這是一個(gè)木馬下載器，用于下載并執(zhí)行木馬。它釋放出一個(gè)DLL文件并通過(guò)給Explorer安裝消息鉤子的方式加載，然后該DLL嘗試到指定的網(wǎng)址下載文件并運(yùn)行。

1.通過(guò)創(chuàng)建名為AI4226597681的事件來(lái)防止多個(gè)實(shí)例運(yùn)行。

2.將自身復(fù)制到%System%目錄，并改為隨機(jī)文件名，同時(shí)在%System%目錄以及當(dāng)前用戶(hù)的%Temp%目錄釋放同名的DLL文件。

3.修改注冊(cè)表。
將病毒加入到注冊(cè)表啟動(dòng)項(xiàng)目：
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"<與文件同名的變量名>"="%System%\<隨機(jī)文件名>"

4.搜索窗口名為"ProgramManager"窗口，取得它的線(xiàn)程和進(jìn)程ID，并給它安裝消息鉤子的方式將釋放到%Temp%目錄下的DLL文件加載，然后該DLL文件嘗試到指定的網(wǎng)址下載文件并運(yùn)行。