뉴질랜드의 모든 것! - http://www.allaboutnz.com

운영자님 Win32/MTX에 감염되어 있습니다. 천재맨

on 02/05/01

운영자님 Win32/MTX에 감염되어 있습니다.
http://home.ahnlab.com/download/v3neo.html
여기서 V3 최신버젼으로 꼭 검사하시길...

Win32/MTX 바이러스는 I-Worm.MTX, I-Worm.Win32.MTX, PE_MTX.A, W95.MTX.dr, W32/MTX@MM, W32/Apology 등으로 불리는 바이러스로 자신들을 '[MATRix]'로 부르는 바이러스 제작 그룹에서 제작한 것으로 추정된다.
2000년 8월 23일 발견되었으며 국내에는 9월 9일 발견되었다.

사용자가 감염된 파일을 실행하면 윈도우 디렉토리( 일반적으로
C:\Windows 폴더 )에 다음 파일이 생성된다. 단, 몇몇 파일은 숨김 속성으로 Windows 탐색기로 찾지 못할 수도 있다.

IE_PACK.EXE ( 바이러스 본체 - 18483 바이트 )
WIN32.DLL ( 바이러스 본체 - 18483 바이트 )
MTX_.EXE ( 백도어 프로그램 - 6144 바이트 )

레지스트리에 다음의 항목들이 추가되며, 부팅시마다 백도어 프로그램을 실행하게 된다.

HKEY_LOCAL_MACHINE\Software\[MATRix]
: 아무 역할도 하지 않음

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run 항목에
SystemBackup = "C:\WINDOWS\MTX_.EXE"

윈도우 시스템 폴더 ( 일반적으로 C:\Windows\System ) 폴더에 WSOCK32.MTX 파일을 생성한다. 이 파일은, WSOCK32.DLL 파일을 감염시킨 것으로 다음번 부팅때 WSOCK32.MTX 파일이 WSOCK32.DLL 파일로 대체된다.

이후 사용자가 외부 메일 서버 (SMTP)를 사용해서 메일을 보낼
경우 사용자가 보낸 메일 외에 바이러스 파일이 첨부된 메일이
별도로 전송된다.

메일의 제목은 없으며 첨부 파일은 다음 중 하나가 된다.

ALANIS_Screen_Saver.SCR
ANTI_CIH.EXE
AVP_Updates.EXE
BILL_GATES_PIECE.JPG.pif
BLINK_182.MP3.pif
' FEITICEIRA_NUA.JPG.pif
FREE_xxx_sites.TXT.pif
FUCKING_WITH_DOGS.SCR
Geocities_Free_sites.TXT.pif
HANSON.SCR
I_am_sorry.DOC.pif
I_wanna_see_YOU.TXT.pif
INTERNET_SECURITY_FORUM.DOC.pif
IS_LINUX_GOOD_ENOUGH!.TXT.pif
JIMI_HMNDRIX.MP3.pif
LOVE_LETTER_FOR_YOU.TXT.pif
MATRiX_2_is_OUT.SCR
MATRiX_Screen_Saver.SCR
Me_nude.AVI.pif
METALLICA_SONG.MP3.pif
NEW_NAPSTER_site.TXT.pif
NEW_playboy_Screen_saver.SCR
Protect_your_credit.HTML.pif
QI_TEST.EXE
READER_DIGEST_LETTER.TXT.pif
SEICHO-NO-IE.EXE
Sorry_about_yesterday.DOC.pif
TIAZINHA.JPG.pif
WIN_$100_NOW.DOC.pif
YOU_are_FAT!.TXT.pif
zipped_files.EXE

몇몇 백신 업체로는 메일을 보낼 수 없게해 바이러스 발견 시기를 늦춘다.

다음과 같은 문자열을 포함하고 있다.

"Software provied by [MATRiX] VX team:
Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
Greetz:
All VX guy on #virus channel and Vecna
Visit us : ( Matrix 그룹 웹사이트 )
"

백도어 역할을 하는 MTX_.EXE 파일은 V3 제품군에선
'Win-Trojan/MTX.6144'로 진단한다.

백도어는 다음과 같은 문자열을 포함하고 있다

"Software provide by [MATRiX] team:
Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
Greetz:
Vecna 4 source codes and ideas,"

<치료방법>
Win32/MTX 바이러스는 다음의 방법으로 치료할 수 있습니다.

