病毒行为：
这是个感染型病毒，会感染用户的WinRAR、迅雷下载器及QQ的几个主EXE文件，同时该病毒会从网上下载木马到用户机器并运行。

1、将自身复制为：%WinDir%\system\IEXPLORER.EXE并运行。

2、查询注册表项：SOFTWARE\Thunder Network\ThunderOem\thunder_backwnd\Path 来获得迅雷的可执行文件路径，然后感染找到的文件，并在同一目录下生成病毒的复制体：被感染文件名.tmp

3、查询注册表项：SOFTWARE\tencent\QQ\Install 来获得QQ的安装路径，然后感染该目录下的以下EXE文件，并在同一目录下生成病毒复制体：被感染文件名.tmp，但由于程序本身的错误，这几个文件都不会感染成功。
QQLiveUpdate.exe
Qzone\Qzone.exe
MagicFlash.exe
TIMPlatform.exe

4、查询注册表项：SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\WinRAR.exe\Path 来获得WinRAR的安装路径，然后感染该目录下的文件：WinRAR.exe，并在同一目录下生成病毒复制体：WinRAR.exe.tmp

5、当用户运行被感染的文件时，会首先运行同一目录下的病毒文件：被感染文件名.tmp，然后再运行正常的文件。

6、病毒会从网址：http://www.dj***.com/ie.txt 下载一个配置文件到本地，然后根据配置文件的内容来下载木马到用户机器并运行。该配置文件格式如下：
[main]
服务文件更新=1
服务文件地址=http://kk***.net/ggg/adc/123.exe

下载者是否更新=9
下载个数=7

文件1=http://222.***.**.185/data6/jwm.exe
更新1=9
文件2=http://222.***.**.185/data6/wol.exe
更新2=1
文件3=http://222.***.**.185/data6/wow.exe
更新3=1
文件4=http://222.***.**.185/data6/ztt.exe
更新4=1
文件5=http://www.dj***.com/updata1.exe
更新5=6
文件6=http://222.***.**.185/data6/mhh.exe
更新6=1
文件7=http://222.***.**.181/ienet.exe
更新7=1

7、自删除