病毒行为：

　　1.使用“删除文件”、“移动文件”、“写入空信息”三种方式清空HOST文件。

　　2.病毒利用文件占用技术，实现对自身程序文件的保护。

　　3.修改注册表键，禁用XP的系统还原。

　　4.添加注册表启动项，因病毒名是随机生成，不同的电脑，感染的文件并不完全一致。修改注册表HKLMsoftwaremicrosoftwindowscurrentversion unonce，实现自动注册组件。

　　5.破坏安全模式（清空注册表SAFEMODE下的所有项目），使你不能进入安全模式调试系统。

　　6.终止所有包含下列字符的窗口的进程。

　　7.子DLL，每20分钟从http://up.yinlew.com:8080/hellohost515.ini?p=%s&t=%d下载一个要阻止访问的网站列表，下载后的文件保存在%sys32dir%andttrs文件中。类似以下内容：

　　8.生成与子DLL同名的SYS驱动程序，驱动程序监控自身服务注册项（独立线程监控、WINLOGON启动时监控），如果被安全软件修改，病毒会再改回来。

　　9.IRP HOOK最底层的文件系统（IRP_MJ_SET_INFORMATION），保护文件，不能删除，不能更名。

　　10.挂钩ZwCreateFile，在其访问system32driversetchosts时，将该访问操作重定向到%sys32dir%andttrs。相当于用这个andttrs取代了系统的hosts文件，达到跟修改HOST文件相同的倒，用户只能通过修改andttrs或恢复HOOK阻止本地域名绑定。

　　11.挂钩ZwLoadDriver，禁止ICESWORD（冰刃）的驱动加载。