該病毒為Windows平臺下的木馬下載器，病毒運行后刪除一些反病毒進程和服務(wù)，然后通過可用的網(wǎng)絡(luò)資源下載相關(guān)木馬或其它病毒。
病毒主要通過軟件捆綁或欺騙方式進行傳播。

1、病毒運行時檢測系統(tǒng)語言，假如是unicode體系則直接退出程序。

2、病毒啟動時枚舉進程,檢測并終止以下相關(guān)進程:
PcCtlCom.exe
tmPfw.exe
tmproxy.exe
Tmntsrv.exe
pccguide.exe
fsbwsys.exe
FAMEH32.EXE
PCH32.EXE
FSAV32.EXE
FSAW.EXE
fsdfwd.exe
fsgk32.exe
fsgk32st.exe
FSMA32.exe
FSMB32.EXE
fsqh.exe
FSRW.EXE
fssm32.exe
SERVICE~1.exe
fspex.exe
FSM32.EXE
fsguidll.exe
xcommsrv.exe
vsserv.exe
mcupdmgr.exe
McTskshd.exe
McDetect.exe
Mcdetect.exe
McVSEscn.exe
mcagent.exe
mcvsshld.exe
McShield.exe

3、同時病毒會嘗試刪除以下服務(wù):
ShareAccess
navapsvc
PcCtlCom
TmPfw
tmproxy
Imntsrv
fsbwsys
FSDFWD
FSMA
BackWebPlug-in-4476822
F-SecureGatekeeperHandlerStarter
bdss
VSSERV
XCOMM
McShield

4、網(wǎng)絡(luò)狀態(tài)可用時，病毒嘗試訪問以下網(wǎng)站下載相關(guān)病毒:
http://traff****.biz/progs_exe/ajtxt/gemht.php?adv=adv496保存為:c:\uniq.exe
http://traff****.biz/progs_exe/ajtxt/uvmldvgsd保存為:c:\nwlaa.exe
http://traff****.biz/progs_exe/ajtxt/vgfamcryi保存為:c:\pmljrnbv.exe
http://traff****.biz/progs_exe/ajtxt/eibxih.php保存為:c:\vbwymn.exe
http://traff****.biz/progs_exe/ajtxt/pkfqp保存為:apppath\fmjfmm.exe
http://traff****.biz/progs_exe/ajtxt/rzhpazyxv.php保存為:c:\ProgramFiles\secure32.html
http://traff****.biz/progs_exe/ajtxt/gbjrdcwfn保存為:c:\ProgramFiles\edjm.exe
http://traff****.biz/progs_exe/ajtxt/txfrcb保存為:c:\stniyga.exe
http://traff****.biz/progs_exe/ajtxt/bjnzx保存為:c:\iqvetkmt.exe
http://traff****.biz/progs_exe/ajtxt/nmhcomlx保存為:c:\ytuukqx.exe
http://traff****.biz/progs_exe/ajtxt/ygsamyti保存為:c:\fdlsmwpa.exe
http://traff****.biz/progs_exe/ajtxt/kfnykjiuse保存為:c:\weeg.exe
http://traff****.biz/progs_exe/ajtxt/towudo.php?adv=adv496&code1=JSM0&co...保存為:c:\uniq.exe