该病毒名称是I_WORM.MTX，是一个感染WINDOWS 9X/NT系统的32位PE格式的文件型病毒，同时属于INTERNET 网络蠕虫类，其长度为18483字节。

　　该病毒修改WSOCK32.DLL系统文件，以使受感染的系统的发送邮件增加自动发送附件的功能。它搜索可以 使用的共享网络邻居，以使它能传送到主系统中。 因为该病毒有邮件特性，用户可能接受到一个带有附件的邮件，邮件附件的文件名是变化的，但是大体是 32个文件中随机选择的的文件名：比如：ALANIS_Screen_Saver.SCR；ANTI_CIH.EXE；AVP_Updates.EXE等，文 件的扩展名称有：pif、scr、exe等。

　　不管附件的文件名、扩展名如何变化，其实都是一个PE格式的32位病毒程序。

　　该病毒感染32位的PE格式文件，感染WINDOWS系统目录下的EXE文件及DLL文件等。同时它还会在当地 影象磁盘上搜索目标文件进行传染。

　　病毒存在的的迹象：如果在系统的WINDOWS目录下含有以下文件，则您的系统很可能就被该病毒感染： IE_PACK.EXE，MTX_.EXE，WIN32.DLL，WSOCK32.MTX。

　　病毒修改系统配置文件WININIT.INI，使得原本系统调用的正常的文件WSOCK32.DLL变成调用wsock32.mtx 文件。 同时，为了使计算机每次启动都能运行该病毒，病毒同时修改注册表表项：

　　HKEY_LOCAL_MACHINE\Software[MATRiX]

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\SystemBackup = "C:WINDOWSMTX_.EXE"

　　这样每次系统启动该病毒程序都能自动运行。

　　当用户收到带有病毒的邮件，而双击附件文件后，系统会释放三个文件，文件是隐含属性：

　　IE_PACK.EXE， MTX_.EXE (PE格式的病毒体)， WIN32.DLL (该文件是其自身的拷贝)

　　解决方法：

　　1)使用REGEDIT将注册表中表项删除：

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 将其中的数值SystemBackup = "c:windowsmtx_.exe 删除。同时将HKEY_LOCAL_MACHINES\oftware中的MATRIX删除。

　　2)在C盘中搜索文件wininit.ini文件及文件wsock32.mtx，如果找到的话，将它们都删除。

　　3)关机，重新启动计算机。然后采用KV300+启动，清除系统中的病毒。

  【相关论坛】 【发表评论】