当病毒运行时，将会显示一个类似如下的消息对话框 -

HATA
(x) KERNEL HATASI
[OK]
　

病毒会将自己拷贝到包含 "Shar" 字符串的目录中，例如 "Microsoft Shared" 或者类似目录，病毒程序的名字可能是如下之一 -

Sun YanZi.avi.exe
Sun YanZi.mpg.exe
Sun YanZi.mpeg.exe
Sun YanZi - Shen Qi.exe
Sun YanZi - I am not sad.mp3.exe
Sun YanZi - Leave me alone.mp3.exe
Sun YanZi - forever.mp3.exe
Stephan YanZi.Mp3.exe
Sun-YanZi.mp3.exe

病毒还会将自己复制到 System32 目录下，分别为 "Yanzi.exe" 和 "lsasss.exe",以及一个 .ZIP 文件"YanZi.zip"到 Windows 系统目录下。ZIP 文件包含一个 .PIF 扩展名的病毒拷贝。

接下来病毒会将以下附加文件写入到 System32 目录下 -

sun.sys (93,886 bytes) - UUEncoded copy virus as yanzi.exe
sun_yanzi.sys (94,054 bytes) - UUEncoded copy of YanZi.zip

跟随系统启动加载

病毒会通过注册表项，令自己随系统启动 -

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"Microsoft Kernel" = C:\WINNT\System32\lsasss.exe (extra data)

上面的例子中 "(extra data)" 是一个填充字符串，没有什么意义。

垃圾邮件发送

病毒会通过扫描系统各个文件获取大量的邮件地址。病毒搜索文件扩展名为 -

adb
asp
dbx
doc
html
jsp
rtf
txt
xml

病毒会跳过包含以下内容的地址 -

@google
@Norman
@Sophos
@Symantec
@kaspersky
@pandasoftware
@microsoft

病毒在创建邮件内容的时候会引用 "Sun Yanzi"。病毒会在以下四句中挑选一句来创建邮件内容消息。

I don't want anything. I want to see Sun YanZi

My Favourite is Sun YanZi.

I want to meet Sun YanZi. I am loving Sun-YanZi Magic.

You must to listen Sun-Yanzi. I am enjoying to listen Sun YanZi.

邮件附件的扩展名可能是 .ZIP 或者 .CMD, .PIF 或者 .SCR。

其他

Yanzi 是一个亚洲流行歌星 - 病毒作者很显然是她的歌迷。病毒通过 PSAPI.DLL 来监视两个进程，并阻止或者关闭其运行 -

MSCONFIG.EXE
REGEDIT.EXE

这两个程序能够用来发现跟随系统启动的程序。