FINO AL 30 SETTEMBRE TUTTI GLI EBOOK COSTANO LA METÀ

Scegli il tuo ebook e risparmia!
Home
Virus: arriva w95.mtx

15 Gennaio 2001

Virus: arriva w95.mtx

di

Dedicato a chi si è ricevuto un file .mp3 di Jimi Hendrix e chi un link per un site superporno: il virus w95.mtx dilaga e crea mal di testa per molti. E per tutti quelli a cui è già arrivato, ecco i segreti per levarselo di torno.

Prima o poi arriva, va e torna, innocente attachment di un messaggio di un amico e noi, fiduciosi di aprire nuovi orizzonti, ci caschiamo,. E di lì comincia l’Odissea. Io stavo giusto scrivendo un articolo su di lui, il maledetto MTX, quando mi sono trovato il computer infettato. E ho fatto le tre di mattina per rimettere tutto a funzionare. E con tutti gli auguri elettronici che circolano, aspettatevi di vederlo girare in casa vostra anche voi.

Come faccio a sapere che ce l’ho?

Il virus W95.MTX, che viene in tre versioni (W95.MTX, W95.MTX (dll), 95.MTX.dr) è veramente una brutta bestiaccia. Cancella file di sistema, si sostituisce a programmi necessari all’uso di windows, si espande, si autoreplica, e sopratutto, si spedisce insieme a tutti i messaggi e-mail che mandate in giro. In realtà, come voi mandate un messaggio, l’MTX ne manda subito un altro inserendo come mittente il vostro e-mail. Chi riceverà questo messaggio si dirà: ma cosa vuole questo Roberto? E spesso e volentieri abbocca cliccando su un innocente attachment con uno di questi nomi, a scelta:

README.TXT
I_wanna_see_YOU.TXT
MATRiX_Screen_Saver.SCR
LOVE_LETTER_FOR_YOU.TXT
NEW_playboy_Screen_saver.SCR
BILL_GATES_PIECE.JPG
TIAZINHA.JPG
FEITICEIRA_NUA.JPG
Geocities_Free_sites.TXT
NEW_NAPSTER_site.TXT
METALLICA_SONG.MP3
ANTI_CIH.EXE INTERNET_SECURITY_FORUM.DOC
ALANIS_Screen_Saver.SCR
READER_DIGEST_LETTER.TXT
WIN_$100_NOW.DOC
IS_LINUX_GOOD_ENOUGH!.TXT
QI_TEST.EXE
AVP_Updates.EXE
SEICHO-NO-IE.EXE
YOU_are_FAT!.TXT
FREE_xxx_sites.TXT
I_am_sorry.DOC
Me_nude.AVI
Sorry_about_yesterday.DOC
Protect_your_credit.HTML
JIMI_HMNDRIX.MP3
HANSON.SCR FUCKING_WITH_DOGS.SCR
MATRiX_2_is_OUT.SCR
zipped_files.EXE
BLINK_182.MP3

Sì, perché il virus a volte manda un messaggio, a volte un altro. Ve ne è già arrivato uno? Ahi, ahi! Un click di curiosità su questo attachment e siete panati. Ma siccome io non ho fatto questa fesseria e mi sono ritrovato col virus in casa lo stesso, mi sa che ci si infetta anche in altro modo.

E se un amico vi risponde: ma cosa mi hai mandato? Sappiate che siete infetti.
I messaggi sembrano tutti estremamente innocenti: delle foto, screen saver, file mp3; non fosse che il sistema operativo non mostra che in realtà tutti questi file in attachment hanno una terminazione.pif, e quindi sono programmi DOS che una volta scatenati…
Ma a volte pare non sia neanche necessario cliccarci sopra; a me è capitato così, arrivatomi un virus, gli ho dato un’esaminatina (senza aprirlo) per preparare il materiale per l’articolo e…ZAP! In ogni caso se vi arriva un messaggio, vuoto, da un’amica carissima, completamente di fiducia, con uno dei messaggi qui sopra, NON APRITELO!! Cancellatelo subito e se possibile rintracciate l’attachment e cancellatelo immediatamente.

Invece, per sapere se ce l’avete, un semplice esame è il seguente: verificate la directory C:Windows. Avete per caso un file Mtx_.exe? Non l’avete? Tirate un sospiro di sollievo e andatevi a leggere un altro articolo. Buon Anno a tutti.

L’ho trovato! l’ho trovato!

Condoglianze. Stampatevi questo articolo, mettetevi con molta rassegnazione al lavoro e preparatevi a passare almeno 3 ore a rovistare nel vostro HD per rimettere tutto a posto. Non sarà un lavoro facile, ma é fattibile, e in ogni caso non avete scelta, più lo lasciate lì e più la necessità di riformattare l’HD sarà una triste realtà.

