I-Worm.MTX 病理剖析

 

这个MTX病毒包括三个部分——蠕虫、病毒和后门程序。它在32位系统中传播:病毒部分

感染Win32可执行文件,企图

发送带有染毒附件的E-mail,安装后门程序部分以下载并植入受影响的系统。

    这个病毒具有不寻常的结构。它包含三个不同的部分(病毒、蠕虫、后门)。病毒

部分是重要部分,它将蠕虫、后门

程序代码以压缩的格式放入它的代码内。当感染系统时,它将它们解压缩并植入系统。

该MTX病毒的结构看起来像下面的样子:

 ------------------

 I The virus      I --> 安装蠕虫和后门程序到系统中,然后查找并感染Win32可执行

文件。

 I installation   I

 I and infection  I

 I routines       I

 ------------------

 I Worm code      I --> 被解压缩并作为单独运行的程序

 I (compressed)   I

 ------------------

 I Backdoor code  I --> 被解压缩并作为单独运行的程序

 I (compressed)   I

 ------------------

    这个蠕虫的代码中并不包含感染系统的全部必须程序,那个蠕虫文件被病毒作为一

个普通文件感染然后发送。

使用这种方式的原因还不清楚,可能这个部分的程序是有不同的人写的。

病毒部分包含下列文本:

 SAB.b ViRuS

 Software provide by [MATRiX] VX TeAm: Ultras, Mort, Nbk, LOrd DArk,

Del_Armg0, Anaktos

 Greetz: All VX guy in #virus and Vecna for help us

 Visit us at:

 http://www.coderz.net/matrix

蠕虫部分包含下列文本:

 Software provide by [MATRiX] VX team:

 Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos

 Greetz:

 All VX guy on #virus channel and Vecna

 Visit us: www.coderz.net/matrix

后门部分包含下列文本:

 Software provide by [MATRiX] team:

 Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos

 Greetz:

 Vecna 4 source codes and ideas

——病毒部分(Virus Component):

    病毒部分在感染文件时采用了EPO(Entry Point Obscuring)技术。这意味着该病

毒在代码开始部分并不影响文件,

而将“跳转到病毒”指令放到程序的中部,这就使侦测和消毒过程更复杂。结果是这个

病毒只有在相应的受影响的程序得

到控制时才被激活。

    该病毒同样是加密的,当它的代码获得控制时它首先将自身加密。然后通过扫描Win

32内核查找必要的Win32API函数。

    它然后查找当前系统中处于激活状态的反病毒程序,一旦发现任何一个便退出。

该病毒查找的反病毒程序包括:

 AntiViral Toolkit Pro

 AVP Monitor

 Vsstat

 Webscanx

 Avconsol

 McAfee VirusScan

 Vshwin32

 Central do McAfee VirusScan

    然后将在系统中安装病毒的其他部分,它们被解压缩安装到Windows 目录中。在该

目录下产生三个具有隐含属性的

文件:

 IE_PACK.EXE   - 纯蠕虫代码

 WIN32.DLL     - 被病毒感染的蠕虫代码

 MTX_.EXE      - 后门程序代码

    该病毒然后感染当前、temporary和Windows目录下的Win32可执行PE EXE文件,然后

退出。

——蠕虫部分(Worm Component)

    蠕虫部分使用的技术是在第一次介绍Happy99/Ska时的发送染毒的消息主体。它通过

将其代码加入Windows System

目录下WSOCK32.DLL的尾部并始终“发送”WSOCK32.DLL的方式影响该文件。结果是,该

蠕虫监视所有从这台机器发送到

Internet上的数据。通常情况下,WSOCK32.DLL文件在蠕虫启动时被使用并由Windows锁

定。为了避免那样,该蠕虫使用

标准方式:创建原始WSOCK32.DLL的副本为WSOCK32.MTX,感染这个副本然后向

WININIT.INI文件中写入"replace ori_

ginal file with infected" 说明::

