Win32/MTX

Win32/MTXは最近のコンピュータに侵入してくるもので最も複雑なもののひとつです。これはウイルス、ワーム、バックドアftpサーバ、MIRC や PIRCH IRCクライアント用のスクリプトを結合させたものです。国際的なウイルスグループであるMATRixがこの悪意のある侵入の作者であると特定されています。
このワームは、自身をシステムにインストールし、重要なシステムファイルである wsock.dllを入れ替えます。これを行うために、ワームはまず、異なる名前 wsock32.mtx　を持ったファイルの感染済みコピーを作成します。システムレジストリを使用し、新しいファイルの活動が、新たにシステムが起動することによって開始されます。このワームはその後電子メール送信のコントロールを奪取します。送信されるいかなるメッセージにも新たな感染したファイルが添付されます。感染したメッセージは、同一の件名、空の本文、感染した添付ファイルを持っています。添付ファイルの名前は、以下の31の候補の中から選択されます。

 

README.TXT.pif
I_wanna_see_YOU.TXT.pif
MATRiX_Screen_Saver.SCR
LOVE_LETTER_FOR_YOU.TXT.pif
NEW_playboy_Screen_saver.SCR
BILL_GATES_PIECE.JPG.pif
TIAZINHA.JPG.pif
FEITICEIRA_NUA.JPG.pif
Geocities_Free_sites.TXT.pif
NEW_NAPSTER_site.TXT.pif
METALLICA_SONG.MP3.pif
ANTI_CIH.EXE
INTERNET_SECURITY_FORUM.DOC.pif
FREE_yahoo-email.DOC.pif
READER_DIGEST_LETTER.TXT.pif
WIN_$100_NOW.DOC.pif
IS_LINUX_GOOD_ENOUGH!.TXT.pif
QI_TEST.EXE
AVP_Updates.EXE
SEICHO-NO-IE.EXE
YOU_are_FAT!.TXT.pif
FREE_xxx_sites.TXT.pif
I_am_sorry.DOC.pif
I_nude.AVI.pif
Sorry_about_yesterday.DOC.pif
Protect_your_credit.HTML.pif
JIMI_HMNDRIX.MP3.pif
HANSON.SCR
FUCKING_WITH_DOGS.SCR
MATRiX_2_is_OUT.SCR
zipped_files.EXE
BLINK_182.MP3.pif

 

興味深く、また一方で計画的だと言えることは、この侵入者は自身が生き残るチャンスを増やすために、ある文字列を含むウェブページへのアクセスを禁止するのですが、それは複数のアンチウイルス開発者の名前の一部を持ったものです。
もうひとつの、多少 "同じ指針"でワームの活動を保護する特徴は、感染しているマシンからアンチウイルス開発社/サイトへ電子メールを送る可能性を妨害します。
ワームの本体には以下のテキストが含まれています:

 

Software provided by [MATRiX] VX team:
Ultras, Mort, Nbk, Tgr, Del_Armg0, Anaktos
Greetz:
All VX guy on #virus channel and Vecna
Visit us:www.coderz.net/matrix

 

ウイルスのコード自体は暗号化されています。これが実行された後、自身をシステムにインストールし、カレントディレクトリにあるEXE、DLL、SCR、OCXなどの拡張子を持ったPortable Executable (PE) ファイルを攻撃します。このカレントディレクトリとは、一時ディレクトリであり、Windowsのインストールが位置している場所です。
IRCクライアント用のプラグイン (MIRC、PIRCH) はある特定のキーワード(例 worm、 virus、 file、 exe) が使われた際に繁殖する環境を提供します。
このウイルスの４つの亜種はこれまでのところ特定されており、この流行拡大はいまだ続いています。

 

WIN32/MTX 感染後の駆除

MTX ウイルス/ワームは最も洗練され、複雑なコンピュータ感染のひとつです。詳細については、本ウェブページのウイルスニュースをご参照ください。

ダメージからの復旧には、数段階のプロセスが必要です。Windows、MS DOS 双方のバージョンのNOD32アンチウイルスが使用される必要があり、またWindows、MS-DOS双方のモードにおいて駆除が行われます。MS-DOSモードでのコンピュータの再起動が必要となります。詳細については以下のリストをご参照ください。

 

駆除手順 :

1.        まず最初にファイルをダウンロードし、実行してください。方法は以下のとおりです:

1.        以下のリンク: (mtxclean.exe) をクリックしてこのファイルをダウンロードしてください。

2.        ダウンロードしたファイルをダブルクリックし、実行してください。 (ファイルが問題なく実行された場合には、 “Registry has been successfully repaired”というメッセージが表示されます。

