Real e Ilustre Colegio de Abogados de Zaragoza
 
W32/Mtx
 
 
  
Nombre: W32/MTX
Alias: I-Worm/MTX
Categorías del virus: Gusano, Virus y Troyano
¿Reparable?: Si
Fecha de aparición: 23/08/2000
Nivel de Riesgo (0-5): 5
Nivel de Distribución (0-5): 5
Nivel de Daños (0-5): 5
  
  
Descripción breve: 

          W32/MTX, engloba en su interior un virus, un gusano y un troyano: 

          El gusano se transmite por correo electrónico, enviando copias del mismo. El método utilizado es similar al del famoso gusano "Happy". Es decir, envía automáticamente un mensaje de correo electrónico en el que incluye o adjunta un fichero que se encuentra infectado. Este mensaje se envía después de cualquier otro que se haya enviado previamente desde el ordenador infectado. 

          Por su parte, el troyano está preparado para conectarse a diferentes servidores de Internet. Desde ellos instala en el ordenador atacado, los ficheros que pueden afectar al sistema. Además, incluye en el Registro de Windows una marca, para indicar que el sistema ya se encuentra infectado. Finalmente crea una clave en el Registro, mediante la cual hace una llamada (ejecuta) al fichero que contiene el troyano. Con ello asegura la presencia del mismo en cada inicio del sistema. 

          El virus se encarga de infectar cada uno de los ficheros de Windows, en formato PE (EXE, DLL, OCX, SCR, CPL,... etc) que encuentre en el directorio actual, en el directorio Windows y en el directorio Temp. Cada uno de estos ficheros infectados, aumenta de tamaño. 

          W32/MTX tiene una serie de características adicionales:  

    • Está preparado para no instalarse e infectar ordenadores en los que se encuentren instalados determinados programas antivirus.

      •  
    • El gusano está preparado para no enviar mensajes a determinados dominios. En particular, aquellos pertenecientes a compañías antivirus.

      •  
    • El troyano está preparado para conectarse a diferentes servidores de Internet.
  
Modo de propagación: 
  
          El gusano se transmite por correo electrónico. En cada uno de los mensajes que envía, incluye una copia de sí mismo. En este sentido, el método utilizado es similar al del gusano Happy. Esto significa que envía el mensaje inmediatamente después de cada uno de los mensajes que se envíe desde el sistema afectado por W32/MTX. Esto es posible debido a que el gusano infecta la librería dinámica WSOCK32.DLL. 

          Los posibles nombres del fichero que se incluye en el mensaje (fichero adjunto), pueden ser: 

  • README.TXT.pif
  • I_wanna_see_YOU.TXT.pif
  • MATRiX_Screen_Saver.SCR
  • LOVE_LETTER_FOR_YOU.TXT.pif
  • NEW_playboy_Screen_saver.SCR
  • BILL_GATES_PIECE.JPG.pif
  • TIAZINHA.JPG.pif
  • FEITICEIRA_NUA.JPG.pif
  • Geocities_Free_sites.TXT.pif
  • NEW_NAPSTER_site.TXT.pif
  • METALLICA_SONG.MP3.pif
  • ANTI_CIH.EXE
  • INTERNET_SECURITY_FORUM.DOC.pif
  • ALANIS_Screen_Saver.SCR
  • READER_DIGEST_LETTER.TXT.pif
  • WIN_$100_NOW.DOC.pif
  • IS_LINUX_GOOD_ENOUGH!.TXT.pif
  • QI_TEST.EXE
  • AVP_Updates.EXE
  • SEICHO-NO-IE.EXE
  • YOU_are_FAT!.TXT.pif
  • FREE_xxx_sites.TXT.pif
  • I_am_sorry.DOC.pif
  • Me_nude.AVI.pif
  • Sorry_about_yesterday.DOC.pif
  • Protect_your_credit.HTML.pif
  • JIMI_HMNDRIX.MP3.pif
  • HANSON.SCR
  • FUCKING_WITH_DOGS.SCR
  • MATRiX_2_is_OUT.SCR
  • zipped_files.EXE
  • BLINK_182.MP3.pif
 
Síntomas de infección: 

          El virus infecta cualquiera de los ficheros de Windows, en formato PE (EXE, DLL, OCX, SCR, CPL,... etc) del directorio actual, el directorio Windows, y el directorio Temp. El primer síntoma que puede levantar sospechas sobre la infección de un determinado fichero, es el aumento de su tamaño.  

