病毒行为:

释放文件
%SystemRoot%\system32\drivers\lsass.exe
C:\Documents and Settings\用户名\「开始」菜单\程序\启动\cmd.pif


释放到除系统路径外的每个文件夹里_system~.ini文件,属性为隐藏


感染除系统路径外下的所有exe文件

感染文件
运行感染文件 会出现一个隐藏的*.~tmp(*代表原文件名)


*.~tmp
*.~tmp行为,生成一个驱动文件名为?位(最后3为随机数字),检查病毒路径是否存在,不存生成病毒文件,并感染exe.检查完毕,再自行删除产生的驱动


文件夹里很多EXE文件的图标都变得很难看