病毒在每个磁盘下生成pagefile.exe和Autorun.inf文件，并每隔几秒检测文件是否存在，修改注册表键值，破坏“显示系统文件”功能。
    每隔一段时间会检测自己破坏过的显示文件、安全模式、Ifeo、病毒文件等项，如被修改则重新破坏。病毒执行后，会删除病毒主体文件。
    病毒会监控lsass.exe、smss.exe、dnsq.dll文件，如果假设不存在的话则重新生成。当拷贝失败后，病毒会调用rd /s /q命令删除原来的文件，再重新写入。病毒会连接恶意网址下载大量木马病毒。