当病毒被激活后,拷贝自身重命名为svchoxt.exe到%systemroot%\system32目录下,生成EXE1.TMP到C:\Documents and Settings\Administrator\Local Settings\Temp目录下,修改两个文件属性为隐藏和系统;添加注册表启动项使其随系统一起启动;关闭Windows防火墙\因特网连接共享服务;关闭以下所列防火墙和安全软件提示;结束部分杀毒软件和防火墙进程;访问恶意网站下载病毒程序;遍历窗口查找QQ登陆窗口,通过记录键盘输入获取用户输入QQ帐号和密码,以邮件的形式发送给黑客;调用命令行将病毒原文件删除。
