這是一個木馬下載器，用于下載并執(zhí)行木馬。它釋放出一個DLL文件并通過給Explorer安裝消息鉤子的方式加載，然后該DLL嘗試到指定的網(wǎng)址下載文件并運行。

1.通過創(chuàng)建名為AI4226597681的事件來防止多個實例運行。

2.將自身復(fù)制到%System%目錄，并改為隨機文件名，同時在%System%目錄以及當(dāng)前用戶的%Temp%目錄釋放同名的DLL文件。

3.修改注冊表。
將病毒加入到注冊表啟動項目：
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"<與文件同名的變量名>"="%System%\<隨機文件名>"

4.搜索窗口名為"ProgramManager"窗口，取得它的線程和進(jìn)程ID，并給它安裝消息鉤子的方式將釋放到%Temp%目錄下的DLL文件加載，然后該DLL文件嘗試到指定的網(wǎng)址下載文件并運行。