فيروس MTX يعطل برامج مكافحة الفيروسات ويستهدف المزيد من الضحايا

بطيء الانتشار وشديد الخطورة

حذر خبراء مكافحة فيروسات الكمبيوتر من انتشار فيروس MTX الذي بات يشكل تهديدا خطيرا لمستخدمي شبكة الانترنت ووصفوه بأنه من اشد الفيروسات تعقيدا واكثرها خطورة رغم انه بطيء الانتشار وبخاصة انه يتكون من ثلاثة اجزاء يؤدي كل منها وظيفة مستقلة في الجهاز المصاب.
واكد الخبراء ان الفيروس يصيب انظمة تشغيل ويندوز 95 و 98 و 2000 وNT من خلال رسالة بريدية تحمل ملفات الفيروس او خلال زيارة المستخدم لموقع www. coderz. net. martix الذي استخدمه مصمم او مصممو الفيروس لاصطياد الضحايا من خلال ارسال دعوات الى مستخدمي برامج الشات مثل ICQ او Microsoft chat او AOL لزيارة هذا الموقع على اعتبار انه موقع للصور الاباحية او لبرامج الكمبيوتر الجديدة المقرصنة.
ويتكون الفيروس من الجزء الرئيسي وهو المسؤول عن تنصيب الجزءين الآخرين واحدهما يعمل بنظام دودة الانترنت Worm وهي المسؤولة عن نشر الفيروس من خلال البريد الالكتروني اما الجزء الثالث فيعمل بنظام برامج الباك دور Backdoor التي يستخدمها القراصنة في اختراق اجهزة الكمبيوتر ونشر الفيروسات وبرامج تروجان هورس الخبيثة ووصف الخبراء هذا الفيروس بانه مراوغ ولديه قدرة على التخفي وخداع برامج المكافحة ولا يصيب جهاز الكمبيوتر بمجرد الوصول اليه ولكنه يبحث اولا عن برامج مكافحة الفيروسات النشطة في نظام التشغيل ويقوم بتعطيلها تماما حتى لا تتمكن من رصده واكتشافه وبعد ذلك يقوم الفيروس بتنصيب نفسه داخل ملفات Win32 System المسؤولة عن اداء المهام التنفيذية في جهاز الكمبيوتر وبمجرد السيطرة على هذه الملفات يقوم بفك ملفات الجزء الثاني والثالث منه وهو الدودة والباك دور ليعملا بشكل مستقل تماما عنه ويقوم بتنصيبهما في ملفات win 32. kernel وwin 32 API ويقوم بتخليق ثلاثة ملفات جديدة ويحمل الاول اسم IE. PACK. EXE وهو الملف المسؤول عن تنشيط الدودة ويحمل الملف الثاني اسم WIN 32. DLL وهو الذي يضم الشفرة الرئيسية للدودة الذي يستخدم في السيطرة على المهام التنفيذية في نظام التشغيل اما الملف الثالث فيحمل اسم MTX. EXE وهو خاص ببرنامج الباك دور الذي سيستخدم فيما بعد في نقل ملفات البيانات من والى جهاز الكمبيوتر المصاب عبر شبكة الانترنت من خلال الاتصال باجهزة الخدمة سي فر معينة يسيطر عليها مصممو الفيروس.
الدودة
وينتهي عمل الفيروس الرئيسي بعد اصابة ملفات PE. EXE في دليل Win 32 System ليبدأ بعد ذلك عمل الدودة التي تقوم باصابة ملفات WSOCK 32. DLL وتحاول تغيير امتداد هذه الملفات وعندما تفشل في ذلك بسبب استخدام هذه الملفات من قبل نظام التشغيل تلجأ الدودة الى الحيلة التقليدية المعروفة وهي عمل نسخة جديدة من الملفات الاصلية وتعطيها اسم WSOCK 32. DLL. MTX وتصدر امرا باحلال النسخة الجديدة بدلا من الملفات الاصلية في الدليل WININTT. INI. File وتكون صيغة الامر كالتالي:
NUL=
C\ WINDOWS\ SYSTEM\ MICROSOFT\ WSOCK 32. DLL C:\WINDOWS\ SYSTEM\ WSOCK 32. MTX
وعند اول محاولة لاعادة تشغيل جهاز الكمبيوتر تتم عملية استبدال الملفات الاصلية بالاخرى المنسوخة وبذلك تتمن الدودة من السيطرة على نظام التشغيل ويمكنها الدخول الى كل الملفات الموجودة على القرص الصلب في الجهاز المصاب وتقوم بارسال رسالة الى اجهزة الخدمة التي يسيطر عليها القراصنة مفادها ان الجهاز اصبح تحت السيطرة ويمكنه ارسال واستقبال أي ملفات.
