MTX
PeligrosidadDañoPropagación

Efectos 

MTX infecta los ficheros de Windows con formato PE (Portable Ejecutable), que encuentra en los directorios Windows, Temp y en el directorio activo en el momento de la infección.

Estos ficheros tienen extensión EXE, DLL, OCX, SCR y CPL, entre otras. Cuando se ejecutan los ficheros infectados por MTX se producen nuevos contagios del virus.

Los efectos, que produce MTX con su infección, son:

• Descarga ficheros de Internet, que guarda en el ordenador infectado utilizando para ello el componente troyano que incorpora.
• Se envía automáticamente por correo cada vez que el usuario afectado manda un mensaje.

Metodo de Infección 

MTX crea los siguientes ficheros:

• WSOCK32.MTX, en el directorio c:\windows\system, como copia infectada del fichero WSOCK32.DLL.
• WININIT.INI, en el directorio c:\windows. La función de este fichero es sustituir la librería original WSOCK32.DLL por la infectada WSOCK32.MTX.
• WIN32.DLL, IE_PACK.EXE y MTX_.EXE, en el directorio C:\ Windows. Permanecen ocultos para que los usuarios no sean conscientes de su existencia.

MTX modifica las siguientes entradas del Registro de Windows:

• HKLM\ Software\ Microsoft\ Windows\ CurrentVersion\ Run

  Esta modificación permite a MTX activarse siempre que arranca el ordenador, mediante la ejecución del fichero MTX.EXE.

• HKLM\ Software

  MTX introduce una marca en esta entrada, que consiste en una carpeta con el nombre [MATRIX]. Con ello, MTX reconocerá que el ordenador ya ha sido infectado.

  Para evitar ser descubierto, MTX emplea la técnica conocida como EPO (Entry Point Obscuring). Ésta no realiza ninguna modificación en el punto de entrada original del fichero que infecta, sino que introduce en dicha entrada una nueva instrucción (con la que realiza una llamada a la activación del virus).

Método de Propagación 

MTX se propaga rápidamente a través de correo electrónico como un fichero incluido dentro de un mensaje. Este fichero tiene dos extensiones, siendo una de ellas: EXE, SCR o PIF.

• El nombre del fichero varía en cada infección, pudiendo ser alguno de los siguientes:
  NEW_NAPSTER_site.TXT.pif
  METALLICA_SONG.MP3.pif
  ANTI_CIH.EXE
  INTERNET_SECURITY_FORUM.DOC.pif
  ALANIS_Screen_Saver\ SCRREADER_DIGEST_LETTER.TXT.pif
  WIN_$100_NOW.DOC.pif
  IS_LINUX_GOOD_ENOUGH!.TXT.pif
  QI_TEST.EXE
  AVP_Updates.EXE
  SEICHO-NO-IE.EXE
  YOU_are_FAT!.TXT.pif
  FREE_xxx_sites.TXT.pif
  I_am_sorry.DOC.pif
  Me_nude.AVI.pif
  Sorry_about_yesterday.DOC.pif
  Protect_your_credit.HTML.pif
  JIMI_HMNDRIX.MP3.pif
  HANSON.SCR
  FUCKING_WITH_DOGS.SCR
  MATRiX_2_is_OUT.SCR
  zipped_files.EXE
  BLINK_182.MP3.pif
• Cuando se ejecuta el fichero adjunto, MTX produce su infección. A partir de ese momento, MTX espera hasta que se envíe un nuevo mensaje de correo desde el ordenador afectado.
• Cuando el usuario envía un mensaje de correo a cualquier destinatario, MTX reacciona propagándose de inmediato.
  Para conseguirlo, MTX manda otro mensaje a ese mismo destinatario (siempre y cuando su dirección no corresponda a la de una compañía antivirus), incluyendo en él un fichero infectado.