          Tanto el virus como el gusano, guardan ciertas precauciones, como las siguientes:  

          El virus no realizará sus infecciones en aquellos equipos donde se encuentren instalados determinados productos antivirus. 

          El gusano no envía mensajes a determinados dominios, en particular los pertenecientes a compañías antivirus. 

          El mensaje, puede ser la primera sospecha de que W32/MTX ha llegado a nuestro ordenador. Este se recibe con un fichero adjunto o incluido en el mensaje. El nombre de ese fichero, puede ser cualquiera de los siguientes:  

  • README.TXT.pif
  • I_wanna_see_YOU.TXT.pif
  • MATRiX_Screen_Saver.SCR
  • LOVE_LETTER_FOR_YOU.TXT.pif
  • NEW_playboy_Screen_saver.SCR 
  • BILL_GATES_PIECE.JPG.pif 
  • TIAZINHA.JPG.pif 
  • FEITICEIRA_NUA.JPG.pif 
  • Geocities_Free_sites.TXT.pif 
  • NEW_NAPSTER_site.TXT.pif 
  • METALLICA_SONG.MP3.pif 
  • ANTI_CIH.EXE 
  • INTERNET_SECURITY_FORUM.DOC.pif 
  • ALANIS_Screen_Saver.SCR 
  • READER_DIGEST_LETTER.TXT.pif 
  • WIN_$100_NOW.DOC.pif 
  • IS_LINUX_GOOD_ENOUGH!.TXT.pif 
  • QI_TEST.EXE 
  • AVP_Updates.EXE 
  • SEICHO-NO-IE.EXE 
  • YOU_are_FAT!.TXT.pif 
  • FREE_xxx_sites.TXT.pif 
  • I_am_sorry.DOC.pif 
  • Me_nude.AVI.pif 
  • Sorry_about_yesterday.DOC.pif 
  • Protect_your_credit.HTML.pif 
  • JIMI_HMNDRIX.MP3.pif 
  • HANSON.SCR 
  • FUCKING_WITH_DOGS.SCR 
  • MATRiX_2_is_OUT.SCR 
  • zipped_files.EXE 
  • BLINK_182.MP3.pif 
          Al ejecutar el fichero que se incluye en el mensaje de correo, se crean los ficheros WIN32.DLL, IE_PACK.EXE y MTX_.EXE, en el directorio C:\WINDOWS. Todos ellos se ocultarán, para que el usuario no los pueda ver. 

          En el directorio C:\WINDOWS\SYSTEM, se crea una copia infectada de la librería de enlace dinámico, WSOCK32.DLL, con el nombre de WSOCK32.MTX. Además, en el siguiente reinicio o arranque del ordenador, se sustituirá la librería original (WSOCK32.DLL) por la infectada (WSOCK32.MTX). 

          Cuando estas operaciones se han realizado, el virus infecta todos los ficheros de Windows en formato PE (EXE, DLL. OCX, SCR, CPL,... etc.) de los directorios Windows y Temp, así como los del directorio actual en el que nos encontremos. Tras la infección, cada uno de estos ficheros aumenta de tamaño. 
  
  
Métodos de infección: 
  
          Si se ejecuta el fichero incluido en el mensaje, se crean los ficheros WIN32.DLL, IE_PACK.EXE y MTX_.EXE, en el directorio C:\WINDOWS. Cada uno de ellos es instalado como fichero oculto, lo que significa que el usuario no los apreciará a simple vista. 

