PE_MTX_II.A — вежливый вирус-червь

PE_MTX_II.A — полиморфный вирус-червь, заражающий системы под управлением Win32. Содержит три компоненты: троянскую, червя и Palm-компоненту.
Вирус инфицирует EXE-файлы Win32 и затем распространяет их с помощью электронной почты, а также прерывает работу Palm-приложений.

После выполнения червь предлагает пользователю зараженного компьютера выбор: инфицировать определенный файл, который затем будет непрерывно инфицировать другие файлы, или нет.

Вирус копирует себя в системный каталог Windows в файл со случайным именем и раширением DLL. Затем распаковывает свою компоненту, инфицирующую файлы, в тот же каталог в файл со случайным именем и раширением TMP, после чего создает отдельный процес и запускает оригинальный вирусный файл на выполнение.

Затем злодей информирует пользователя о создании копии вирусного файла, показывая следующее сообщение:

THIS IS THE CURRENT VIRUS FILE NAME:

C:WINDOWSSYSTEM[случайное имя].DLL

После этого вирус ищет на жестком диске файлы WS2_32.DLL и WSOCK32.DLL и спрашивает разрешения у пользователя на инфицирование файла:

CAN I TRY TO INFECT THIS FILE?

C:WINDOWSSYSTEMWS2_32.DLL

[OK] [Cancel]

При выборе пользователем кнопки OK вирус инфицирует выбранный файл, в противном случае — нет.

Вирус также создает резервную копию файла (выбранного для заражения) с расширением «.—«. Он исправляет экспортируемые (из DLL) функции «recv», «send» и «connect», которые указывают на вирусный код.

После инфицирования файлов вирус показывает следующее сообщение:

THIS FILE WAS INFECTED:

C:WINDOWSSYSTEMWS2_32.—

Затем загружает библиотеку IMAGEHLP.DLL и использует SearchTreeForFile API для поиска следующих файлов:

NAPSTER.EXE
WINZIP32.EXE
EUDORA.EXE
WINRAR.EXE
W32DSM89.EXE
WZSEPE32.EXE
WSCRIPT.EXE
ICQ.EXE

Вирус ищет вышеперечисленные файлы и инфицирует их.

Вирус не заражает файлы, длина которых меньше, чем 8Кб, или больше, чем 9216Кб, а также файлы, содержащие любые 2-х байтные последовательности в своих именах:

«AV»
«00»
«VS»
«RW»
«VC»
«GP»

Перед инфицированием файла вирус проверяет первый байт в точке входа и не заражает этот файл, если первый байт представляет собой PUSHF(9Ch) или PUSHA-инструкцию (60h). Это гарантирует, что файл не будет заражен дважды.