Alias: I-Worm.MTX, MTX_.exe
Primera Aparición: 23/8/2000
Tamaño: 18,484bytes
Origen: Alemania

Este virus se extiende en sistemas Windows 9x/NT infectando archivos ejecutables Win32. Intenta enviar mensajes de correo con archivos adjuntos infectados, a la vez que instala componentes tipo backdoor con la intención de descargar y depositar "plugins" en los sistemas infectados
Tiene una estructura bastante poco usual. Engloba tres componentes diferentes ejecutados de forma independiente: un virus, un gusano y un troyano. El virus es el componente principal manteniendo al gusano y al troyano dentro de su propio código en formato comprimido y no los extrae hasta el momento en el cual está infectando el sistema.

El código del gusano no contiene todas las rutinas necesarias para infectar el sistema al que ha sido enviado mediante un archivo de correo por lo que necesitará una "ayuda" del virus. No está muy claro por qué utiliza este procedimiento, probablemente se debe a que los componentes fueron escritos por personas diferentes.

La parte del virus contiene las cadenas de texto:

SABI?.b ViRuS
Software provide by [MATRiX] VX TeAm: Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
Greetz: All VX guy in #virus and Vecna for help us
Visit us at:
http://www.coderz.net/matrix 

La parte del gusano contiene las cadenas de texto:

Software provide by [MATRiX] VX team:
Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
Greetz:
All VX guy on #virus channel and Vecna
Visit us: www.coderz.net/matrix 

La parte troyano contiene las cadenas de texto:

Software provide by [MATRiX] team:
Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
Greetz:
Vecna 4 source codes and ideas 


* El componente virus
Infecta los archivos utilizando la tecnología "Entry Point Obscuring", es decir no afecta al archivo en su código de entrada, sino que sitúa instrucciones de salto en algún otro lugar en medio del código del archivo para intentar que los procesos de detección/desinfección sean más complejos. Como resultado el virus es activado sólo en caso de que los archivos afectados reciban el control.

El virus está también encriptado, por tanto al tomar el control se desencripta a sí mismo.
Es entonces cuando busca las librerías API Win32 necesarias escaneando el kernel de Win32. Para conseguirlo, el virus intenta con las direcciones de Win9x, WinNT y Win2000.

Seguidamente busca programas anti-virus activos en el sistema y termina en caso de detectar alguno. La lista de los programas que busca es la siguiente:

AntiViral Toolkit Pro
AVP Monitor
Vsstat
Webscanx
Avconsol
McAfee VirusScan
Vshwin32
Central do McAfee VirusScan 

En el siguiente paso el virus instala sus componente descomprimidos en el directorio Windows del sistema. Crea tres archivos que están ocultas a través de sus atributos:

IE_PACK.EXE - Código puro del gusano
WIN32.DLL - Código del gusano infectado por el virus
MTX_.EXE - Código del troyano

Después el virus infecta cada uno de los archivos ejecutables que se encuentran en los directorios Windows y Temp, haciendo aumentar estos archivos de tama o en 9 kbytes aproximadamente.

* El componente Gusano
Para enviar mensajes infectado, el gusano usa la misma tecnologia que Happy99.
Ataca al archivo WSOCK32.DLL del directorio System de Windows a adiendo un componente de su código al final del archivo para que no se envíe WSOCK32.DLL.
Como resultado el gusano monitoriza todos los datos que son enviados desde el equipo infectado a Internet.
Generalmente el archivo WSOCK32.DLL está en uso en el momento en que se inicia el gusano, y 
protegido contra escritura. Para evitar que el gusano utilice la forma estándar, hace una copia de WSOCK32.DLL original con el nombre WSOCK32.MTX, infecta esta copia y escribe en el archivo WININIT.INI: "sustituir el archivo original por el infectado".

NUL=C:\WINDOWS\SYSTEM\WSOCK32.DLL
C:\WINDOWS\SYSTEM\WSOCK32.DLL=D:\WINDOWS\SYSTEM\WSOCK32.MTX 

donde "C:\WINDOWS\SYSTEM" es el nombre del directorio System de Windows y 
puede variar dependiendo del nombre donde el directorio Windows esté instalado.

