运行之后修改注册表，实现以自启动，并在其中添加数据值做感染标记，防止自身重複运行。开闢执行绪，每隔1-2个小时连线“218.242.91.95”和“dns2010.vicp.net”的9002连线埠，通知远程控制端，以方便病毒散布者对感染的机器进行控制。

病毒会驻留记忆体，监听TCP 9010连线埠，等待远程控制命令。利用此后门，攻击者可以对被控制的机器进行下列操作：上传档案、截取萤幕、升级新的版本、卸载病毒等等。

反病毒专家建议：建立良好的安全习惯，不打开可疑邮件和可疑网站；关闭或删除系统中不需要的服务；很多病毒利用漏洞传播，一定要及时给系统打补丁；安装专业的防毒软体进行实时监控，平时上网的时候一定要打开防病毒软体的实时监控功能。