该木马程序运行后,将自身拷贝到IE缓存文件夹Temporary Internet Files目录下,并命名为qq.exe;在系统目录下生成一个名为win32.exe的木马文件;在系统目录下生成1.ini文件,用于存放着一些木马文件的下载地址;在注册表启动项RUN中新建一名为vip的子项,使win32.exe文件随系统自动启动;遍历C、D、E盘根目录下所有的.htm、.php、.asp等网页文件,在网页文件中添加一段代码,使得用户在打开这些文件时会去连接网络,在后台利用web迅雷控件去下载1.ini中的木马文件,下载后使用命令行方式运行。