En el siguiente arranque el archivo WSOCK32 .DLL infectado sustituye al original y el gusano consigue acceder a los datos que son enviados desde la máquina infectada. El gusano presta atención a los lugares de Internet que son visitados (Web, ftp) y también a los mensajes de correo enviados.
La forma más visible de detectar el virus es que elude visitar varios lugares de Internet, así como desactiva el envío de mensajes al mismo dominio (nombres de dominio de anti-virus). El virus los detecta por la combinación de cuatro letras:

nii.
nai.
avp.
f-se
mapl
pand
soph
ndmi
afee
yenn
lywa
tbav
yman 

El gusano tampoco permite enviar mensajes de correo a los dominios:

wildlist.o*
il.esafe.c*
perfectsup*
complex.is*
HiServ.com*
hiserv.com*
metro.ch*
beyond.com*
mcafee.com*
pandasoftw*
earthlink.*
inexar.com*
comkom.co.*
meditrade.*
mabex.com *
cellco.com*
symantec.c*
successful*
inforamp.n*
newell.com*
singnet.co*
bmcd.com.a*
bca.com.nz*
trendmicro*
sophos.com*
maple.com.*
netsales.n*
f-secure.c* 

También intercepta los mensajes de correo enviados e intenta enviar a la misma dirección mensajes duplicados con documentos adjuntos infectados igual que hacía Happy99.
Como resultado, los destinatarios víctimas deberían recibir dos mensajes: primero el original escrito por el emisor y el segundo con referencia y el texto vacíos, y un archivo adjunto con un nombre de una lista seleccionado por el gusano dependiendo de la fecha:

README.TXT.pif
I_wanna_see_YOU.TXT.pif
MATRiX_Screen_Saver.SCR
LOVE_LETTER_FOR_YOU.TXT.pif
NEW_playboy_Screen_saver.SCR
BILL_GATES_PIECE.JPG.pif
TIAZINHA.JPG.pif
FEITICEIRA_NUA.JPG.pif
Geocities_Free_sites.TXT.pif
NEW_NAPSTER_site.TXT.pif
METALLICA_SONG.MP3.pif
ANTI_CIH.EXE
INTERNET_SECURITY_FORUM.DOC.pif
ALANIS_Screen_Saver.SCR
READER_DIGEST_LETTER.TXT.pif
WIN_$100_NOW.DOC.pif
IS_LINUX_GOOD_ENOUGH!.TXT.pif
QI_TEST.EXE
AVP_Updates.EXE
SEICHO-NO-IE.EXE
YOU_are_FAT!.TXT.pif
FREE_xxx_sites.TXT.pif
I_am_sorry.DOC.pif
Me_nude.AVI.pif
Sorry_about_yesterday.DOC.pif
Protect_your_credit.HTML.pif
JIMI_HMNDRIX.MP3.pif
HANSON.SCR
FUCKING_WITH_DOGS.SCR
MATRiX_2_is_OUT.SCR
zipped_files.EXE
BLINK_182.MP3.pif 

Así como el fichero adjunto, el gusano utiliza el archivo WIN32.DLL depositado por el virus.

Note: el gusano no carga el archivo WIN32.DLL, pero lo utiliza para adjuntarlo al mensaje enviado. Por tanto el "gusano puro" no puede extenderse más de una vez: al ser ejecutado en un equipo víctima infectará WSOCK32.DLL, pero no podrá enviar sus copias más allá. Para solucionar este problema, el gusano envía su copia infectada (WIN32.DLL es un componente del gusano infectado por el virus como se dijo anteriormente).

Afortunadamente, el gusano tiene un fallo en su rutina de propagación y los servidores de correo fallan al recibir los mensajes afectados recibidos de la máquina infectada. Por lo tanto, la versión del gusano conocida, no pude puede estenderse muy ampliamente.

* Componte Troyano
Al ejecutarse el troyano crea una nueva entrada en el registro del sistema para indicar que la máquina ya ha sido infectada:

HKLM\Software\[MATRIX] 

En el caso de que exista esta clave, el troyano salta el proceso de instalación. Por otra parte se registra a sí mismo en la sección auto-run:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
SystemBackup=%WinDir%\MTX_.EXE 

Donde %WinDir% es el directorio de Windows.

El troyano permanece activo en Windows como una aplicación oculta (servicio) y ejecuta una rutina que se conecta a algunos servidores de Internet, consigue archivos de allí y los deposita en el sistema. Por tanto el troyano puede infectar el sistema con otros virus o instalar otros troyanos más funcionales.

Este componente en la versión conocida del virus tiene también un fallo que crea un mensaje de Windows estándar de error en la aplicación cuando el troyano intenta acceder a algún sitio en Internet.