金山反病毒专家李铁军说，病毒进入系统后，会立刻修改注册表中的相关数据，将病毒文件的后缀隐藏起来，并给自己换上文件夹图标，伪装成正常的文件夹，让用户放松警惕进而点击激活病毒。等到下一次被激活时，病毒就会搜索系统中的Ｏｕｔｌｏｏｋ工具，调用它来向用户的全部联系人发送携带病毒的信件，扩大受害人群。

    李铁军分析指出，病毒运行后，会立刻在全部的磁盘分区中释放出病毒文件ＷＩＮＤＯＷＳ．ＥＸＥ、ｃｏｍｅｎｔ．ｈｔｔ和ｄｅｓｋｔｏｐ．ｉｎｉ。其中ＷＩＮＤＯＷＳ．ＥＸＥ是病毒主文件，ｃｏｍｅｎｔ．ｈｔｔ则负责在用户上网时，利用ＩＥ浏览器的漏洞来调用ＷＩＮＤＯＷＳ．ＥＸＥ，而ｄｅｓｋｔｏｐ．ｉｎｉ则是用于激活ｃｏｍｅｎｔ．ｈｔｔ不可缺少的“钥匙”。当病毒首次被激活时，它将自己复制到系统的字体路径，名称是四位随机数字和字母，扩展名为“ｃｏｍ”，并在注册表的启动项添加“ＴｅｍｐＣｏｍ”，让自己实现开机自启动。

    据了解，近期广大电脑用户还需要特别警惕“漏洞下载器５８０２”（ＪＳ．Ｄｏｗｎｌｏａｄｅｒ．ｖｚ．５８０２）与“ＭＳＮ后门制造者６５５３６”（Ｗｏｒｍ．ＶＢ．ａｓ．６５５３６）两大病毒。前者是一个病毒下载器，主要是利用网页挂马的方式进行传播，它可利用多款软件的安全漏洞实施下载行为，如果系统或第三方软件的漏洞不即时修补，那么不论杀毒软件如何升级，都无法有效防护系统安全，给用户电脑带来极大安全隐患；后者是一个通过ＭＳＮ传播的蠕虫后门病毒，病毒进入用户电脑后，复制大量的副本到系统内，以防自身被杀毒软件“一锅端”，然后连接远程服务器，等待黑客入侵。同时监视系统内ＭＳＮ运行情况，向用户的ＭＳＮ好友自动发送含毒文件，扩大传播范围。