L’MTX é un virus composto di una parte virale e l’altra “worm”. Si autoprotegge, ritorna anche quando siete sicuri di averlo eliminato, non gira quando avete un antivirus installato (ma si nasconde e aspetta), impedisce il contatto Internet con i siti Web (Symantec, McAfee) che offrono informazioni e dati per debellarlo. Si collega ad un suo proprio website per prendere appositi plug-in per ottimizzare il suo funzionamento. Non é uno scherzo, magari Microsoft Office funzionasse così!

Il suo primo lavoro è di inserirsi al posto di file di sistema importanti, e prendere il controllo di certe operazioni. E voi non lo sapete.

Minuto per minuto la caccia al virus

In realtà sono state circa tre ore intense e drammatiche di lavoro, in cui sono riuscito a ripristinare quasi tutte le funzioni del mio laptop, pur avendo ancora alcuni file da ripristinare. In tutto mi sono ritrovato 88 file infetti, di cui molti di sistema ed essenziali. 80 sono stati riparati dall’Antivirus (Norton) 3 erano il virus stesso, altri 3 ho dovuto recuperarli dal disco di installazione di Windows, un paio ancora sono latenti.
Ma non provenivano da Windows, dio solo sa da che programma erano stati installati. Tempo di contagio: 12 ore. Vi lascio immaginare se il virus avesse agito per 3-4 giorni. Mesi fa me lo ero già ritrovato sul desktop ed ero certo di esserne ormai immune. Ottimista…

Fase 1: la caccia È aperta

Munitevi di un buon AntiVirus, con definizione dei virus non anteriore al 5/9/2000.
Il Norton AV riesce a debellarlo, il McAfee sembra ci riesca ma con definizioni virus più nuove; dei corrispondenti mi parlano di dicembre 2000. Versioni più antiche non lo vedono. Altri AV non so. Sorry.

Se tutto va bene l’Antivirus, dopo uno scan sulla partizione C: del vostro HD (attenti a fare lo scan su tutti i file, e non solo sugli.exe) vi dirà che avete una marea (70-80 come minimo) di file infetti nelle directory C:Windows e C:WindowsSystem. Dove il sistema operativo si trova. Se un vostro corrispondente ha ricevuto da voi il virus e l’Antivirus non trova niente, non illudetevi che sia un falso allarme. Ce l’avete e lui riesce a nascondersi. Provare con altro AV o fare l’aggiornamento delle definizioni dei virus. Chi si illude riformatta l’HD, prima o poi.
L’Antivirus vi dirà intanto di avere trovato i seguenti nomi di virus:
W95.MTX
W95.MTX.dr
W95.MTX (dll)
È lui, rimbocchiamoci le maniche. Chiediamo a questo punto all’AV di riparare tutti i file. Ne rimarranno 7 o 8 che non è possibile riparare. Cosa buona sarà di scriverceli, così quando andiamo a cancellare eviteremo di cancellare sbagliato. Eccone alcuni:
C:Windowsmtx_.exe. È lui, la belva. Da cancellare
C:WindowsIe_pack.exe. File di temporanei che segue il processo di infezione creato dal virus. Da cancellare.
C:WindowsApplogmtx_.lgc. Probabilmente un file dove vengono registrati tutti i cambiamenti fatti o da fare. Organizzato, il nostro amico. Da cancellare senza pietà.
C:Windowsexplorer.exe. Il cuore di Win98: senza di lui si ritorna a lavorare in DOS. Da cancellare e poi ripristinare.
C:WindowsSystemwsock32.dll. Gestione comunicazioni. Da ripristinare.
C:Windowsrundll32.exe. Gestione librerie dinamiche di Windows. A volte non viene infettato, ma sostituirlo non costa niente. Da ripristinare.
C:Windowswin32.dll. Da ripristinare.
Ci saranno ancora, a seconda della vostra configurazione, file tipo: C:Windowstaskmon.exe, C:Windowskclnt32.dll ed altri file importanti che senza i quali Win funzionicchia lo stesso, ma che nel caso sarà meglio ripristinare.

