这个木马没有固定的文件名，它进入系统后，就把自己复制到%WINDOWS%\system32\目录下，名字随机生成，并删除原始文件。然后就修改注册表，将自己设置为开机自启动。

病毒运行起来后，会注入桌面进程explorer.exe，隐蔽运行，并连接病毒作者指定的地址6*.2*.1*8.221，下载最新版本的自己，实现更新，然后就开始作案。

它对用户最大的威胁，在于它能够读取IE的缓存，记录用户的网页浏览记录，以及用户使用msn、google、yahoo、aol、icq等搜索引擎时所 输入的关键词记录。同时，它还会检查用户使用的浏览器是哪种。毒霸反病毒工程师猜测，当这些数据被发送到病毒作者手中，可能会被用于统计用户的上网习惯， 以帮助病毒作者有针对性的开发广告木马。

另外，此木马有个特点，就是病毒作者能够给它指定发作地区。它检查系统中ControlPanel\International的键值iCountry、 Nation，判断当前电脑的所在国家，如果发现是病毒作者指定的国家，就立即运行，如果不是，则沉默等待。毒霸反病毒工程师认为，这是病毒作者实现“精 确攻击”的办法，这使得他们能获取最准确的某区域用户信息。