Win32/MTX.A.Worm

Wird eine infizierte Datei ausgeführt, entpackt der MTX-Wurm [1] einige Dateien in den Windows Ordner und verändert die Registry so, dass die Datei Mtx_.exe beim PC-Start automatisch geladen wird. Weiter steckt der Virus einige Programm-Dateien im Windows-Ordner an.

Der Trojaner-Teil versucht Dateien aus dem Web zu laden, die anderen schädlichen Code enthalten könnten. Als nächstes wird der Wurm-Teil ausgeführt und die Original-Datei Win32.DLL durch die Version des Virus ersetzt. Diese modifizierte DLL merkt, wenn eine E-Mail verschickt wird und sendet dem selben Empfänger gleich eine zweite Mail hinterher. Aufgrund eines Programmfehlers schlägt der Versuch, ein verseuchtes Attachment an diese Mail zu hängen, manchmal fehl.

Verzwickt: Der Wurm überwacht den Web-Zugriff des infizierten PCs. Versucht der Benutzer eine Antivirus-Homepage aufzurufen, crasht der PC! Ob es sich um die Webseite eines Antiviren-Herstellers handelt, merkt der Schädling daran, ob bestimmte Zeichen im Domain-Namen der Web-Adresse vorkommen. Beispiele: NII., nai., avp., AVP., F-Se, f-se, mapl, pand, soph, ndmi, afee, yenn, lywa, tbav, yman, wildlist.o, il.esafe.c, perfectsup und viele mehr.

Eine Anleitung, wie Sie den Schädling von einem infizierten System entfernen können, finden Sie auf der Webseite der Technischen Universität Berlin [2].