分享
 
 
 

I-Worm.MTX 病理剖析

王朝other·作者佚名  2006-01-08
窄屏简体版  字體: |||超大  

这个MTX病毒包括三个部分——蠕虫、病毒和后门程序。它在32位系统中传播:病毒部分

感染Win32可执行文件,企图

发送带有染毒附件的E-mail,安装后门程序部分以下载并植入受影响的系统。

这个病毒具有不寻常的结构。它包含三个不同的部分(病毒、蠕虫、后门)。病毒

部分是重要部分,它将蠕虫、后门

程序代码以压缩的格式放入它的代码内。当感染系统时,它将它们解压缩并植入系统。

该MTX病毒的结构看起来像下面的样子:

------------------

I The virus I --> 安装蠕虫和后门程序到系统中,然后查找并感染Win32可执行

文件。

I installation I

I and infection I

I routines I

------------------

I Worm code I --> 被解压缩并作为单独运行的程序

I (compressed) I

------------------

I Backdoor code I --> 被解压缩并作为单独运行的程序

I (compressed) I

------------------

这个蠕虫的代码中并不包含感染系统的全部必须程序,那个蠕虫文件被病毒作为一

个普通文件感染然后发送。

使用这种方式的原因还不清楚,可能这个部分的程序是有不同的人写的。

病毒部分包含下列文本:

SAB.b ViRuS

Software provide by [MATRiX] VX TeAm: Ultras, Mort, Nbk, LOrd DArk,

Del_Armg0, Anaktos

Greetz: All VX guy in #virus and Vecna for help us

Visit us at:

http://www.coderz.net/matrix

蠕虫部分包含下列文本:

Software provide by [MATRiX] VX team:

Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos

Greetz:

All VX guy on #virus channel and Vecna

Visit us: www.coderz.net/matrix

后门部分包含下列文本:

Software provide by [MATRiX] team:

Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos

Greetz:

Vecna 4 source codes and ideas

——病毒部分(Virus Component):

病毒部分在感染文件时采用了EPO(Entry Point Obscuring)技术。这意味着该病

毒在代码开始部分并不影响文件,

而将“跳转到病毒”指令放到程序的中部,这就使侦测和消毒过程更复杂。结果是这个

病毒只有在相应的受影响的程序得

到控制时才被激活。

该病毒同样是加密的,当它的代码获得控制时它首先将自身加密。然后通过扫描Win

32内核查找必要的Win32API函数。

它然后查找当前系统中处于激活状态的反病毒程序,一旦发现任何一个便退出。

该病毒查找的反病毒程序包括:

AntiViral Toolkit Pro

AVP Monitor

Vsstat

Webscanx

Avconsol

McAfee VirusScan

Vshwin32

Central do McAfee VirusScan

然后将在系统中安装病毒的其他部分,它们被解压缩安装到Windows 目录中。在该

目录下产生三个具有隐含属性的

文件:

IE_PACK.EXE - 纯蠕虫代码

WIN32.DLL - 被病毒感染的蠕虫代码

MTX_.EXE - 后门程序代码

该病毒然后感染当前、temporary和Windows目录下的Win32可执行PE EXE文件,然后

退出。

——蠕虫部分(Worm Component)

蠕虫部分使用的技术是在第一次介绍Happy99/Ska时的发送染毒的消息主体。它通过

将其代码加入Windows System

目录下WSOCK32.DLL的尾部并始终“发送”WSOCK32.DLL的方式影响该文件。结果是,该

蠕虫监视所有从这台机器发送到

Internet上的数据。通常情况下,WSOCK32.DLL文件在蠕虫启动时被使用并由Windows锁

定。为了避免那样,该蠕虫使用

标准方式:创建原始WSOCK32.DLL的副本为WSOCK32.MTX,感染这个副本然后向

WININIT.INI文件中写入"replace ori_

ginal file with infected" 说明::

NUL=C:\WINDOWS\SYSTEM\WSOCK32.DLL

C:\WINDOWS\SYSTEM\WSOCK32.DLL=D:\WINDOWS\SYSTEM\WSOCK32.MTX

被感染的WSOCK32将在下次重启时替换原来的WSOCK32文件,蠕虫获取访问从这台机

器发送出去的数据的权利。蠕虫

在关注发送出去的Email的同时关注访问的Internet 站点 (Web, ftp) 。

这个蠕虫的最直观的行为是停止访问一些Internet 站点,还不能向同样的域发送E

mail。它通过检测四个字母组合

的方式来判定:

nii.

nai.

avp.

f-se

mapl

pand

soph

ndmi

afee

yenn

lywa

tbav

yman

该蠕虫还不让用户向下列域发送Email:

wildlist.o*

il.esafe.c*

perfectsup*

complex.is*

HiServ.com*

hiserv.com*

metro.ch*

beyond.com*

mcafee.com*

pandasoftw*

earthlink.*

inexar.com*

comkom.co.*

meditrade.*

mabex.com *

cellco.com*

symantec.c*

successful*

inforamp.n*

newell.com*

singnet.co*

bmcd.com.a*

bca.com.nz*

trendmicro*

sophos.com*

maple.com.*

netsales.n*

f-secure.c*

蠕虫还可以截获发送的Email消息,然后企图向相同地址发送另一封带有染毒附件的

Email。结果受害的Email地址

将收到两封邮件,第一封是发送者的邮件,第二封的邮件主题和正文均为空但带有一个

附件,附件的名字是蠕虫根据

当前日期选择的:

README.TXT.pif

I_wanna_see_YOU.TXT.pif

MATRiX_Screen_Saver.SCR

LOVE_LETTER_FOR_YOU.TXT.pif

NEW_playboy_Screen_saver.SCR

BILL_GATES_PIECE.JPG.pif

TIAZINHA.JPG.pif

FEITICEIRA_NUA.JPG.pif

Geocities_Free_sites.TXT.pif

NEW_NAPSTER_site.TXT.pif

METALLICA_SONG.MP3.pif

ANTI_CIH.EXE

INTERNET_SECURITY_FORUM.DOC.pif

ALANIS_Screen_Saver.SCR

READER_DIGEST_LETTER.TXT.pif

WIN_$100_NOW.DOC.pif

IS_LINUX_GOOD_ENOUGH!.TXT.pif

QI_TEST.EXE

AVP_Updates.EXE

SEICHO-NO-IE.EXE

YOU_are_FAT!.TXT.pif

FREE_xxx_sites.TXT.pif

I_am_sorry.DOC.pif

Me_nude.AVI.pif

Sorry_about_yesterday.DOC.pif

Protect_your_credit.HTML.pif

JIMI_HMNDRIX.MP3.pif

HANSON.SCR

FUCKING_WITH_DOGS.SCR

MATRiX_2_is_OUT.SCR

zipped_files.EXE

BLINK_182.MP3.pif

——后门程序(Backdoor Component)

运行的时候,后门程序创建一个新的系统注册键,表明该机器已经被感染:

HKLM\Software\[MATRIX]

如果该注册键存在,后门程序将忽略安装过程,否则它将自动运行下面部分:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

SystemBackup=%WinDir%\MTX_.EXE

%WinDir% 是Windows目录。

这个后门程序在Windows中以隐含应用(服务)的方式保持激活状态,并运行一个例

行程序以连接到一些Internet 服

务器上,从那里获取文件并将他们植入系统中。所以该后门程序可以用其他病毒感染系

统或是安装特洛伊木马或其他功能

更强的后门程序。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有