MTX, virus più pericoloso del temuto

Il codicillo noto fin da agosto ha continuato a diffondersi senza alzare troppa polvere e ora sta diventando una quasi emergenza. Trend Micro afferma che nell'ultima settimana è diventato il virus più diffuso. Segnalazioni in Italia

MTX, virus più pericoloso del temutoWeb - Scoperto lo scorso agosto, il virus W95.MTX, MTX per gli amici, è molto più pericoloso di quanto si temeva. La sua capacità di diffusione, ritenuta in origine piuttosto limitata, si sta infatti rivelando molto pervasiva al punto che una delle più note aziende antivirus, Trend Micro, ha avvertito che nella scorsa settimana MTX è stato segnalato come il virus più diffuso sulla Rete. Stando alle segnalazioni in arrivo in queste settimane, numerosi sono anche gli "avvistamenti" del virus in Italia.

MTX è un virus che si diffonde nel "solito modo", come attachment di posta elettronica con la capacità, se aperto, di infettare sistemi Outlook che girano su Windows. Lo scorso settembre i laboratori Symantec avevano avvertito di un aumento della diffusione di MTX ma ancora non si riteneva che potesse arrivare ai livelli di oggi, tanto da essere classificato come virus ad altissima diffusione.

Secondo quelli del SARC, i labs Symantec, W95.MTX ha la particolarità di essere costituito da due componenti principali: un virus e un worm. Capace di aggredire alcuni eseguibili in determinate directory dei sistemi Windows a 32 bit, il componente worm si occupa di effettuare una copia di Wsock32.dll, rinominandolo in Wsock32.mtx e modificandolo per consentire alla componente virus di inviare una copia del worm-virus a qualsiasi destinatario a cui l'utente infettato invii un messaggio di posta elettronica.

L'email che arriva all'ignaro destinatario non ha subject e contiene in attachment un file la cui vera estensione può non essere visualizzata dal client di posta elettronica dell'utente perché "nascosta" dietro estensioni fittizie e dietro uno dei tanti nomi utilizzati a caso dal virus.
Ecco l'elenco dei nomi degli attachment infetti: I_wanna_see_you.txt.pif, Matrix_screen_saver.scr, Love_letter_for_you.txt.pif, New_playboy_screen_saver.scr, Bill_gates_piece.jpg.pif, Tiazinha.jpg.pif, Feiticeira_nua.jpg.pif, Geocities_free_sites.txt.pif, New_napster_site.txt.pif, Metallica_song.mp3.pif, Anti_cih.exe, Internet_security_forum.doc.pif, Alanis_screen_saver.scr, Reader_digest_letter.txt.pif, Win_$100_now.doc.pif, Is_linux_good_enough!.txt.pif, Qi_test.exe, Avp_updates.exe, Seicho_no_ie.exe, You_are_fat!.txt.pif, Free_xxx_sites.txt.pif, I_am_sorry.doc.pif, Me_nude.avi.pif, Sorry_about_yesterday.doc.pif, Protect_your_credit.html.pif, Jimi_hendrix.mp3.pif, Hanson.scr, F___ing_with_dogs.scr, Matrix_2_is_out.scr, Zipped_files.exe, Blink_182.mp3.pif.

Una volta "dentro", il componente virus cerca sul sistema eventuali programmi antivirus attivi. Se li trova, il codice evita di attivarsi. Se non li trova, invece, decomprime il componente worm, infila una copia di quest'ultimo nella directory di Windows e lo fa girare. Il nome del file "inserito" dal virus è Ie_pack.exe. Una volta che questo viene eseguito, si autorinomina in Win32.dll.

Non contento, il virus infila nel sistema anche il file Mtx_.exe. Si tratta di un software di scaricamento che si collega ad un sito specifico dove sono presenti plug-in per il virus, da scaricare e attivare sui computer vittima. Nel registro di Windows, inoltre, viene inserita una istruzione che attiva in modalità nascosta il programma di download ogni volta che il sistema viene fatto ripartire.

Prima di concludere la sua opera, la più recente versione del virus, che pare originaria della Germania, sembra si dedichi ad aprire anche la porta 1137, che da quel momento in poi può essere utilizzata come via di ingresso dall'esterno di pressoché qualsiasi codice senza che l'utente ne sia consapevole.

Per eliminare il virus, oltre allo scaricamento degli upgrade antivirus successivi al primo settembre scorso, si può procedere cercando ed eliminando qualsiasi file W95.mtx, W95.mtx.dll, W95.mtx.dr. E togliendo dal registro la chiave HKLM\Software\Microsoft\Windows\CurrentVersion\Run as value "SystemBackup"="C:\WINDOWS\MTX_.EXE".