© Frank Ziemann – Update: 02.09.2009
| 03.05.01 - Fehlalarm in Norton Antivirus |
|---|
| Wenn Sie beim Aufruf dieser Seite einen Virus-Alarm Ihres Norton Antivirus (NAV) erhalten, lesen Sie ruhig die Seite zu Ende - es handelt sich um einen Fehlalarm. Symantec ist informiert und hat das Problem inzwischen behoben. Benutzen Sie Live-Update, um NAV zu aktualisieren. mehr... |
Extra-Blatt
Virus/Wurm: W32/MTX
Mehrteiliger Wurm/Virus tarnt sich u.a. als PIF-Datei
MTX besteht aus mehreren Teilen: Einem Wurm, der für die Verbreitung sorgt; einem Virus, der Dateien infiziert und einem RAT (Remote Administration Tool, Backdoor). Der Wurm benutzt eine ähnliche Technik wie Happy99 (W32/Ska): Er ersetzt die Datei WSOCK32.DLL durch eine modifizierte Version, die er zuvor als WSOCK32.MTX angelegt hat (er legt aber nicht wie Happy99 eine Kopie der Original-Datei ab). Der Austausch geschieht durch einen Eintrag in der Datei WININIT.INI beim nächsten Systemstart:
NUL=C:\WINDOWS\SYSTEM\WSOCK32.DLL
C:\WINDOWS\SYSTEM\WSOCK32.DLL=C:\WINDOWS\SYSTEM\WSOCK32.MTX
Der Pfad ist nicht fest 'verdrahtet', sondern wird ggf. den Gegebenheiten angepasst.
Damit sendet sich MTX als Attachment (einer ansonsten leeren Mail) an alle Adressen, an die Sie
Mails schicken. Die Namen dieser Dateianhänge variieren je nach Datum:
ALANIS_Screen_Saver.SCR
ANTI_CIH.EXE
AVP_Updates.EXE
BILL_GATES_PIECE.JPG.pif
BLINK_182.MP3.pif
FEITICEIRA_NUA.JPG.pif
FREE_yahoo-email.DOC.pif
FREE_xxx_sites.TXT.pif
FUCKING_WITH_DOGS.SCR
Geocities_Free_sites.TXT.pif
HANSON.SCR
I_am_sorry.DOC.pif
I_wanna_see_YOU.TXT.pif
INTERNET_SECURITY_FORUM.DOC.pif
IS_LINUX_GOOD_ENOUGH!.TXT.pif
JIMI_HMNDRIX.MP3.pif
LOVE_LETTER_FOR_YOU.TXT.pif
MATRiX_2_is_OUT.SCR
MATRiX_Screen_Saver.SCR
Me_nude.AVI.pif
METALLICA_SONG.MP3.pif
NEW_NAPSTER_site.TXT.pif
NEW_playboy_Screen_saver.SCR
Protect_your_credit.HTML.pif
QI_TEST.EXE
READER_DIGEST_LETTER.TXT.pif
README.TXT.pif
SEICHO-NO-IE.EXE
Sorry_about_yesterday.DOC.pif
TIAZINHA.JPG.pif
WIN_$100_NOW.DOC.pif
YOU_are_FAT!.TXT.pif
zipped_files.EXE
Achtung: Die Endung .pif wird im Explorer nicht angezeigt, selbst wenn dieser so eingestellt ist, dass er alle Endungen anzeigen sollte. Die Datei kann folglich auch nicht im Explorer mit einer harmlosen Endung versehen werden. Abhilfe: Löschen Sie in dem Schlüssel
HKEY_CLASSES_ROOT\piffile
den Unterschlüssel " NeverShowExt="" "
oder ändern Sie seinen Namen (nicht den Wert!) in " AlwaysShowExt ".
Im Gegensatz zu DOS- und Win16-Programmen werden Win32-PE-Programme direkt ausgeführt, wenn sie die
Erweiterung '.pif' haben (d.h. sie werden wie EXE behandelt). Normalerweise enthalten PIF-Dateien Informationen über
die Ausführung von DOS-Programmen in einer Windows-Umgebung.
MTX unterbindet ausserdem E-Mail- und WWW-Kontakt zu bestimmten Antivirus-Firmen.
Die Virus-Komponente infiziert Win32-EXE-Dateien (PE-Typ) im aktuellen Verzeichnis, im TEMP-Verzeichnis und im Windows-Verzeichnis. Sie installiert folgende versteckte Dateien im Windows-Verzeichnis:
IE_PACK.EXE - der Wurm
WIN32.DLL - der Wurm, mit dem Virus infiziert (diese Datei wird per Mail versandt)
MTX_.EXE - Backdoor
Die Backdoor-Komponente trägt sich in die Registry ein:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
SystemBackup=%WinDir%\MTX_.EXE
%WinDir% steht für das jeweilige Windows-Verzeichnis, meist C:\Windows.
Infos und Updates von Antivirus-Firmen zu W32/MTX:
- Symantec (engl.)
- Network Associates (engl.)
- AVP (engl.)
Adressen, wo Sie auch mit einem MTX-befallenen Rechner Updates bekommen.