 NUL=C:/WINDOWS/SYSTEM/WSOCK32.DLL

 C:/WINDOWS/SYSTEM/WSOCK32.DLL=D:/WINDOWS/SYSTEM/WSOCK32.MTX

     被感染的WSOCK32将在下次重启时替换原来的WSOCK32文件,蠕虫获取访问从这台机

器发送出去的数据的权利。蠕虫

在关注发送出去的Email的同时关注访问的Internet 站点 (Web, ftp) 。

     这个蠕虫的最直观的行为是停止访问一些Internet 站点,还不能向同样的域发送E

mail。它通过检测四个字母组合

的方式来判定:

 nii.

 nai.

 avp.

 f-se

 mapl

 pand

 soph

 ndmi

 afee

 yenn

 lywa

 tbav

 yman

    该蠕虫还不让用户向下列域发送Email:

 wildlist.o*

 il.esafe.c*

 perfectsup*

 complex.is*

 HiServ.com*

 hiserv.com*

 metro.ch*

 beyond.com*

 mcafee.com*

 pandasoftw*

 earthlink.*

 inexar.com*

 comkom.co.*

 meditrade.*

 mabex.com *

 cellco.com*

 symantec.c*

 successful*

 inforamp.n*

 newell.com*

 singnet.co*

 bmcd.com.a*

 bca.com.nz*

 trendmicro*

 sophos.com*

 maple.com.*

 netsales.n*

 f-secure.c*

    蠕虫还可以截获发送的Email消息,然后企图向相同地址发送另一封带有染毒附件的

Email。结果受害的Email地址

将收到两封邮件,第一封是发送者的邮件,第二封的邮件主题和正文均为空但带有一个

附件,附件的名字是蠕虫根据

当前日期选择的:

 README.TXT.pif

 I_wanna_see_YOU.TXT.pif

 MATRiX_Screen_Saver.SCR

 LOVE_LETTER_FOR_YOU.TXT.pif

 NEW_playboy_Screen_saver.SCR

 BILL_GATES_PIECE.JPG.pif

 TIAZINHA.JPG.pif

 FEITICEIRA_NUA.JPG.pif

 Geocities_Free_sites.TXT.pif

 NEW_NAPSTER_site.TXT.pif

 METALLICA_SONG.MP3.pif

 ANTI_CIH.EXE

 INTERNET_SECURITY_FORUM.DOC.pif

 ALANIS_Screen_Saver.SCR

 READER_DIGEST_LETTER.TXT.pif

 WIN_$100_NOW.DOC.pif

 IS_LINUX_GOOD_ENOUGH!.TXT.pif

 QI_TEST.EXE

 AVP_Updates.EXE

 SEICHO-NO-IE.EXE

 YOU_are_FAT!.TXT.pif

 FREE_xxx_sites.TXT.pif

 I_am_sorry.DOC.pif

 Me_nude.AVI.pif

 Sorry_about_yesterday.DOC.pif

 Protect_your_credit.HTML.pif

 JIMI_HMNDRIX.MP3.pif

 HANSON.SCR

 FUCKING_WITH_DOGS.SCR

 MATRiX_2_is_OUT.SCR

 zipped_files.EXE

 BLINK_182.MP3.pif

——后门程序(Backdoor Component)

    运行的时候,后门程序创建一个新的系统注册键,表明该机器已经被感染:

   HKLM/Software/[MATRIX]

    如果该注册键存在,后门程序将忽略安装过程,否则它将自动运行下面部分:

   HKLM/Software/Microsoft/Windows/CurrentVersion/Run

  SystemBackup=%WinDir%/MTX_.EXE

  %WinDir% 是Windows目录。

    这个后门程序在Windows中以隐含应用(服务)的方式保持激活状态,并运行一个例

行程序以连接到一些Internet 服

务器上,从那里获取文件并将他们植入系统中。所以该后门程序可以用其他病毒感染系

统或是安装特洛伊木马或其他功能

更强的后门程序。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值