Capa » Ajuda » Vírus

Saiba mais sobre o vírus MTX
JAIME VIEIRA

O vírus MTX vem incomodando muita gente pela web, principalmente pela quantidade de arquivos anexados nas mensagens de e-mail que são trocadas todos os dias e que "levam" o vírus escondido na bagagem. Realmente é um vírus preocupante, principalmente porque sua área de infecção são os arquivos executáveis do windows, o que pode trazer grandes inconvenientes. Identificado como W95.MTX foi detectado pela primeira vez no dia 05 de setembro de 2000. Também é conhecido com o apelido de W95.Oisdbo. O W95.MTX tem um componente de vírus e de worm. Infecta alguns executáveis Win32 em pastas específicas.

O componente worm faz uma cópia do arquivo WSOCK32.DLL e nomeia para WSOCK32.MTX e a função de enviar/exportar do arquivo é modificada para apontar para o seu próprio código. Com isto, o vírus fica habilitado para enviar por e-mail uma cópia do worm infectado. Quando o usuário infectado utiliza o programa de e-mail, é enviado automaticamente mais um e-mail além da mensagem principal. Este e-mail não possui assunto e traz um arquivo Worm, com o nome WIN32.DLL modificado. O nome do arquivo anexo é modificado toda a vez em que é reenviado(abaixo da matéria, segue a lista com os nomes que podem ser encontrados).

O arquivo WININIT.INI é criado por um componente worm; este deleta o arquivo Wsock32.DLL e então renomeia o WSOCK32.MTX para WSOCK32.DLL. O WININIT.INI é executado depois do computador ser reiniciado. Depois do WININIT.INI ser criado, ele executa o componente do vírus, este procura no computador por um específico programa de antivírus sendo executado. Caso seja encontrado, então o vírus não executa. Se o vírus continua executar, ele descompacta o componente worm, deixa uma cópia dele na pasta do Windows do usuário, (geralmente c:\windows), e executa-o. O arquivo deixado é o IE_PACK.EXE, que depois de ser executado é renomeado para WIN32.DLL.

O vírus também gera o arquivo MTX_.EXE e executa-o. Este arquivo é um programa de download que vai para um site específico na Web, onde plug-ins para o vírus são baixados e executados. Ele também procura por executáveis do Win32 na pasta corrente, na pasta do Windows, e na pasta TEMP. O arquivo para ser infectado precisa ter um tamanho que não é dividido por 101, é maior que o tamanho de 8K e tem pelo menos 20 instruções de chamada importadas. Se não preencher estes requisitos, então o arquivo não é infectado pelo vírus. O vírus também adiciona uma entrada no registro que deixa o programa de download executar automaticamente toda vez que o sistema é reiniciado e não é mostrado na lista de tarefas.

Sendo um Cavalo de Tróia, seu computador pode ficar aberto para uma invasão de um hacker, portanto não vacile. Outro problema que ocorre é que o MTX de "apropria" das informações do WIN32.DLL, e todos os programas que utilizarem esta bliblioteca como referencia começarão a fazer uso dos ponteiro que o vírus determinar, e se não for bem removido, dependendo do tempo em que ficou em seu computador e da sua atuação(plugins recebidos), pode ser necessário formatar o seu HD e reinstalar seu Windows e todos os demais aplicativos.

Volta para a capa | Volta para Ajuda | Volta para Vírus

Copyright 2000 © Magnet. Todos os direitos reservados.