプログラムです。レジストリを変更し、Windows起動時に常に「MTX_.EXE」が自動起動されるようになります。
    その後、ハッキングツールはシステムに常駐し、ウイルス作者が指定したWebサイトからプラグインをダウンロードし、自らにインストールしようとします。しかし、ウイルスの不具合のためかこの活動は成功しません。そのため、このハッキングツールによる直接的な被害の心配はありません。

※このウイルスは新しい感染方法である「Entry-point-obscuring」を使用した初めてのウイルスと思われます。「Entry-point-obscuring」とは、これまでのウイルスで行われていたようなエントリポイントやファイルヘッダ情報の変更を行わずに感染できる方法です。従来のウイルスとは異なる感染方法のため、検出のためにはより高度な技術が必要となります。ただし、この感染方法のために「PE_MTX.A」のウイルス活動自体が不安定であり、感染対象のファイルによって上記活動の一部、または全部が行えない場合もあります。

感染防止対策
このウイルスは、メールを受け取っただけでは感染しません。感染するためには、添付ファイルをダブルクリックするなど、ファイルを実行することが必要となります。たとえ知人からであっても、不審な添付ファイル付きのメールは不用意に開かないでください。

ファイルを開いてしまったら…
Windows 9xユーザの場合、ファイルを開くと感染します。ただちにネットワークから切断し、駆除/復旧にあたる必要があります。すでにファイルを送信してしまったと思われる場合は、メール以外の方法ですみやかに送信先に連絡してください。

対策Webトップへもどる

Copyright (c) 1999-2001 Trend Micro Incorporated. All Rights Reserved.