II)Phân tích

Khi virus được cài đặt vào máy nó sẽ chạy và tải các chương trình độc hại từ máy
Khi chạy nó sẽ download các tập tin đưa vào trong thư mục %Temp% với một tên ngấu nhiên ví dụ như 4049437_ex.tmp, 4099250_ex.tmp, 4161421_ex.tmp. 

Các mã độc được sử dụng dưới dạng Files *.dll để thực hiện các files nó tải về từ http://www.oi......./ko.txt. Và lưu vào thư mục %system32%\kn.txt các files tải về có dạng như sau :
[file]   
open=y
url1=http://61.160.....ew/new1.exe
url2=http://61.160...../new2.exe
url3=http://61.160.....new3.exe
url4=http://61.160.2..../new4.exe
url5=http://61.160.21....ew5.exe
url6=http://61.160.210.....6.exe
url7=http://61.160.210.4..../new7.exe
...

Danh sách này đã được tải về và thi hành ngoài ra các files còn được tải xuống và lưu vào (%system32%\drivers\etc\hosts). Một số khác thì được tải về từ http://www.oi......./ko.txt  những link sau sẽ được tải về 

127.0.0.0       www.hackerbf.cn
127.0.0.0       geekbyfeng.cn 127.0.0.0 geekbyfeng.cn
127.0.0.0       ppp.etimes888.com 127.0.0.0 ppp.etimes888.com
127.0.0.0       www.bypk.com 127.0.0.0 www.bypk.com
127.0.0.1       va9sdhun23.cn 127.0.0.1 va9sdhun23.cn
127.0.0.2       bnasnd83nd.cn 127.0.0.2 bnasnd83nd.cn
127.0.0.0       www.gamehacker.com.cn 127.0.0.0 www.gamehacker.com.cn
127.0.0.0       gamehacker.com.cn 127.0.0.0 gamehacker.com.cn
127.0.0.3       adlaji.cn 127.0.0.3 adlaji.cn
127.0.0.1       858656.com 127.0.0.1 858656.com
127.1.1.1       bnasnd83nd.cn 127.1.1.1 bnasnd83nd.cn
127.0.0.1       my123.com 127.0.0.1 my123.com
127.0.0.0       user1.12-27.net 127.0.0.0 user1.12-27.net

Những host này sẽ không ngăn chặn bất cứ chương trình Antivirus nào nó chỉ sử dụng để lập lại như là một host để lập lại và cài thêm 1 số mã . Tuy nhiên để an toàn các bạn nên cài thêm những trương trình diệt virus để có thể phòng chống những mã độc