該蠕蟲(chóng)病毒通過(guò)電子郵件傳播，它利用了微軟Iframe漏洞，一旦預(yù)覽或打開(kāi)帶毒郵件，其附件病毒程序README.TXT<隨機(jī)數(shù)量的空格>.pif就會(huì)自動(dòng)運(yùn)行。附件程序乍一看來(lái)好似README.TXT文件，其實(shí)它的真正擴(kuò)展名是.pif（一種32位的PE文件格式）。該蠕蟲(chóng)是用VisualBasic6編寫(xiě)的。

1.病毒附件被執(zhí)行后，它會(huì)將WINL0G0N.EXE（注重：0是零，并非字母O）文件拷貝至%SystemRoot%及%System%目錄下。同時(shí)可能在本地系統(tǒng)進(jìn)行添加或刪除文件。
可能刪除的文件（Win9x系統(tǒng)）如下：
email.txt
emailinfo.txt
c:\WINDOWS\DRWATSON
c:\WINDOWS\DRWATSON\FRAME.HTM
c:\WINDOWS\email.txt
c:\WINDOWS\SYSTEM\WINL0G0N.EXE
c:\WINDOWS\WINL0G0N.EXE

可能刪除的文件（Win9x系統(tǒng)）如下：
c:\WINDOWS\1STBOOT.BMP
c:\WINDOWS\ASD.EXE
c:\WINDOWS\CLEANMGR.EXE
c:\WINDOWS\CLSPACK.EXE
c:\WINDOWS\CONTROL.EXE
c:\WINDOWS\CVTAPLOG.EXE
c:\WINDOWS\DEFRAG.EXE
c:\WINDOWS\DOSREP.EXE
c:\WINDOWS\DRWATSON.EXE
c:\WINDOWS\DRWATSON
c:\WINDOWS\DRWATSON\FRAME.HTM
c:\WINDOWS\EMM386.EXE
c:\WINDOWS\HIMEM.SYS
c:\WINDOWS\HWINFO.EXE
c:\WINDOWS\JAUTOEXP.DAT
c:\WINDOWS\Kacheln.bmp
c:\WINDOWS\Kreise.bmp
c:\WINDOWS\LICENSE.TXT
c:\WINDOWS\LOGOS.SYS
c:\WINDOWS\LOGOW.SYS
c:\WINDOWS\MORICONS.DLL
c:\WINDOWS\NDDEAPI.DLL
c:\WINDOWS\NDDENB.DLL
c:\WINDOWS\NETDET.INI
c:\WINDOWS\RAMDRIVE.SYS
c:\WINDOWS\RUNHELP.CAB
c:\WINDOWS\SCRIPT.DOC
c:\WINDOWS\Setup.bmp
c:\WINDOWS\SMARTDRV.EXE
c:\WINDOWS\Streifen.bmp
c:\WINDOWS\SUBACK.BIN
c:\WINDOWS\SUPPORT.TXT
c:\WINDOWS\TELEPHON.INI
c:\WINDOWS\W98SETUP.BIN
c:\WINDOWS\Wellen.bmp
c:\WINDOWS\WIN.COM
c:\WINDOWS\WIN.INI
c:\WINDOWS\WINSOCK.DLL
其中添加的emailinfo.txt文件當(dāng)中包含有預(yù)備發(fā)往SMTP服務(wù)器的郵件，而email.txt是一個(gè)MIME文件，它包含編碼為WINL0G0N.EXE的Base64及iframe漏洞。

2.此蠕蟲(chóng)有它自己的SMTP引擎，能夠建立SMTP連接。它還會(huì)查找硬盤(pán)中所有包含郵件地址的文件（如*.eml，*.wab等），一旦找到便會(huì)保存在emailinfo.txt文件當(dāng)中。然后向保存在該文件中的所有地址發(fā)送帶毒郵件：
主題為“WelcometoYahoo!Mail”的郵件。
主題:WelcometoYahoo!Mail
附件:Readme.txt<隨機(jī)數(shù)量的空格>.pif

3.病毒會(huì)在注冊(cè)表中以下子鍵中：
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Run
添加如下鍵值以便使自己能夠在系統(tǒng)重啟后運(yùn)行：
"WINL0G0N"="c:\windows\WINL0G0N.EXE"

4.當(dāng)系統(tǒng)重新啟動(dòng)時(shí)，WINL0G0N.EXE文件自動(dòng)執(zhí)行，并可能導(dǎo)致常規(guī)性保護(hù)錯(cuò)誤，而同時(shí)由于一些文件被刪，系統(tǒng)可能無(wú)法正確啟動(dòng)Windows，這種情況在Win9x上會(huì)出現(xiàn)，而在WinNT系統(tǒng)上還未碰到。但在任何系統(tǒng)上，例行的收發(fā)郵件可能會(huì)不正常。