Fase due: la caccia continua dal dos

Non cercate di cancellare questi file dal Windows, non ci riuscirete: stanno funzionando. E neanche con un programma DOS che funziona sotto Windows come l’XTreeGold. Bisognerà farlo direttamente dal DOS.
Createvi subito un disco di sistema (se già non l’avete):
Start/Settings/Control Panel
Cliccare due volte su Add/Remove Programs
Cliccare Startup Disk
Mettete un disco nel lettore, cliccate Create Disk.
Così viene preparato un Disco di Sistema per fare il boot dal dischetto in DOS senza passare dal Windows e potrete cancellare i file infetti rimasti, restaurarli dal CD di installazione Windows (o dai file.cab presenti sul vostro HD), e finalmente passare alla
FASE 3.

A questo punto:
Lasciate il disco nel lettore.
Dare un restart al Windows.
Il computer si spegnerà ed accenderà, prendendo i dati dal disco e posizionandosi sul DOS.
Ci troveremo davanti un A:>. Si comincia.
Innanzitutto togliamo la protezione ai file di Windows, e poi cancelliamo tutti quelli infetti o supposti tali. Digitare (con un return alla fine di ogni riga):
set path=c:windowscommand;%path%
cd windows
attrib -r -s -h *.*
del mtx_.exe
del ie_pack.exe
del rundll32.exe
del explorer.exe
del taskmon.exe
del win32.dll
cd system
del wsock32.dll
Se qualcuno di questi file già era stato cancellato dal nostro valente Antivirus, meglio, non preoccupatevi di ricevere un messaggio di “not found”.

Fase 3: la ricostruzione

A questo punto Windows é in ginocchio, non funziona più. Un buon sistema per rimettere tutto a posto è di reinstallare Windows dal CD originale, ma per i più “hard core” si possono recuperare i file di sistema necessari direttamente dai file.cab che si trovano o sul vostro Hard Disk, oppure sul CD di installazione di Windows.
Per questa seconda alternativa vi rimando al website che spiega meglio di me come fare:

Se non ve la sentite di fare questa operazione (tutta rigorosamente dal DOS) date retta a me: reinstallatelo, questo Windows.
Seguite quindi la procedura che originalmente avete effettuato per installarlo la prima volta. Lui andrà a trovarsi tutte le devices e si rimetterà a funzionare come prima (bene, quindi, limitatamente al fatto che è Windows). Per quelli che ancora usano il Win95: passate al Win98, la vita vi sorriderà.

Fase 4: il registry

Riaccendendo il computer, Windows si lamenterà che non trova alcuni file, drivers, ecc. Normale, sono tutte modifiche fatte dal Virus MTX che noi andremo ora a correggere.
Il nostro amico MTX si è anche ben piazzato nel registry. Se avete seguito bene le istruzioni, comunque, al momento è belle stecchito defunto. Ma rimangono all’interno del registry dei settaggi che sarà meglio cancellare, non si sa mai.
Operazione da svolgere solo se siete un poco esperti della cosa, sappiate che se si corrompe il registry, Windows poi non funziona più. Maneggiare con cura e con esperienza.

Dal Windows, fate partire il REGEDIT.exe (Start/Run/Regedit), e fate una ricerca con “mtx_.exe”. Cancellare tutte le chiavi che troverete (dovrebbe essere solo una).
Rifate una ricerca con “matrix”.
Troverete una directory: HKey_Local_MachineSoftware[Matrix]
Cancellatela senza pietà.

A questo punto dovremmo essere guariti. Chiudere Windows. Spegnere, aspettare 30 secondi e riaccendere. Rifate la verifica con l’Antivirus. Dovrebbe essere tutto OK. Probabilmente Windows ululerà dicendo che mancano dei file di sistema, fateveli mandare da un amico, potrebbero essere dei file installati da qualche software. Quando troverete un software che non funziona bene, reinstallatelo, non c’è altra scelta.
Attenzione solo: quando oltre al messaggio con i file vi arriverà un altro messaggio, vuoto, senza soggetto, solo con un attachment tipo: “Alanis_Screensaver.scr”, non usatelo quel file, cancellatelo subito ed avvisate l’amico. E l’odissea ricomincia…
Buona caccia.

P.S. se non vi sentite in grado di seguire queste mie istruzioni sommarie, chiedete aiuto a qualcuno più competente. L’eliminazione di questo virus non è cosa per novellini. Non lamentatevi con me se qualcosa va storto, ma ricordatevi anche che solo reinstallare Windows non darà i risultati sperati, se prima non si eliminano i file infetti.

Ampie spiegazioni le trovate qui:

Vuoi rimanere aggiornato?
Iscriviti alla nostra newletter

Novità, promozioni e approfondimenti per imparare sempre qualcosa di nuovo

Gli argomenti che mi interessano:
Iscrivendomi dichiaro di aver preso visione dell’Informativa fornita ai sensi dell'art. 13 e 14 del Regolamento Europeo EU 679/2016.