這是一個(gè)感染型病毒的病毒原體，它會(huì)感染explorer.exe文件，被感染的explorer.exe
在每次運(yùn)行時(shí)會(huì)開啟一個(gè)后門線程，隨時(shí)等待遠(yuǎn)程終端的控制。

1.創(chuàng)建名為"BeavisMutex"的互斥體，保證只有一個(gè)病毒體在運(yùn)行。

2.將自身拷貝到%system%目錄下，并添加注冊(cè)表啟動(dòng)項(xiàng)，以實(shí)現(xiàn)開機(jī)自啟：
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
"WebService"="%system%\病毒文件名"
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
"WebService"="%system%\病毒文件名"
不但如此，病毒又改頭換面，將自身再次復(fù)制到%system%目錄下，命名為
soft.exe，而且也添加了注冊(cè)表啟動(dòng)項(xiàng)：
[HKCU\Software\Microsoft\WindowsNT\CurrentVersion\Windows]
"run"="%system%\soft.exe"
然后病毒體由添加了另一個(gè)注冊(cè)表項(xiàng)：
[HKLM\Software\Microsoft\ActiveSetup\InstalledComponents\{08B0E5C0-4FCB-11CF-AAA5-00401C608500}]
"StubPath"="%system%\soft.exe"

3.修改注冊(cè)表，關(guān)閉系統(tǒng)備份功能，然后對(duì)
%WinDir%\
%System%\dllcache\
%WinDir%\ServicePackFiles\
文件夾中的explorer.exe進(jìn)行感染，同時(shí)還在%WinDir%目錄下存放一個(gè)感染備份文件explorere.new。
病毒還會(huì)在被感染的explorer.exe文件的末尾留下8個(gè)字節(jié)的感染標(biāo)記：
0xFF0xFF0xFF0xD00xC90xC20x080x00
病毒在%WinDir%目錄下創(chuàng)建了名為wininit.ini的配置文件，內(nèi)容如下：
[rename]
%Windir%\explorer.exe=%Windir%\explorer.new
被感染的explorer.exe在運(yùn)行時(shí)，系統(tǒng)會(huì)彈出下面的提示：

4.病毒體還會(huì)收集系統(tǒng)的版本信息，并從下面這個(gè)網(wǎng)址
http://ad*****ash.***
下載其它可能的病毒文件。

5.被感染的explore.exe會(huì)開啟一個(gè)病毒線程，每15分鐘運(yùn)行一次，
修改與系統(tǒng)安全相關(guān)的注冊(cè)表項(xiàng)，并從上面的網(wǎng)址下載commands.ini
文件。