这是一个适应性很强的后门病毒。它针对不同系统采取了不同的后门技术。在WinNT系统中,该病毒释放文件到系统存放驱动程序的目录并将它启动为系统服务进程,复制后的文件名svchost.exe为系统文件名。很容易让人误以为是系统进程。病毒创建的服务名字是:TSERV对该服务的描述是:“提供 TCP/IP .......
1.在WinNT系统中它释放文件为%System%\drivers\svchost.exe,文件大小为36864字节,并将它启动为服务进程。在Win9X系统中它释放如下文件并加载:
%System%\npf.vxd(22627字节)
%System%\PACKET.DLL(61440字节)
%System%\PTHREADVC.DLL(53299字节)