ニュースリリース - 2000/10/3

感染警報VAC-2 「PE_MTX.A」

トレンドマイクロ株式会社(本社:東京都渋谷区、代表取締役社長:スティーブ・チャン)は、ファイル感染型ウイルス「PE_MTX.A」(ピーイー エムティエックス エー)のVAC-2を警告すると同時に、パターンファイル763以降で対応することをお知らせいたします。既に9月11日付でVAC4、17日付でVAC3として警告いたしておりますがその後も日本国内での感染報告が増え続けております。VAC3警告後の感染報告などのお問い合わせが100件(10/3現在)を越える事態となっておりますので警戒レベルをVAC2に引き上げ再警報いたします。

PE_MTX.A対策WEBへ

「PE_MTX.A」概要

「PE_MTX.A」は、「Entry-point-obscuring」(エントリィ ポイント オブスキュアリング)を使用した初の32bit形式実行可能ファイル(PE形式)感染型ウイルスです。感染活動時にバックドア型ハッキングツールとメールを通じて自分のコピーをばらまくワーム型不正プログラム2種の不正プログラムをインストールします。このように活動の際に別の不正プログラムを作成するものを「ウイルスドロッパー」と呼んでいます。ワーム活動を行う不正プログラムのほうは、流行したワーム「TROJ_SKA」(通称:Happy99)と同様の方法を用いて感染を広げます
また、ウイルス部分とトロイの木馬部分にモジュールが分かれており非常に複雑な活動します。大きく分けて以下の3つの行動を行います。

1.感染活動:カレントフォルダとWindowsフォルダの.EXEファイルに感染します
2.ワーム活動:WSOCK32.DLLを置き換えウイルスを添付したメールを送信します
3.ハッキングツール活動:ハッキングツールの自動起動設定を行います

このウイルスのワーム活動により、"WSOCK32.DLL"を置き換えられてしまった場合、ウイルス添付メールを出すのみならず特定のサイトとのインターネット接続(メール、Web、ダウンロードなど)を妨害するという活動も行われます。結果としてワクチンソフトのバージョンアップなどが妨害され対応できない状況に陥ってしまうこともあります。また、添付されているウイルスファイルはトロイの木馬部分にウイルス部分が感染している状態であり、駆除を行ってもトロイの木馬部分だけが残ってしまいます。このウイルスのトロイの木馬部分は「TROJ_MTX.A」の検出名で発見されます。

●「Entry-point-obscuring」とは
「Entry-point-obscuring」とは、これまでのウイルスで行われていたようなエントリポイントやファイルヘッダ情報の変更を行わずに感染できる方法です。従来のウイルスとは異なる感染方法のため、検出のためにはより高度な技術が必要となります。ただし、この感染方法のために「PE_MTX.A」のウイルス活動自体が不安定であり、感染対象のファイルによって上記活動の一部、または全部が行えない場合もあります。

●注意事項
件名と本文のないメールに、「TROJ_MTX.A」が添付されてきます。
添付ファイル名はさまざまなバリエーションがありますので、詳細はウイルス情報をご参照ください。
trendmicro.co.jpなど特定の文字列を含むURLへのネットワークアクセス(メール送信、Webページ閲覧、ダウンロードなど)ができなくなります。

※以下の文字列を含むURLをアクセス不可能にします。
NII、nai、avp、AVP、f-se、F-Se、mapl、pand、soph、ndmi、afee、yenn、lywa、tbav、yman
※トレンドマイクロでは感染したユーザ様を対象にした、www.trendmicro.co.jp以外のアドレスに「PE_MTX.A」対策Webをご用意する予定です。

●トレンドマイクロ製品ユーザ様向けソリューション

パターンファイル763以降で対応します。検索エンジン5.00以上(最新エンジン 5.20推奨)で対応します。

●現在ウイルス対策製品をご使用でないお客様向けソリューション
トレンドマイクロ社ホームページより、30日間有効期間中フル機能でご使用できる「ウイルスバスター2001」体験版をダウンロード【提供は終了しました】、検知した場合手動削除手順にて削除してください。
トレンドマイクロ社ホームページより、「ウイルスバスター オンラインスキャン」にてマシンのウイルスチェックを実行し、検知した同様に手動削除してください。
carat「PE_MTX.A」詳細情報

●ウイルス情報 ウイルス名

ウイルス名

PE_MTX.A (ピーイー エムティエックス エー)

別名

I-WORM.MTX・TROJ_MTX.A・ MATRIX・ MTX.A・ TROJ_MTX.A・ W32/Apology-B

ウイルス種類

ファイル感染型

プラットフォーム

Win9x

暗号化

No

ウイルスサイズ

18483bytes

発見日

2000年9月上旬

対応パターン

763

発病条件 1

ファイル実行時

破壊活動 1

ファイルを作成する

破壊活動 2

ファイルを変更する

  
※TRENDMICROは、トレンドマイクロ株式会社の登録商標です。
※各社の社名及び製品名は、各社の商標又は登録商標です。

Copyright (c) 1999-2000 Trend Micro Incorporated. All Rights Reserved