ウイルス情報

ウイルス名

W32/MTX@mm

種別 ウイルス
ファイルサイズ
最小定義ファイル
(最初に検出を確認したバージョン)
対応定義ファイル
(現在必要とされるバージョン)
4093 (現在7634)
対応エンジン 4.0.70以降 (現在5600) 
エンジンバージョンの見分け方
別名 BackDoor.Matrix.6144, I-Worm.MTX, I-Worm.MTX.b, MTX_.exe, PE_MTX.A, TROJ_MTX.A, TROJ_MTX.B, TROJ_MTX.D, W32/Apology, W32/Apology-B, W32/MTX.gen@M, W95/MTX.gen@M, W32/MTX@M, W32/Sabi.Ins, W95.MTX, W95.MTX.dr, W95/MTX.9244, W95/MTX.dll@M, W95/MTX.svr, W95/MTX@M, Win95.Matrix.9216
情報掲載日 00/09/01
発見日(米国日付) 00/08/23
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法


  • 既に感染してしまった場合は、次の対処方法にしたがってウイルスの駆除を行ってください。

    対処方法



  • 2000年8月23日にMcAfee AVERTによって確認されたウイルスです。

  • Windows 9x/NTシステムに感染する32ビットのPE(Portable Excutable)ファイル型ウイルスです。

  • WSOCK32.DLLを修正して、添付ファイルとしてSMTPトラフィックをフックしようとします。

  • 「ネットワーク全体」の中で使用可能な共有部分を検索して、ホストシステムに転送しようとします。

  • このウイルスは、「ウイルス」と「インターネットウイルス」と「バックドア」を組み合わせたものです。

  • インターネット/バックドアの部分は以下のようなものです。:

    - メール配信機能を備えているため、添付ファイル付きのメールを配信することがあります。

    - 添付ファイルの名前は、I_am_sorry_doc.pifやzipped_files.exeなどですが、この名前は変わることがあります。

    - ファイル名や拡張子にかかわらず、添付されるファイルは32ビットの"PE"ファイルです。(PEファイルはWindows 9x/NT共通です。)

  • ウイルスの部分:

    - Windowsフォルダにある.EXEや.DLLなどの32ビットPEファイルを改変します。
    - ローカルでマッピングされたドライブを検索して、感染対象となるファイルを見つけます。

  • このウイルスに感染した場合、以下のファイルがローカルシステム(Windowsフォルダ)に存在します。

    IE_PACK.EXE
    MTX_.EXE
    WIN32.DLL
    WSOCK32.MTX

  • このウイルスに感染した場合、 WININIT.INIファイルは、次にリブートしたときに、通常のwsock32.dllファイルではなく、ウイルスが落とし込んだファイルであるwsock32.mtxを呼び出すように改変されます。

  • このウイルスが電子メールで自身を配信した場合、次のいずれかのファイル名になります。ファイル名はランダムに決定されます。

    ALANIS_Screen_Saver.SCR
    ANTI_CIH.EXE
    AVP_Updates.EXE
    BILL_GATES_PIECE.JPG.pif
    BLINK_182.MP3.pif
    ' FEITICEIRA_NUA.JPG.pif
    FREE_xxx_sites.TXT.pif
    FUCKING_WITH_DOGS.SCR
    Geocities_Free_sites.TXT.pif
    HANSON.SCR
    I_am_sorry.DOC.pif
    I_wanna_see_YOU.TXT.pif
    INTERNET_SECURITY_FORUM.DOC.pif
    IS_LINUX_GOOD_ENOUGH!.TXT.pif
    JIMI_HMNDRIX.MP3.pif
    LOVE_LETTER_FOR_YOU.TXT.pif
    MATRiX_2_is_OUT.SCR
    MATRiX_Screen_Saver.SCR
    Me_nude.AVI.pif
    METALLICA_SONG.MP3.pif
    NEW_NAPSTER_site.TXT.pif
    NEW_playboy_Screen_saver.SCR
    Protect_your_credit.HTML.pif
    QI_TEST.EXE
    READER_DIGEST_LETTER.TXT.pif
    SEICHO-NO-IE.EXE
    Sorry_about_yesterday.DOC.pif
    TIAZINHA.JPG.pif
    WIN_$100_NOW.DOC.pif
    YOU_are_FAT!.TXT.pif
    zipped_files.EXE

  • このウイルスに感染した場合、次のレジストリキーが作成されます。

    HKLM\Software\[MATRiX]
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run
    SystemBackup = "C:\WINDOWS\MTX_.EXE"

  • Windows起動時には、上記のMTX_.EXEファイルが、上記のレジストリより起動されます。このファイルは、ウイルスがシステムで初めて実行された時にメモリ常駐状態になります。

  • MTX_.EXEはプロセスとして作動し、インターネットコールを2分毎に発生させ、TCPポート1137で通信をします。

  • このウイルスに感染すると、アドレスに以下の文字を含むWEBサイトにアクセスすることができなくなります。しかし、IPアドレスを指定することで、問題は回避されます。

    • nii.
    • nai.
    • avp.
    • f-se
    • mapl
    • pand
    • soph
    • ndmi
    • afee
    • yenn
    • lywa
    • tbav
    • yman

  • このウイルスはVirusScanのデフォルトの設定では検出できない拡張子のファイルが存在します。Vshield/オンデマンドスキャンを『プログラムファイルのみ』又は『指定した拡張子のみ』で運用されているお客様は、VirusScanのバージョンに従い、Vshieldの各コンポーネント/オンデマンドスキャンに拡張子を追加して下さい。

    【追加して頂く拡張子】

    VirusScan4.0.3x(含むNT版)、NetShield4.0.3x以前の製品
      .pif
      .scr

    VirusScan4.5、NetShield4.5a以降の製品
      .pif

       追加方法につきましては、各製品のマニュアルをご参照下さい。



    MTXの別名について

  • MTXは複数のファイルの感染します。感染ファイルの種類ごとに名前が違います。
    感染ファイルの種類と検出名の一覧は以下のとおりです。

    ファイルの種類 検出ウイルス名
    感染した*.exe/dllなど W95/MTXgen@M
    IE_PACK.exe(MTXが作成) W95/MTX@M
    MTX_.exe(MTXが作成) W95/MTX.svr
    WSOCK32.DLL(MTXが作成) W95/MTXdll@M

  • このウイルスには以下の別名がついています。以下の名前のウイルスを検出した場合の対応方法はW32/MTX@MMと同じです。

    別名
    I-Worm.MTXI-Worm.MTX.b
    MTX_.exePE_MTX.A
    TROJ_MTX.ATROJ_MTX.B
    TROJ_MTX.DW32/Apology
    W32/Apology-BW32/MTX.gen@M
    W95/MTXgen@MW32/MTX@M
    W32/Sabi.InsW95.MTX
    W95.MTX.drW95/MTX.9244
    W95/MTX.dll@MW95/MTX.svr
    W95/MTX@MWin95.Matrix.9216
    BackDoor.Matrix.6144