Worm.Win32.AutoRun.cxy主要通过网页木马、文件捆绑、移动存储介质传播，病毒主要下载其他病毒程序

Worm.Win32.AutoRun.cxy被执行后，创建名为“ilovsbleverymuch”的互斥体对象，防止系统中有多个病毒进程在运行；遍历进程查找360tray.exe、360safe.exe将其关闭；遍历进程查找avp.exe是否存在，如果存在则通过修改系统时间试图使其不能正常使用；以命令行的形式关闭共享访问服务；枚举窗口查找窗口名中含有如下字符串的窗口，通过发送退出消息将其关闭；
防火墙
木马清道夫
木马克星
超级巡警
NOD32核心
微点
安全卫士
木马杀客
NOD32 内核
杀毒
江民
金山
 
拷贝自身到%SystemRoot%\system32\目录下，重命名为dream.exe；拷贝%SystemRoot%\system32\urlmon.dll到相同目录下，重命名为lovesbl.dll；修改如下注册表健值以达到随机自启动的目的；

项：HKLM\Software\Microsoft\Windows\CurrentVersion\policies\explorer\run\
健值：melove
指向数据：%SystemRoot%\system32\dream.exe
 
创建svchost.exe进程壳，申请内存空间将病毒部分代码写入，通过相关API函数激活病毒代码并进行代码注入躲避杀毒软件的查杀，并访问恶意网站hxxp://gnan.3322.org/kl.exe下载其他病毒程序并运行；枚举盘符在各分区和移动存储介质中释放隐藏病毒文件和autorun.inf，使用Windows自动播放功能来传播病毒。

autorun.inf文件内容如下:
[autorun]
OPEN=sb.exe
shellexecute=sb.exe
shell\Auto\command=sb.exe