* DLLHOST.EXE - 10,240 字节长度，主要的利用rpc漏洞传播的程序。
* SVCHOST.EXE - 19,728 字节长度，此文件就是系统提供的FTP服务程序。被病毒改名为SVCHOST.EXE。

　　病毒一旦通过漏洞传播过来并被激活，病毒将创建一个名为"RpcPatch_Mutex"的互斥体来避免重复感染。而后将会在被感染的系统中使用以上两个程序建立两个服务进程，以便进行进一步的传播。

　　病毒修改以下注册表健值：
HKLM\System\CurrentControlSet\Services\RpcTftpd\ImagePath = "%System%\wins\svchost.exe"
HKLM\System\CurrentControlSet\Services\RpcPatch\ImagePath = "%System%\wins\DLLHOST.EXE"

　　此病毒最大的特点是针对“冲击波（msblaster）”：

　　病毒下一步会搜索以"MSBLAST.EXE"命名的进程。一旦找到，此进程将被终止，然后在系统目录中查这个文件并将其删除。在清除“冲击波”后，病毒将在被感染机器上建立自己的访问通道。之后，病毒将根据染毒机器的版本、语言及service pack版本从微软的网站下载补丁文件并进行安装。

http://download.microsoft.com/download/6/9/5/6957d785-fb7a-4ac9-b1e6-cb99b62f9f2a/Windows2000-KB823980-x86-KOR.exe
.......
http://download.microsoft.com/download/a/a/5/aa56d061-3a38-44af-8d48-85e42de9d2c0/WindowsXP-KB823980-x86-CHS.exe
http://download.microsoft.com/download/9/8/b/98bcfad8-afbc-458f-aaee-b7a52a983f01/WindowsXP-KB823980-x86-ENU.exe

　　病毒采用的传播手段与“冲击波”大致相同，通过相同的漏洞查找感染目标机器，之后使用TCP 707端口建立远程连接，成功后先测试"microsoft.com" 是否能够正常访问，如果可以则向被感染机器发送指令进行下一轮的传播过程。

　　病毒将会在2004年将其自身删除。