[金帥科技報導]                              2000/10/03


下載最新空中預警機

MTX特洛伊病毒網路現身,具有多重身份
會感染PE執行檔、偷發e-Mail與駭客功能
請勿開啟不明.pif與.scr附帶檔

MTX病毒是近日發現的一隻PE型特洛伊病毒與感染型病毒,此病毒會利用E-mail發信散播,其附帶檔為 .pif 或 .scr (螢幕保護程式),收信人比較容易失去戒心而開啟附帶檔,進而中毒。

信件內容如下:

主旨:(空白)
內文:(空白)

附帶檔:(會改變,見附註)

病毒行為:

  1. MTX病毒會產生三個檔案IE_PACK.EXE、WIN32.DLL、MTX_.EXE在Windows根目錄下,並將三個檔案的屬性設為隱藏。
  2. MTX病毒具有感染的能力,它會感染現行目錄、暫存目錄與Windows目錄下的所有*.exe檔,被感染的檔案其長度會膨脹18KB。
  3. 病毒內部訊息顯示
    SABI    Á.b ViRuS
    Software provide by [MATRiX] VX TeAm: Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
    Greetz: All VX guy in #virus and Vecna for help us
    Visit us at:
    http://www.coderz.net/matrix

    MTX病毒是由一名為MATRIX病毒組織所寫,其內敘述之    www.coderz.net/matrix網頁現已不存在,而www.coderz.net則是外國【29A】病毒組織中屬名為Bumblebee的人所設立。(Cholera Worm霍亂蟲、CTX病毒、Win2000.Installer等病毒均由【29A】病毒組織成員所開發)

偷發e-Mail害蟲行為:

  1. 會將正常的Wsock32.dll置換成病毒所提供的Wsock32.dll,造成發信的不便。
  2. 害蟲內部訊息顯示
    Software provide by [MATRiX] VX team:
    Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
    Greetz:
    All VX guy on #virus channel and Vecna
    Visit us: www.coderz.net/matrix
  3. 會禁止使用者發信到某些伺服器上,名單如下:
    wildlist.o*、il.esafe.c*、perfectsup*、complex.is*、HiServ.com*、hiserv.com*、metro.ch*、beyond.com*、mcafee.com*、pandasoftw*、earthlink.*、nexar.com*、comkom.co.*、meditrade.*、mabex.com *、cellco.com*、symantec.c*、successful*、inforamp.n*、newell.com*、singnet.co*、bmcd.com.a*、bca.com.nz*、trendmicro*、sophos.com*、maple.com.*、netsales.n*、f-secure.c*
  4. 附帶檔名單如下:
    README.TXT.pif
    I_wanna_see_you.txt.pif
    Matrix_screen_saver.scr
    Love_letter_for_you.txt.pif
    New_playboy_screen_saver.scr
    Bill_gates_piece.jpg.pif
    Tiazinha.jpg.pif
    Feiticeira_nua.jpg.pif
    Geocities_free_sites.txt.pif
    New_napster_site.txt.pif
    Metallica_song.mp3.pif
    Anti_cih.exe
    Internet_security_forum.doc.pif
    Alanis_screen_saver.scr
    Reader_digest_letter.txt.pif
    Win_$100_now.doc.pif
    Is_linux_good_enough!.txt.pif
    Qi_test.exe
    Avp_updates.exe
    Seicho_no_ie.exe
    You_are_fat!.txt.pif
    Free_xxx_sites.txt.pif
    I_am_sorry.doc.pif
    Me_nude.avi.pif
    Sorry_about_yesterday.doc.pif
    Protect_your_credit.html.pif
    Jimi_hendrix.mp3.pif
    Hanson.scr
    F___ing_with_dogs.scr
    Matrix_2_is_out.scr
    Zipped_files.exe
    Blink_182.mp3.pif

駭客行為:

  1. 會在Registry寫入執行Windows目錄下的MTX_.EXE,以便每次開機均會執行到駭客程式。
  2. 會自動上網到一些指定站台下傳其它病毒或駭客程式回來執行。
  3. 駭客內部訊息顯示
    Software provide by [MATRiX] team:
    Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
    Greetz:
    Vecna 4 source codes and ideas

解毒方案:
一般電腦用戶可以自行搜尋,PE檔案若內含"gum;\"的字串,則表示中毒了。
若收到相關附帶檔的E-mail信件,請勿執行以免中毒。

ZLOCK 2000的用戶上網後會自動傳回MTX病毒的掃毒、解毒程式,金帥用戶亦可自行上網下載,空中預警機亦提供MTX病毒免費的掃毒、解毒服務。
空中預警機網址:http://www.ggreat.com.tw。