国内用户也频繁中招，此病毒通过伪造邮件传播，诱导用户点击链接，下载含有恶意宏病毒的Office文件。
一旦用户执行此宏文件，则会下载病毒作者云端的可执行文件，当然此云端文件可以根据作者的需求随时做修改，它真正的攻击模块都是可变的，是基于一个庞大的僵尸网络系统。
此次攻击者利用已经被攻陷的肉机来做中转站，出现大量的僵尸网络。根据这个病毒的家族史来看，僵尸网络一向就是他们的核心利用点，以下只是这个病毒家族利用过的网络域名，但这仅仅是九牛一毛。

病毒下载流程图

此病毒利用宏，解密CMD命令并且执行后又动态解密一段powershell进行下载执行其僵尸网络配置的可执行程序。

执行流程图

病毒作者团队高手芸芸，攻陷了全球各地网站服务器，网站模板CMS系统各式各样都有，包括Wordpress ，joomla-cms 等等，其中包括学校机构，企业，当然还有各种网络设备。

庞大的服务器沦陷，极有可能涉及到国内的企业，学校，政府的服务器。金山毒霸安全专家提议：
1、及时升级网站CMS程序。
2、及时更新系统补丁。
3、修改弱密码，以防止暴力破解。
4、防止恶意邮件，钓鱼网站等等。
5、提高安全意识，防火，防盗，防社工。
平时上网时，不要打开不明邮件，更不要下载其内容。本地Office软件最好禁止宏的自动加载，避免不小心打开含有恶意宏病毒的Office文档。
电脑安装金山毒霸进行实时防御，查杀。企业，学校，政府更要防护好自己的服务器，不要做别人的傀儡。