運行後,病毒會在每一個硬碟和可移動驅動器根目錄下複製自身,檔案名稱為SysBoot.exe,以增加運行的機會。釋放一個DLL檔案,此檔案將在系統中殖入遠程後門代碼,該代碼將回響遠程惡意用戶的tcp請求,建立一個遠程shell進程,從而可以對本地機器進行完全控制。
修改註冊表實現自啟動,在每一個硬碟和可移動盤的根目錄下建立名為AUTORUN.INF的檔案,利用此檔案,當用戶點擊驅動器運行的時候,病毒會搶先運行。
該病毒主要通過兩種途徑傳播:郵件和區域網路。病毒會搜尋收件箱裡電子郵件地址,並把病毒郵件傳送給這些地址;遍曆局域網資源,用弱口令密碼試探攻擊,如果成功,則將自身複製到對方的機器上,檔案名稱隨機。
病毒每隔一定時間會傳送郵件給位於163.com的一個信箱,郵件內容為中毒系統的ip地址,以便攻擊者利用病毒設立的後門對感染系統進行控制。除此之外,該病毒還會釋放“QQ女友”病毒到感染的系統上,從而加大對用戶的安全威脅。