1．运行后，病毒将自己复制到“system”目录，文件名为：<随机字符>32.exe。

2．在注册HKLM\Software\Microsoft\Windows\CurrentVersion\Run中加入自己的键值：
Reactor3=%system%\<随机字符>32.exe，以达到自启动目的。

3．监听1639端口联接，当有联接时病毒服务线程将向对方返回一个带有IFRAME漏洞的页面，当对方IE存在该漏洞时。将导致病毒被自动下载运行。

4．以特定的昵称登录MIRC服务器，接受黑客的远程控制。

5．搜索磁盘文件，并尝试从以下扩展名的文件中提取email地址，并向其发送一封邮件：wab，pl，adbh，tbbg，dbxn，aspd，phpq，shtl，htmb，txt。

6．病毒邮件内容：Congratulations! PayPal has successfully charged $175 to your credit..card. 
Your order tracking number is A866DEC0, and your item will be shipped..
within three business days。