1、文件运行后会释放以下文件

　　%system32%302fcc88b1.dll　　92,672 字节 (10位随机数字与字母组合病毒名)

　　%windir%f218f4fbb2.dll　　64 字节 (10位随机数字与字母组合病毒名)

　　%system32%oobe755svchost.exe　　871,936 字节 (4位随机数字文件夹名)

　　%system32%oobeqnujhyroni.dll　　563,712 字节

　　2、修改注册表项

　　HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{03C12478-A0D3-4291-A535-F6D16BA08D68}InprocServer32@

　　值: 字符串: "C:WINDOWSsystem32oobeunkgknroni.dll"

　　描述：添加注册表启动项

　　HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{03C12478-A0D3-4291-A535-F6D16BA08D68}ProgID@

　　值: 字符串: "unkgknroni.XunBHoSwf"

　　描述：病毒文件注册为BHO的名称

　　HKEY_LOCAL_MACHINESOFTWAREClassesunkgknroni.XunBHoSwfClsid@

　　值: 字符串: "{03C12478-A0D3-4291-A535-F6D16BA08D68}"

　　描述：注册CLSID值

　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorer

　　Browser Helper Objects{03C12478-A0D3-4291-A535-F6D16BA08D68}

　　描述：将病毒DLL文件注册为BHO浏览器辅助对象

　　HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesSharedAccess

　　ParametersFirewallPolicyStandardProfileAuthorizedApplicationsList

　　C:WINDOWSsystem32oobe7955svchost.exe

　　值: 字符串: "C:WINDOWSsystem32oobe7955svchost.exe:*:Enabled:svchost"

　　描述：将病毒文件设置为Windows自带防火墙为旅行，达到调过防火墙窗口询问目的

　　4、病毒运行后加载动态连接库文件urlmon.dll，获取%Temp%临时文件夹目录， 利用URLDownloadToFile函数从网上读取TXT列表代码将病毒文件代码到本机保存到临时文件夹下，重命名为：TBHAILYFXYV.zbc（随机病毒名）