NAVRUNR

　　NAVLU32

　　NAVAPSVC

　　NISUM

　　SYMPROXYSVC

　　RESCUE32

　　NISSERV

　　VSECOMR

　　VETTRAY

　　TDS2-NT

　　TDS2-98

　　SCAN32

　　PCFWALLICON

　　NSCHED32

　　IAMSERV.EXE

　　FRW.EXE

　　MCAFEE

　　ATRACK

　　IAMAPP

　　LUCOMSERVER

　　LUALL

　　NMAIN

　　NAVW32

　　NAVAPW32

　　VSSTAT

　　VSHWIN32

　　AVSYNMGR

　　AVCONSOL

　　WEBTRAP

　　POP3TRAP

　　PCCMAIN

　　PCCIOMON

　　ESAFE.EXE

　　AVPM.EXE

　　AVPCC.EXE

　　AMON.EXE

　　ALERTSVC

　　ZONEALARM

　　AVP32

　　LOCKDOWN2000

　　AVP.EXE

　　CFINET32

　　CFINET

　　ICMON

　　RMVTRJANSAFEWEB

　　WEBSCANX

　　PVIEW

　　ANTIVIR

　　如果系统日期是三月廿五日或三月廿二日，它就会显示以下的讯息，并将鼠标的左右按钮功能调转：

　　如果系统日子是星期四，它就会执行以下程序：

　　1. 随机地改变首页的索引值：

　　HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain

　　为以下的其中一个：

　　http://www.unixhideout.com

　　http://www.hirosh.tk

　　http://www.neworder.box.sk

　　http://www.blacksun.box.sk

　　http://www.coderz.net

　　http://www.hackers.com/html/neohaven.html

　　http://www.ankitfadia.com

　　http://www.hrvg.tk

　　http://www.hackersclub.up.to

　　http://geocities.com/snak33y3s

　　2. 从登录索引值中获得现时使用者的文件资料夹的存放地址：

　　HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerShell

　　Folders

　　然后将这个数据夹及其所有子数据夹的属性转为隐藏。在大部份情况下，此资料夹都是 My Document 资料夹。

　　3. 在窗口桌面建立一个名叫 YeHS.txt 的文字文件，档案的属性是隐藏和保存。此档案含有以下其中一个的文字讯息：

　　============================================================

　　r0xx pReSaNt$ W32.@YerH$.B (all r1ght$ re$erv3d.. ;) )

　　w3 aRe tHe gRe@t 1nD1aN$..

　　------------------------------------------------------

　　m@iN mIssIoN iS t0 sPreAd tHe nAmE @YerH$

　　s00 mUch t0 c0me..

　　iNclUdEd DDoS c0mp0neNtS c@usE oF sHiT p@kI l@meRs

　　eXp3ct th3 uNeXp3ctEd

　　dEdic@t3d t0 : mY b3$t fRi3nD

　　============================================================

　　>> qph@hackermail.com

　　或

　　================================================== W32.@YerH$.B,Made in India, wE aRe thE greAt iNdIaNs.. ---------------------------- [未结束]