وتقوم الدودة بعد ذلك بمنع الجهاز المصاب من الدخول الى اكثر من 29 موقعا على شبكة الانترنت معظمها خاص بشركات مكافحة الفيروسات وعلى رأسها الشركات الاربع الرئيسية في هذا المجال وهي سيمانتك التي تنتج برنامج نورتون انتي فيروس وما كافي وشركة اف سيكيور وشركة تريند ماكرو اليابانية بالاضافة الى مواقع شركات ايرث لينك وباندا سوفت وير, وتقوم الدودة ايضا بمنع ارسال اي رسالة بريد الكتروني من الجهاز المصاب الى هذه الشركات وبعد ذلك تبدأ الدودة مهمتها الرئيسية وهي نشر الفيروسات بين اكبر عدد ممكن من الاجهزة المتصلة بالجهاز المصاب عن طريق اعتراض اي رسالة بريدية صادرة منه ثم تقوم بنسخ صورها منها وتعيد ارسالها مرة اخرى ومعها الرسالة المنسوخة التي تضم ملف مرفق يحمل الفيروس وهي نفس الطريقة التي تعمل بها الدودة المعروفة باسم Happy 99\ska وتكون النتيجة ان الضحية الجديد يستقبل الرسالة الاصلية معلومة المصدر والموضوع والرسالة المنسوخة التي لا تحمل اية بيانات في موضوعها باستثناء الفيروس الذي ينشط بمجرد النقر على الملف المرفق وقالت شركة اف سيكور الفنلندية لمكافحة الفيروسات ان فيروس MTX يستطيع خداع المستخدمين بالعناوين البراقة التي تحملها الرسالة المصابة وحتى الان تم تسجيل اكثر من 30 اسما للفيروس معظمها يحمل معاني مثيرة مثل اني اعتذر عما حدث بالامس او موقع جديد لنابتسر او حافظ على بطاقتك الائتمانية او مواقع مجانية من جيوستايز او اربح 100 دولار الآن او صور لبيل جيتس وبعض الرسائل تحمل مضامين اباحية لاغراء المراهقين مثل انا عارية او مواقع اباحية او رسالة حب لك او اريد ان اراك .
وبعضها يأتي على شكل رسالة من شركات البرمجيات مثل برنامج مكافحة لفيروس تشر نوبل او رسالة تحذيرية من الانترنت او هل برنامج تشغيل لينكس جيد بما فيه الكفاية وغيرها من المعاني التي تخدع الضحايا وتدفعهم دفعا لفتح الملف المرفق.
الباك دور
اما الجزء الثالث من الفيروس فهو عبارة عن برنامج باك دور او الباب الخلفي الذي يستخدمه القراصنة في فتح الثغرات داخل اجهزة الكمبيوتر للسطو على المعلومات المهمة التي تحتويها او لنشر الفيروسات وبرامج التروجان هورس ويقوم هذا البرنامج بتنصيب نفسه داخل ملفات النظام عن طريق تكوين مفتاح خاص به يحمل اسم HKLM\SOFTWARE\MATRIX ويقوم بتسجيل نفسه كاحد ملفات بدء التشغيل تحت اسم:
HKLM\ SOFTWARE\ MICROSOFT\ WINDOWS \Current Version \Run
وبعد ذلك يصبح احد التطبيقات النشطة في نظام التشغيل لكنه يظل مختفيا بحيث لا يلاحظه المستخدم ويعمل تلقائيا بمجرد اتصال جهاز الكمبيوتر بشبكة الانترنت ويقوم بنقل الملفات والبيانات من الجهاز المصاب الى الاجهزة الخاصة بالقراصنة ويمكن من خلاله تنصيب اي فيروس او برنامج تروجان هورس في الجهاز المصاب.
وحرصا من الجزيرة على حماية اجهزة قرائها الاعزاء من خطر الاصابة بهذا الفيروس فاننا ننشر القائمة الكاملة للاسماء التي يظهر بها فيروس MTX وهي كالتالي:
README. TXT. pif. و wanna see YOU. TXT. pif و MATRIX Screnn Saver. Scr وOVE. LETTER. FOR YOU. TXT. pif وNew. playboy. Screen. Saver. SCR وBILL. GATES PICES. GPG. pif و TIAZNHA. JPG. pif و FETICEIRA. NUA. JPG. pif وGeocities FREE. Sites. TXT. pif وNEW. NAPSTER. site. TXT. pif و METALLICA. SONG. MP3. pif و ANTI. CIH. EXE. و INTERNET, SECURITY FORMUD. DOC. pif ALANIS. Screen Saver. SCR و READER. DIGEST. LETTER. TXT. pif و WIN. $ 100 NOW. DOC. pif و IS LINUX. GOOD. ENOUHG. TXT. pif و QI. TEST. EXE و AVI, Updates. EXT و EXE. SEICIHO. NO. IE وYOU are FAT. TXT. pif FREE. XXX. sites. TXT. pif و I am sorry. DOC. pif و ME. nude. AVI. pif و Sorry about, yesterday. DOC. pif وProtect YOUR, CREDIT. HTML. pif وJIMI HMUNDRIX. MP3. pif وHANSON, SCR و MATRIX. 2 IS OUT. SCR وzipped. files. EXE و BLINK. 182. MP3. pif.
العلاج
واشار الخبراء الى ان شركات مكافحة الفيروسات لم تتمكن بعد من تطوير برامجها لملاحقة هذا الفيروس والقضاء عليه لذلك فاحتمالات اصابة عدد كبير من الاجهزة به ما زالت قائمة لذلك فهم ينصحون اصحاب الاجهزة المصابة بسرعة القضاء عليه بالطريقة اليدوية التقليدية التي تتمثل في الدخول الى جهاز الكمبيوتر بنظام دوس وازالة الملفات الثلاثة التي قام الفيروس بتخليقها وهي:
IE PACK. EXE و WIN 32. DLL و MTX. EXE ثم استعادة ملفات WOSCK32. DLL الاصلية التي قام الفيروس بالكتابة عليها وبعد ذلك يتم تشغيل جهاز الكمبيوتر بشكل طبيعي جدا ولكن تذكر دائما ان الوقاية خير من العلاج.