從搜索引擎結(jié)果來看，該病毒最早出現(xiàn)時間為 2009 年，主流殺毒軟件廠商均將此病毒命名為 Worm.Win32.Autorun，從名稱可以判斷該病毒為 Windows 平臺通過移動介質(zhì)傳播的蠕蟲病毒。病毒文件運行后，首先復(fù)制自身到Windows 目錄下（C:windowstsay.exe），文件圖標(biāo)偽裝為文件夾。

經(jīng)調(diào)查，該蠕蟲正常情況下表現(xiàn)為文件夾蠕蟲，集中爆發(fā)是由于病毒代碼中內(nèi)置了部分特殊日期，在匹配到對應(yīng)日期后會觸發(fā)蠕蟲的刪除文件功能，爆發(fā)該蠕蟲事件的用戶感染時間應(yīng)該早于2021年1月13號，根據(jù)分析推測，下次觸發(fā)刪除文件行為的時間約為2021年1月23日和2021年2月4日。

該蠕蟲病毒運行后會檢測自身執(zhí)行路徑，如在windows目錄下則會將其他磁盤的文件進行遍歷刪除，并留下一個名為incaseformat.log的空文件：

若當(dāng)前執(zhí)行路徑不在windows目錄，則自復(fù)制在系統(tǒng)盤的windows目錄下，并創(chuàng)建RunOnce注冊表值設(shè)置開機自啟:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOncemsfsa值: C:windowstsay.ex

病毒文件將在主機重啟后運行，并開始遍歷所有非系統(tǒng)分區(qū)下目錄并設(shè)置為隱藏，同時創(chuàng)建同名的病毒文件。

此外還會通過修改注冊表，實現(xiàn)不顯示隱藏文件及隱藏已知文件類型擴展名，涉及的注冊表項包括：

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedHidden 

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedHideFileExt

HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLcheckedvalue

HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHideFileExtcheckedvalue