从搜索引擎结【jié】果来看，该病毒【dú】最早出现时间为 2009 年，主流杀毒软【ruǎn】件【jiàn】厂【chǎng】商均将此病【bìng】毒命名为【wéi】 Worm.Win32.Autorun，从名称可【kě】以判断该【gāi】病毒为 Windows 平台通过移动介质【zhì】传播的蠕【rú】虫病毒。病毒【dú】文【wén】件运行后【hòu】，首先复制自身【shēn】到Windows 目录下（C:windowstsay.exe），文件图标伪装为文件夹【jiá】。

经调查，该【gāi】蠕虫正常【cháng】情况下表现为文件夹蠕虫，集中【zhōng】爆发是【shì】由于病毒代码中【zhōng】内置【zhì】了部分特殊日期【qī】，在匹配到对应【yīng】日期后【hòu】会触发蠕虫的删除文件功【gōng】能，爆发该蠕虫【chóng】事件的用户感染【rǎn】时【shí】间应该早于2021年1月13号，根据【jù】分析【xī】推测，下次触发删除文【wén】件行【háng】为的时间【jiān】约【yuē】为9-22和9-22。

该【gāi】蠕虫病毒运行后会检测自身执行路径，如在windows目录下则会将其【qí】他磁【cí】盘的【de】文【wén】件进行【háng】遍历删除，并留下一个名为incaseformat.log的空【kōng】文【wén】件：

若当前【qián】执行路径不在windows目录【lù】，则自复制在系统盘的windows目录【lù】下，并创建【jiàn】RunOnce注册表值【zhí】设置【zhì】开机【jī】自启:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOncemsfsa值: C:windowstsay.ex

病毒文件将在主机重启后运行，并开始遍历所【suǒ】有【yǒu】非系【xì】统分【fèn】区下目录并设置【zhì】为隐【yǐn】藏【cáng】，同时创【chuàng】建同名的病毒文件【jiàn】。

此外还会通过修改【gǎi】注册表，实现不显示隐藏文件及隐【yǐn】藏【cáng】已知【zhī】文件类【lèi】型扩【kuò】展名，涉及的注【zhù】册表项【xiàng】包括：

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedHidden 

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedHideFileExt

HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLcheckedvalue

HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHideFileExtcheckedvalue