La carica del virus worm W95.MTX

I laboratori SARC avvertono che ha iniziato a diffondersi rapidamente. Scoperto lo scorso 30 agosto, si tratta di un codice elaborato che infila worm nel sistema, si invia via email, scarica plug-in dalla Rete e apre il computer

La carica del virus worm W95.MTXRoma - Scoperto lo scorso 30 agosto, il virus W95.MTX (noto anche come W95.Oisdbo) non era stato valutato come un pericolo incombente, ma pare proprio che negli ultimi giorni la sua presenza sia stata segnalata ai principali laboratori antivirus su numerosissimi computer al punto da convincere gli esperti a portare il livello di rischio su "high", ovvero elevato.

Secondo quelli del SARC, i labs Symantec, W95.MTX ha la particolarità di essere composto da due componenti principali: un virus e un worm. Capace di aggredire alcuni eseguibili in determinate directory dei sistemi Windows a 32 bit, il componente worm si occupa di effettuare una copia di Wsock32.dll rinominandolo in Wsock32.mtx e modificandolo per consentire alla componente virus di inviare una copia del worm-virus a qualsiasi destinatario l'utente infettato invii un messaggio di posta elettronica.

L'email che arriva all'ignaro destinatario non ha subject e contiene in attachment un file la cui vera estensione può non essere visualizzata dal client di posta elettronica dell'utente perché "nascosta" dietro estensioni fittizie e uno dei tanti nomi utilizzati a caso dal virus.
Ecco l'elenco dei nomi degli attachment infetti: I_wanna_see_you.txt.pif, Matrix_screen_saver.scr, Love_letter_for_you.txt.pif, New_playboy_screen_saver.scr, Bill_gates_piece.jpg.pif, Tiazinha.jpg.pif, Feiticeira_nua.jpg.pif, Geocities_free_sites.txt.pif, New_napster_site.txt.pif, Metallica_song.mp3.pif, Anti_cih.exe, Internet_security_forum.doc.pif, Alanis_screen_saver.scr, Reader_digest_letter.txt.pif, Win_$100_now.doc.pif, Is_linux_good_enough!.txt.pif, Qi_test.exe, Avp_updates.exe, Seicho_no_ie.exe, You_are_fat!.txt.pif, Free_xxx_sites.txt.pif, I_am_sorry.doc.pif, Me_nude.avi.pif, Sorry_about_yesterday.doc.pif, Protect_your_credit.html.pif, Jimi_hendrix.mp3.pif, Hanson.scr, F___ing_with_dogs.scr, Matrix_2_is_out.scr, Zipped_files.exe, Blink_182.mp3.pif.

Una volta "dentro", il componente virus cerca sul sistema eventuali programmi antivirus attivi. Se li trova, il codice evita di attivarsi. Se non li trova, invece, decomprime il componente worm, infila una copia di quest'ultimo nella directory di Windows e lo fa girare. Il nome del file "inserito" dal virus è Ie_pack.exe. Una volta che questo viene eseguito si autorinomina in Win32.dll.

Non contento, il virus infila nel sistema anche il file Mtx_.exe. Si tratta di un software di scaricamento che si collega ad un sito specifico dove sono presenti plug-in per il virus, da scaricare e attivare sui computer vittima. Nel registro di Windows, inoltre, viene inserita una istruzione che attiva in modalità nascosta il programma di download ogni volta che il sistema viene fatto ripartire.

Prima di concludere la sua opera, la più recente versione del virus, che pare originaria della Germania, sembra si dedichi ad aprire anche la porta 1137, una porta che da quel momento in poi può essere utilizzata come via di ingresso di pressoché qualsiasi codice dall'esterno senza che l'utente ne sia consapevole.

Per eliminare il virus, oltre allo scaricamento degli upgrade antivirus successivi al primo settembre scorso, si può procedere cercando ed eliminando qualsiasi file W95.mtx, W95.mtx.dll, W95.mtx.dr. E togliendo dal registro la chiave HKLM\Software\Microsoft\Windows\CurrentVersion\Run as value "SystemBackup"="C:\WINDOWS\MTX_.EXE".