蠕虫程序采用UPX压缩，文件大小为32,354字节。蠕虫拷贝自己的副本文件以及一个DLL库文件到%Windows%\System32下， DLL文件名为SCARDSVR32.DLL，也采用UPX压缩，大小为20,480字节。此DLL文件包含了蠕虫主要的复制进程，且隐藏在进程LSASS.EXE和EXPLORER.EXE中。所以，系统重新启动时可能会要求移除病毒。

　　蠕虫会修改注册表键值，以便系统下次启动时，病毒副本文件自动运行：

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\SCardDrv = "%Windows%\system32\scardsvr32.exe"

　　在WIN2000系统里,蠕虫替换一个名为"Smart Card Helper"的服务。需要注意的是，原系统文件名为"scardsvr.exe"：

HKLM\SYSTEM\CurrentControlSet\Services\SCardDrv\ImagePath, with value "%Windows%\System32\scardsvr32.exe -v"

　　蠕虫通过135和139端口来扫描网络。一旦发现目标机器,便试图拷贝自己到System32\scardsvr32.exe下。并在Windows%\System32目录下生成一个日志文件MoFei.DAT，用来记录搜索过的IP地址。

　　下列IP地址段中，蠕虫会随机搜索地址进行扫描：

local subnet (255.255.0.0)
150.184.0.1 to 150.184.255.254
164.100.0.0 to 164.100.255.255
199.37.0.1 - 199.37.255.254

　　此蠕虫也具有木马的特性，会开启后门，允许远程控制被感染机器。此后门有以下一些功能：

• 　查看帮助信息
  
• 　查看版本
  
• 　终止程序
  
• 　更改密码
  
• 　改变端口
  
• 　访问资源管理器
  
• 　访问当前目录
  
• 　修改文件夹
  
• 　文件列表
  
• 　删除文件
  
• 　建立文件夹
  
• 　删除文件夹
  
• 　执行DOS命令
  
• 　从互联网上下载文件
  
• 　绑定一个端口
  
• 　关闭绑定