          Del mismo modo, en el directorio C:\WINDOWS\SYSTEM, se crea una copia infectada de la librería de enlace dinámico, WSOCK32.DLL. Esta copia se guarda con el nombre de WSOCK32.MTX. También se crea un fichero denominado WININIT.INI en el directorio C:\WINDOWS. Este último será el encargado de sustituir la librería original (WSOCK32.DLL) por la infectada (WSOCK32.MTX) en el siguiente reinicio o arranque del equipo. 

          El troyano, por su parte, se puede conectar a diferentes servidores de Internet. Desde ellos instalará ficheros que pueden afectar al sistema. También modifica el Registro de Windows. En él incluye una marca. Con ella indica que el sistema ya se encuentra infectado. Esta marca consiste en una carpeta denominada [MATRIX]. W32/MTX crea esta carpeta (o directorio) dentro de la sección (o directorio) HKLM\Software.  

          Finalmente inserta una determinada clave en el Registro de Windows. Esta se colocará en el directorio HKLM\Software\Microsoft\Windows\CurrentVersion\Run del mismo. Con ella se realiza una llamada al fichero MTX_.EXE, que forma parte del troyano. De ésta forma, se asegura la presencia del mismo en cada inicio del sistema. 

          W32/MTX utiliza la técnica EPO (Entry Point Obscuring), para realizar sus infecciones. Debido a ello, el virus no cambia el punto de entrada original correspondiente al fichero infectado. Sin embargo cambia algún salto dentro del código del mismo, para dificultar su localización. 
  
  
Cómo reparar los efectos producidos: 
  
          Este gusano realiza operaciones adicionales en nuestro equipo. Para restaurar el estado original del mismo y dejarlo todo en óptimas condiciones, siga los siguientes pasos: 

          Descargue el fichero PAVCL.ZIP (554Kb.), pulsando sobre el icono que se muestra a continuación. 

          Web de Panda:  www.pandasoftware.es/pqr/pavcl-MTX.zip 
          R.e I.C.A.Z.:  PAVCL-MTX.Zip 

          Cópielo en el Escritorio de su ordenador. 

          Descomprima el fichero PAVCL.ZIP en una carpeta (directorio) de la unidad C: (disco duro). Por ejemplo, a este directorio, puede llamarle Panda.  

          Para crear la carpeta Panda siga los siguiente pasos: 

    • Abra la ventana del explorador de Windows.
    • Seleccione la unidad C:
    • Colóquese en el panel derecho de la ventana.
    • Pulse el botón derecho del ratón.
    • Seleccione la opción Nuevo.
    • Seleccione la opción Carpeta.
    • Descargue el fichero PQREMOVE.COM (1Mb.), pulsando sobre el icono que aparece a continuación.

      •         Web de Panda:  updates.pandasoftware.com/pqremove
              R.e I.C.A.Z.:  PqRemove.Com 
    • Cópielo en el Escritorio de su ordenador. 
    • Ejecútelo, haciendo doble clic sobre él. 
    • Reinicie el equipo en modo MS-DOS. Para ello pulse el botón Inicio y seleccione las opciones Apagar el sistema - reiniciar en modo MS-DOS. 
    • Cuando haya reiniciado, tecleé CD.. y pulse intro. 
    • Teclee CD PANDA (si ese es el nombre de la carpeta que ha creado anteriormente) y pulse intro. 
    • Teclee PAVCL /ALL /AEX /MTX /CLV (pulse intro). 
          De esta forma comenzará el análisis. Durante este proceso el antivirus puede detectar el virus en cinco archivos, que debe borrar. Estos son los siguientes: 
  • WSOCK32.MTX
  • MTX_.EXE
  • WIN32.DLL
  • IE_PACK.EXE
  • WININIT.INI
          Si se detecta el virus en otros archivos distintos de los anteriores, elija la opción Desinfectar. De esta forma, su equipo quedará completamente desinfectado.