2.        Windows版のNOD32 アンチウイルスをダウンロードしてください。

1.       Windows版のNOD32アンチウイルスをインストールしてください。  (Eset社のウェブサイトに入り、使用説明に従ってください。推奨されている設定を選択することをお勧めします。)

2.       このNOD32アンチウイルスでコンピュータを検査してください。方法は以下のとおりです:

1.        〔スタート〕をクリックしてください。(画面左下)

2.        〔プログラム〕を選択してください。

3.        〔Eset〕を選択してください。

4.        〔NOD32〕をクリックします。ほとんどの感染したファイルは駆除されますが、いくつかのファイルでは（〔ログ〕内に）"書込み禁止"や"ロックされています"と表示される場合があります。 

3.       NOD32アンチウイルスを終了します。

3.        NOD32 DOS (NOD32のMS-DOS版) をウェブサイト (www.nod32.com)からダウンロードします。
方法は以下のとおりです。:

1.        インターネットに接続します。

2.        ブラウザを起動します。 (例 Microsoft Internet Explorer)

3.        Eset社のアドレス（www.nod32.com）を入力します。

4.        ダウンロードボタンをクリックします。(画面左上）

5.        NOD32DOS版のNOD32のとなりにあるダウンロードのボタンをクリックします。

6.        ユーザ名とパスワードを入力し、ダウンロードボタンをクリックしてください。新たにウインドウが開き、2つのオプションが表示されます。
a/ 現在の場所からプログラムを実行する、b/ このプログラムをディスクに保存する　
2番目のオプションがデフォルトで設定されています。

7.        OKのボタンをクリックします。新たなウィンドウが開きます。

8.        〔保存する〕メニューのプルダウンを使い、デスクトップを選択します。ファイル名の欄に表示されるデフォルトのファイル名は、"noddsen"です。

9.        保存のボタンをクリックします。これによりマシンへMS-DOS版NOD32アンチウイルスの転送が開始されます。 転送が完了した後、"閉じる"のボタンをクリックしてウィンドウを閉じてください。

4.        NOD32 DOS をコンピュータにインストールしてください。
コンピュータのメインスクリーン (デスクトップ)上で、 NODDSEN アイコンをダブルクリックしてください。Esetのロゴの付いた新しいウィンドウが開きます。ファイルの解凍を継続するためには、いずれかのキーを押してください。このウィンドウの最初の行は、 "Verifying authenticity information ... OK"と表示され、"DONE"が表示されると、MS-DOS版のNOD32 アンチウイルスのインストールが完了しました。

5.        コンピュータをDOSモードで再起動してください。

1.        インストールウィンドウを閉じてください。 (ウィンドウの右上部の角にある x をクリックしてください。)

2.        画面左下の角にある〔スタート〕ボタンをクリックしてください。

3.        メニューから〔シャットダウン〕を選択してください。

4.        〔MS-DOSモードで再起動〕を選択してください。これにより、スクリーンが黒で表示され、カーソルが表示されます。

6.        DOSモードでNOD32アンチウイルスを実行し、ダメージを受けたファイルを復旧します。

1.        カーソルラインで、以下のコマンドを入力します。
c:\windows\desktop\dos32e\nod32dos.exe
(評価版のユーザは、ページの最後にある注意をご覧下さい)

2.       NOD32アンチウイルスのグラフィカルインターフェイスが新しいウィンドウで表示されます。キーボードのタブキーを1度押して、ウィンドウの下部にある駆除（Clean）ボタンを押します。

3.        決定したメディアデバイスをスキャンするためにEnterキーを押してください。

4.        駆除が終了した後（これには数分かかりますが）、ウィンドウを閉じます。

5.        コンピュータを再起動します。(例 Ctrl-Alt-Del キーを同時に押してください)

Windowsモードで、NOD32スキャナを再度実行してください。駆除が正確に行われた際には、ウイルスは検出されません。問題が発生した場合には、こちらまでご連絡ください: nod-info@canon-its.co.jp

 

注意:

• "noddsen"ファイル(DOS版のNOD32)をデスクトップに保存したくない場合には、その他のディレクトリを選択することも可能です。しかしながら、そのような場合には、"nod32dos.exe"ファイルのパスを記憶しておく必要があります。このファイルは、dos32e ディレクトリ内で解凍され、このディレクトリでは自己解凍型アーカイブ(noddsen.exe)がダウンロードされたディレクトリ内に位置しています。
• NOD32アンチウイルス評価版の場合ではここに書かれた作業手順6.1.1は異なっており、c:\windows\desktop\dos32\nod32dos.exe となります。

 

(C)1992-2003 Eset s.r.o. All rights reserved. No part of this Encyclopedia may be reproduced, transmitted or used in any other way in any form or by any means without the prior permission.