病毒名称:I-Worm.MTX
别名: W32/MTX,MTX.A, W32/APOLOGY, W32/APOLOGY-B, W32/MTX@M ,TROJ_MTX.A.DLL,W32/MTX.gen@M
病毒特点:
该病毒具有蠕虫和病毒的特征。它只传染Windows 9X系统,在中文NT下不能正常运行传染。它感染32位PE格式的EXE和DLL文件。病毒长度为18483字节。
该病毒修改WSOCK32.DLL系统文件,以使受感染的系统的发送邮件增加自动发送附件的功能。它搜索可以使用的共享网络邻居, 因为该病毒有邮件特性,用户在发送邮件后,病毒会自动再发送一个以该病毒为附件的邮件,邮件附件的文件名是从以下文件名中随机选择的:
ALANIS_Screen_Saver.SCR
ANTI_CIH.EXE
AVP_Updates.EXE
BILL_GATES_PIECE.JPG.pif
BLINK_182.MP3.pif
FEITICEIRA_NUA.JPG.pif
FREE_xxx_sites.TXT.pif
FUCKING_WITH_DOGS.SCR
Geocities_Free_sites.TXT.pif
HANSON.SCR
I_am_sorry.DOC.pif
I_wanna_see_YOU.TXT.pif
INTERNET_SECURITY_FORUM.DOC.pif
IS_LINUX_GOOD_ENOUGH!.TXT.pif
JIMI_HMNDRIX.MP3.pif
LOVE_LETTER_FOR_YOU.TXT.pif
MATRiX_2_is_OUT.SCR
MATRiX_Screen_Saver.SCR
Me_nude.AVI.pif
METALLICA_SONG.MP3.pif
NEW_NAPSTER_site.TXT.pif
NEW_playboy_Screen_saver.SCR
Protect_your_credit.HTML.pif
QI_TEST.EXE
READER_DIGEST_LETTER.TXT.pif
SEICHO-NO-IE.EXE
Sorry_about_yesterday.DOC.pif
TIAZINHA.JPG.pif
WIN_0_NOW.DOC.pif
YOU_are_FAT!.TXT.pif
zipped_files.EXE
当用户运行了以这些名字命名的附件后,该病毒自动释放出以下四个文件到系统中。
IE_PACK.EXE
MTX_.EXE
WIN32.DLL
WSOCK32.MTX
并且修改以下键值:
HKEY_LOCAL_MACHINESoftware[MATRiX]
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun SystemBackup = "C:WINDOWSMTX_.EXE"
保证每次系统启动时,激活病毒运行。