這是一個感染型文件。它會釋放出病毒，繼續(xù)感染其他文件。當用戶運行被感染的文件時，病毒會調(diào)運正常的文件來，同時靜靜搜尋正常文件進行感染。

1,被感染的文件會繼續(xù)感染%Windows%下的Explorer.exe,并將正常的Explorer.exe拷貝到%Temp%目錄下重命名 為lorer.exe,感染后的Explorer.exe拷貝到%SystemRoot%\dllcache下;

2,感染后的文件公繼續(xù)感染,正常文件入口的前5個字節(jié)指令被替換成病毒代碼,跳轉(zhuǎn)到病毒代碼處執(zhí)行;

3,病毒的代碼分散在各個節(jié)的空閑處,由一張表指向每個病毒代碼段的長度和大小
而后會分配一個全局堆,將病毒代碼段統(tǒng)一解密拷貝進堆中,有部分指令需要解密,有意思的是解密的密鑰為時 間戳的低8位,最終的病毒代碼是跳轉(zhuǎn)到堆中執(zhí)行的.