W95.MTX

Wurm-Komponente

Die Wurm-Komponente erstellt eine Kopie der Datei Wsock32.dll mit dem Namen Wsock32.mtx. Die Exportfunktion dieser.mtx-Datei wird dann so geändert, dass sie auf den Kode des Wurms zeigt. Dies ermöglicht es dem Virus, eine Kopie des Wurms, die mit dem Virus infiziert ist, an die gleiche Person zu senden, an die der Benutzer eine E-Mail sendet (mit dem gleichen Programm).

Hier ist eine Liste der Dateinamen, die dieser Virus verwenden kann, wenn er den infizierten Wurm sendet. Bei Dateien mit .pif-Erweiterungen ist die.pif-Erweiterung in Ihrem Mail-Programm möglicherweise nicht sichtbar.

I_want zu _see_you.txt.pif
Matrix_screen_saver.scr
Love_letter_for_you.txt.pif
New_playboy_screen_saver.scr
Bill_gates_piece.jpg.pif
Tiazinha.jpg.pif
Feiticeira_nua.jpg.pif
Geocities_free_sites.txt.pif
New_napster_site.txt.pif
Metallica_song.mp3.pif
Anti_cih.exe
Internet_security_forum.doc. pif
Alanis_screen_saver.scr
Reader_digest_letter.txt.pif
Win_$100_now.doc. pif
Is_linux_good_enough!.txt.pif
Qi_test.exe
Avp_updates.exe
Seicho_no_ie.exe
You_are_fat!.txt.pif
Free_xxx_sites.txt.pif
I_am_sorry.doc. pif
Me_nude.avi.pif
Sorry_about_yesterday.doc. pif
Protect_your_credit.html.pif
Jimi_hendrix.mp3.pif
Hanson.scr
F___ing_with_dogs.scr
Matrix_2_is_out.scr
Zipped_files.exe
Blink_182.mp3.pif

Die Datei Wininit.ini wird durch diese Komponente erstellt, was dazu führt, dass die Datei Wsock32.dll gelöscht wird und die Datei Wsock32.mtx in Wsock32.dll umbenannt wird. Wininit.ini wird ausgeführt, nachdem der Computer neu gestartet ist. Nachdem die Datei Wininit.ini erstellt ist, führt diese Komponente die Virus-Komponente aus.

---

Hinweis: Norton AntiVirus erkennt die Datei Wininit.ini, die durch W95.MTX als W95.MTX.INI erstellt wird.

---

Virus-Komponente
Die Virus-Komponente sucht nach dem genauen Virenschutzprogramm, das ausgeführt wird. Wenn der Virus ein solches Programm findet, wird der Virus nicht ausgeführt. Wenn der Virus ausgeführt wird, dekomprimiert er die Wurm-Komponente, legt eine Kopie davon in das Windows-Verzeichnis des Benutzers ab (gewöhnlich C:\Windows) und führt sie aus. Der Name dieser abgelegten Datei ist Ie_pack.exe. Nachdem die Datei Ie_pack.exe ausgeführt ist, wird sie in Win32.dll umbenannt.

Der Virus legt außerdem die Datei Mtx_.Exe ab und führt sie aus. Dies ist ein Download-Programm, das zu einer bestimmten Website wechselt (i.am[MATRIX]), wo Plug-Ins für den Virus heruntergeladen und ausgeführt werden. Der Virus sucht nach Win32-Programmdateien im aktuellen Verzeichnis, im Windows-Verzeichnis und im Temp-Verzeichnis. Die Datei, die infiziert werden soll, muss eine Größe haben, die nicht durch 101 teilbar ist, die größer ist als 8 KB und die mindestens 20 Importanrufanweisungen hat. Wenn nicht, wird die Datei nicht durch den Virus infiziert.

Der Virus fügt auch einen Registrierungseintrag hinzu, der das Download-Programm automatisch ausführen lässt, sobald das System gestartet wird. Das Download-Programm ist in der Liste der Vorgänge nicht aufgeführt.

Empfehlungen

Symantec Security Response empfiehlt allen Benutzern und Administratoren, die folgenden grundlegenden Sicherheitsregeln einzuhalten:

• Beenden und entfernen Sie alle nicht benötigten Dienste. Viele Betriebssysteme installieren automatisch Hilfsprogramme, die nicht unbedingt erforderlich sind, z. B. FTP-Server, Telnet und Web-Server. Diese Dienste öffnen Angreifern Tür und Tor. Durch ihr Entfernen wird die Angriffsfläche für komplexe Bedrohungen reduziert, und Sie müssen weniger Programme mit Patch-Updates auf dem neuesten Stand halten.
• Wenn eine komplexe Bedrohung einen oder mehrere Netzwerkdienste angreift, deaktivieren oder sperren Sie diese so lange, bis ein entsprechender Patch installiert wurde.
• Halten Sie Ihre Patches immer auf dem neuesten Stand, insbesondere auf Computern, auf denen öffentliche Dienste installiert sind und auf die über die Firewall zugegriffen werden kann (z. B. auf HTTP-, FTP-, E-Mail- und DNS-Dienste). So sollte beispielsweise auf allen Windows-basierten Computern das aktuellste Service Pack installiert sein. Darüber hinaus sollten Sie alle in diesem Dokument, in vertrauenswürdigen Sicherheitsmitteilungen oder auf den Webseiten der Hersteller erwähnten Sicherheits-Updates installieren.
• Erstellen Sie eine Kennwortrichtlinie und sorgen Sie für ihre Durchsetzung. Komplexe Kennwörter erschweren den Einbruch in Kennwortdateien auf Computern, deren Sicherheit nicht mehr intakt ist. Dadurch können Schäden verhindert oder begrenzt werden, wenn ein Computer angegriffen wurde.
• Stellen Sie Ihren E-Mail-Server so ein, dass E-Mails mit Dateianhängen, über die häufig Viren verbreitet werden (z. B. Dateien mit der Endung .vbs, .bat, .exe, .pif und .scr), blockiert oder entfernt werden.
• Isolieren Sie infizierte Computer schnellstmöglich, um weitere Schäden zu verhindern. Führen Sie eine forensische Analyse durch, und reparieren Sie die Computer mithilfe zuverlässiger Medien.
• Schulen Sie Ihre Mitarbeiter, so dass sie keine Anhänge öffnen, die unaufgefordert eingesendet werden. Führen Sie außerdem keine aus dem Internet heruntergeladene Software aus, die zuvor nicht auf Viren geprüft wurde. Schon allein der Besuch einer infizierten Internet-Seite kann zu einer Infektion führen, wenn bestimmte Browser-Schwachstellen nicht behoben werden.

Zusammenfassung