從搜索引擎結(jié)果來(lái)看，該病毒最早出現(xiàn)時(shí)間為 2009 年，主流殺毒軟件廠商均將此病毒命名為 Worm.Win32.Autorun，從名稱可以判斷該病毒為 Windows 平臺(tái)通過(guò)移動(dòng)介質(zhì)傳播的蠕蟲(chóng)病毒。病毒文件運(yùn)行后，首先復(fù)制自身到Windows 目錄下（C:windowstsay.exe），文件圖標(biāo)偽裝為文件夾。

經(jīng)調(diào)查，該蠕蟲(chóng)正常情況下表現(xiàn)為文件夾蠕蟲(chóng)，集中爆發(fā)是由于病毒代碼中內(nèi)置了部分特殊日期，在匹配到對(duì)應(yīng)日期后會(huì)觸發(fā)蠕蟲(chóng)的刪除文件功能，爆發(fā)該蠕蟲(chóng)事件的用戶感染時(shí)間應(yīng)該早于2021年1月13號(hào)，根據(jù)分析推測(cè)，下次觸發(fā)刪除文件行為的時(shí)間約為2021年1月23日和2021年2月4日。

該蠕蟲(chóng)病毒運(yùn)行后會(huì)檢測(cè)自身執(zhí)行路徑，如在windows目錄下則會(huì)將其他磁盤的文件進(jìn)行遍歷刪除，并留下一個(gè)名為incaseformat.log的空文件：

若當(dāng)前執(zhí)行路徑不在windows目錄，則自復(fù)制在系統(tǒng)盤的windows目錄下，并創(chuàng)建RunOnce注冊(cè)表值設(shè)置開(kāi)機(jī)自啟:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOncemsfsa值: C:windowstsay.ex

病毒文件將在主機(jī)重啟后運(yùn)行，并開(kāi)始遍歷所有非系統(tǒng)分區(qū)下目錄并設(shè)置為隱藏，同時(shí)創(chuàng)建同名的病毒文件。

此外還會(huì)通過(guò)修改注冊(cè)表，實(shí)現(xiàn)不顯示隱藏文件及隱藏已知文件類型擴(kuò)展名，涉及的注冊(cè)表項(xiàng)包括：

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedHidden 

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedHideFileExt

HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLcheckedvalue

HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHideFileExtcheckedvalue