該變種運行后，首先會獲取受感染操作系統的系統目錄，并在指定目錄下創建惡意可執行文件，隨即刪除系統注冊表中的相關鍵值項，創建進程快照，查找并終止指定進程文件。該變種調用相關函數來獲取受感染操作系統鼠標當前的坐標窗口以及窗口標題。如果窗口標題顯示的是防病毒軟件，就將其關閉終止。

　　該變種感染擴展名為.html、.HTML、.htm、HTM、asp、aspx、.php和.jsp的文件，向其寫入特定腳本代碼指令。

　　另外，該變種還會迫使受感染操作系統主動訪問指定的惡意Web網址，致使其接受遠程惡意代碼指令。

　　針對已經感染該惡意木馬程序變種的計算機用戶，專家建議立即升級系統中的防病毒軟件，進行全面殺毒。針對未感染的用戶建議打開系統中防病毒軟件的“系統監控”功能，從注冊表、系統進程、內存、網絡等多方面對各種操作進行主動防御。