Po spuÜt∞nφ virus instaluje worm a trojskΘho kon∞ do systΘmu. Tyto Φßsti jsou pak spouÜt∞ny jako samostatnΘ programy. Virus zkoumß p°φtomnost n∞kolika znßm²ch antivirov²ch program∙, a pokud je nalezne, na danΘm systΘmu se neÜφ°φ. Jinak vytvo°φ v adresß°i Windows nßsledujφcφ t°i soubory:

• IE_PACK.EXE   - obsahuje Φßst s Wormem (Φervem)
• WIN32.DLL     - obsahuje Φßst s Wormem i samotn² virus
• MTX_.EXE      - obsahuje Φßst s trojsk²m kon∞m (backdoor)

Worm vyu₧φvß pro posφlßnφ sebe sama stejnou technologii jako nechvaln∞ znßm² Win32/Ska. Pracuje s modifikovan²m souborem WSOCK32.DLL a mß plnou kontrolu nad tφm, k Φemu se p°istupuje a kam se co posφlß e-mailem. Blokuje p°φstup a posφlßnφ zprßv na n∞kolik (antivirov²ch) domΘn (nii, nai, avp, f-se, mapl, pand, soph, ndmi, afee, yenn, lywa, tbav, yman) a navφc blokuje posφlßnφ zprßv do dalÜφch domΘn (wildlist.o*, il.esafe.c*, perfectsup*, complex.is*, HiServ.com*, hiserv.com*, metro.ch*, beyond.com*, mcafee.com*, pandasoftw*, earthlink.*, inexar.com*, comkom.co.*, meditrade.*, mabex.com *, cellco.com*, symantec.c*, successful*, inforamp.n*, newell.com*, singnet.co*, bmcd.com.a*, bca.com.nz*, trendmicro*, sophos.com*, maple.com.*, netsales.n* and f-secure.c*).

Worm posφlß v²Üe zmφn∞n² soubor WIN32.DLL ve zvlßÜtnφ samostatnΘ zprßv∞ pro ka₧dou odeslanou zprßvu. Tato zprßva nemß ₧ßdn² P°edm∞t ani text a p°ipojen² soubor mß jedno z nßsledujφcφch jmen (soubory PIF jsou spouÜt∞ny pomocφ dvojkliku!):

README.TXT.pif
I_wanna_see_YOU.TXT.pif
MATRiX_Screen_Saver.SCR
LOVE_LETTER_FOR_YOU.TXT.pif
NEW_playboy_Screen_saver.SCR
BILL_GATES_PIECE.JPG.pif
TIAZINHA.JPG.pif
FEITICEIRA_NUA.JPG.pif
Geocities_Free_sites.TXT.pif
NEW_NAPSTER_site.TXT.pif
METALLICA_SONG.MP3.pif
ANTI_CIH.EXE
INTERNET_SECURITY_FORUM.DOC.pif
ALANIS_Screen_Saver.SCR
READER_DIGEST_LETTER.TXT.pif
WIN_$100_NOW.DOC.pif
IS_LINUX_GOOD_ENOUGH!.TXT.pif
QI_TEST.EXE
AVP_Updates.EXE
SEICHO-NO-IE.EXE
YOU_are_FAT!.TXT.pif
FREE_xxx_sites.TXT.pif
I_am_sorry.DOC.pif
Me_nude.AVI.pif
Sorry_about_yesterday.DOC.pif
Protect_your_credit.HTML.pif
JIMI_HMNDRIX.MP3.pif
HANSON.SCR
FUCKING_WITH_DOGS.SCR
MATRiX_2_is_OUT.SCR
zipped_files.EXE
BLINK_182.MP3.pif

Trojsk² k∙≥ se instaluje pomocφ manipulace s Registry a z∙stßvß aktivnφ jako service. PokouÜφ se z Internetu stßhnout a nainstalovat dalÜφ programy. Originßlnφ verze ale nepracuje ·pln∞ korektn∞. Trojan pro svoji aktivaci s ka₧d²m spuÜy∞nφm Windows vyu₧φvß nßsledujφcφ klφΦ:

HKLM\Software\Microsoft\Windows\Current\Version\Run\SystemBackup

Vlastnφ virus obsahuje nßsledujφcφ texty:

SABI┴.b ViRuS
  Software provide by [MATRiX] VX TeAm: Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
  Greetz: All VX guy in #virus and Vecna for help us
  Visit us at:
  http://www.coderz.net/matrix

Worm obsahuje nßsledujφcφ texty:

Software provide by [MATRiX] VX team:
  Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
  Greetz:
  All VX guy on #virus channel and Vecna
  Visit us: www.coderz.net/matrix

Trojan obsahuje nßsledujφcφ texty:

Software provide by [MATRiX] team:
  Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
  Greetz:
  Vecna 4 source codes and ideas

Zdroj: Alwil software - v²robce antiviru AVAST

Jedno·Φelov² antivirus:

N∞kolik dobr²ch rad:

P°ed pou₧itφm jedno·Φelov²ch antivir∙ je vhodnΘ vypnout stßvajφcφ antivirov² systΘm a to p°edevÜφm on-access skener (Φasto oznaΦovßn jako rezidentnφ Ütφt).

Pokud jde o hojn∞ pou₧φvan² antivirus AVG 6.0, pak se onen rezidentnφ Ütφt vypφnß zaÜkrtßvacφ volbou v jednΘ ze zßlo₧ek AVG Control Center (ikonka na liÜt∞ vpravo dole). ╚ty°barevnß ikonka by m∞la zeÜednout.

Ve Windows XP a ME je taktΘ₧ vhodnΘ vypnout funkci OBNOVA SYST╔MU (RESTORE SYSTEM), kterß by pozd∞ji brßnila smazßnφ infikovan²ch soubor∙, kterΘ "uvφzly" v adresß°φch _RESTORE (Windows ME) nebo SYSTEM INFORMATION VOLUME (Windows XP).

Postup pro Windows ME: