1.感染系统为：Windows 2000、Windows Server 2003、Windows XP
2.利用微软的漏洞：MS04-011；
3.病毒运行后，将自身複製为%WinDir%\napatch.exe
4.在注册表启动项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run下创建："napatch.exe" = %WinDir%\napatch.exe；这样，病毒在Windows启动时就得以运行。
5.在TCP连线埠5554建立FTP服务，用以将自身传播给其他计算机。
6.随机在网路上搜寻机器，向远程计算机的445连线埠传送包含后门程式的非法数据，远程计算机如果存在MS04-011漏洞，将会自动运行后门程式，打开后门连线埠9996。病毒利用后门连线埠9996，使得远程计算机连线病毒打开的FTP连线埠5554，下载病毒体并运行，从而遭到感染。
7.病毒还会利用漏洞攻击LSASS.EXE进程，被攻击计算机的LSASS.EXE进程会瘫痪，Windows系统将会有1分钟倒计时关闭的提示。
8.病毒在C:\win2.log中记录其感染的计算机数目和IP位址

首先，用户必须迅速下载微软补丁程式，对于该病毒的防範，
金山或者瑞星用户迅速升级防毒软体到最新版本，然后打开个人防火墙，将安全等级设定为中、高级，封堵病毒对该连线埠的攻击。
非金山或者瑞星用户迅速下载免费的专杀工具，
如果用户已经被该病毒感染，首先应该立刻断网，手工删除该病毒档案，然后上网下载补丁程式，并升级防毒软体或者下载专杀工具。手工删除方法：查找该目录C:\WINDOWS目录下产生名为avserve.exe的病毒档案，将其删除。