Software\Microsoft\Windows\CurrentVersion\Run
　　键名：win32
　　键值：winhost.exe

　　Software\Microsoft\Windows\CurrentVersion\RunServices
　　键名：win32
　　键值： winhost.exe

　　3、蠕虫会在C盘跟目录生成一个图片文件，名字为：sexy.jpg，并调用关联程序打开，一般为IE打开该图片，打开后效果如图1。

图1

　　4、开启本地 TCP10xx端口，频繁连接目标：10.0.1.128:8080，接受黑客控制。

　　5、查找MSN窗口，如果存在，则向好友列表中发送消息传播自身。

　　三、清除方案：

　　手工清除需要按照上面的行为分析，终止删除相关进程文件，修复注册表。

　　请各位木马防线用户紧急升级到最新病毒库，可以全面查杀该蠕虫!

　　用户可以避免接MSN上发来的陌生附件，包括扩展名为.EXE .SCR等附件，来预防该蠕虫。