這是一個具有隱藏自身進(jìn)程功能的木馬下載器，此外該病毒還會獲取被感染機(jī)器
的信息，并發(fā)送到指定的網(wǎng)址。

1.病毒在檢查注冊表中檢查標(biāo)志項，判定機(jī)器是否被感染：
[HKLM\SOFTWARE\UseFul]
"Id"="..."
病毒還會確認(rèn)該標(biāo)志項是否只含有8個字節(jié)。

2.假如是首次運行，病毒將自身復(fù)制到%WinDir%\system32\目錄下，命名為
lvsrev.exe，并在注冊表中添加標(biāo)志項，和啟動項，以實現(xiàn)開機(jī)自啟：
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msserv"=%WinDir%\system32\lvsrev.exe

3.接著病毒對操作系統(tǒng)進(jìn)行判定，假如是NT/2000/XP系統(tǒng)，病毒將釋放驅(qū)動
文件InvisibelDrvNT.sys（毒霸可查，Win32.Hack.HideProc.a）到
%WinDir%\system32\dirvers\目錄下，并加載該驅(qū)動，以隱藏病毒進(jìn)程；
同時，病毒還將該驅(qū)動文件注冊為名為“InvisibleDrvNT”的系統(tǒng)服務(wù)。

4.接著病毒創(chuàng)建線程，下載http://flex-******t.com/ad***ima/useful.exe
文件，保存在系統(tǒng)目錄下，命名為svclocal.exe（毒霸可查Win32.Troj.Qhost.u），
并運行之。這又是一個修改hosts文件和IE首頁的木馬病毒。

5.病毒還會建立線程獲取中毒機(jī)器IP，端口等信息并發(fā)送到指定的網(wǎng)址。