※ 치료시 주의점

확장자가 SCR, PIF로 첨부된 파일의 경우 V3 제품에서 검사
파일 대상이 '실행 파일 검사'로 설정되어 있다면 SCR, PIF 파
일을 기본으로 진단하지 않으므로 검사 대상을 '모든 파일'로
변경하거나 실행 파일과 함께 환경설정의 수동검사에서
'사용자 정의 형식 검사'에 PIF, SCR 확장자를 추가시켜 검사합
니다. 또한 V3+ Neo 사용자 경우 검사시 /A 옵션 (모든파일검
사)을 주어 검사합니다.

※ 치료시 참고 사항

엔진업데이트시 '패치파일' 까지 체크를 하신후 업데이트
하시면 Win32/MTX 에 감염되었던 WSOCK32.DLL 파일을
다른 PC에서 복사하지 않아도 V3Pro 2000 Deluxe가 치료시
수정을 하며 V3+ Neo 사용자분 역시 홈페이지에서 최신버전을
다운받아 치료하시면 됩니다.

- V3+ Neo 사용자

1. 최신 날짜의 엔진을 사용한 V3+ Neo를 다운로드 받아 바이러스를 치료합니다.

2. 윈도우 부팅시에 (F8)키를 눌러 Command Prompt Only Mode로
부팅하거나 시스템 종료시에 'MS-DOS에서 시스템 다시 시작'으
로 시스템을 종료해서 도스 모드로 부팅합니다.

(예) v3 c: /a

다음의 파일이 진단된다면 삭제합니다.

IE_PACK.EXE / WIN32.DLL / MTX_.EXE / WSOCK32.MTX

3. 윈도우 재부팅후에 바탕화면에서 '시작' -> '실행' 입력 창에
서 regedit를 입력해서 실행한 후에 다음의 키를 찾아 삭제합니
다.

HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows
\CurrentVersion
\Run

SystemBackup = "C:\WINDOWS\MTX_.EXE" <- 삭제

- V3Pro 2000 Deluxe 사용자

1. 최신 날짜의 엔진으로 업데이트 합니다.(이때 엔진 업데이트
와 프로그램 패치까지 해주어야 합니다.)

2. V3Pro 2000 Deluxe를 실행해서 환결설정 - 수동검사, 인터넷
/시스템 감시 부분에서 '파일형식'을 '모든 파일 검사'로 설정
해 시스템을 바이러스 검사 / 치료합니다.

3. 바이러스 진단중에 인터넷이 사용중이라면 WSOCK32.DLL 파일
을 치료하기 위해 시스템을 재부팅하며 인터넷을 사용중이 아니
라면 시스템을 재부팅하지 않고 치료됩니다.

Follow Ups:

우선 Win32/MTX에 감염되었다는 글을 올리신 천재맨님에게 감사를 드립니다. 나름대로 anti-virus프로그램을 설치하여 운영하고 있으나 지적하신 대로 Win32/MTX에 감염되었음이 확인되었습니다.

아마도 저희가 상담을 하는 과정에서 Win32/MTX 이 감염된 email이 저희에게 전달된 것 같으며 같은 이유로 저희가 상담하여 드린 답변을 받으신 분들중에서도 Win32/MTX 이 감염되었을 가능성이 있을 것으로 생각됩니다.

Win32/MTX 이 감염되었을 것으로 생각되시거나 한번쯤 자신의 컴퓨터를 virus를 체크하시고자 하시는 분은 천재맨님이 알려주신 방법대로 http://home.ahnlab.com/download/v3neo.html 를 클릭하셔서 V3+ Neo 을 다운로드 받으신후 컴퓨터를 시작->시스템종료->MS-MOD에서 시스템 다시 시작을 누루시거나 (재부팅하면서 윈도우즈가 시작되기전 F8를 누루신후 Command Prompt Only Mode 로 가셔서) v3 c:/a 눌러 virus를 확인/제거하시기 바랍니다.

천재맨님의 email이 몰라서 이렇게 게시판에 답장의 형식으로 감사의 글을 대신합니다. 한번 연락을 주십시요. 그리고 이곳을 방문하시는 여러분들께도 주의를 기울이시기를 부탁드리며, 저희로 인해 혹시 virus에 감염되셨다면 사과와 함께 이해를 구합니다. 감사합니다.

Re: 운영자님 Win32/MTX에 감염되어 있습니다. 운영자 on: 02/06/01

Post a Followup