При поиске и заражении файлов использует OS/2-вызовы:
DosExit DosChgFilePtr DosClose DosDelete DosFindClose DosFindFirst DosFindNext DosNewSize DosOpen DosGetEnv DosRead DosWrite DosExecPgm
Содержит строки:
Jiskefet DOSCALLS *.EXE MK
OS2.MyName
DosExit DosClose DosFindFirst DosFindNext DosOpen DosGetEnv DosRead DosWrite
и выводит сообщения:
<Error opening file> My name is --> infected
Также содержит строки:
VIRUS DOSCALLS *.EXE
OS2.AEP
При запуске ищет EXE- и DLL-файлы, проверяет у них наличие заголовка NE, маркер OS/2, затем записывается в середину файла. При заражении берет номер сегмента кода, содержащего точку входа в файл, сдвигает все остальные сегменты вниз и записывает себя в образовавшуюся "дыру". Затем корректирует NewEXE-заголовок и системные таблицы ссылок и внешних имен. После чего возвращает управление программе-носителю.
Файл до заражения Зараженный файл
+----------------+ +----------------+ |MZ DOS Header | |MZ DOS Header | |----------------| |----------------| |NE NewEXE Header| |NE NewEXE Header| |----------------| |----------------| |System Tables |точка| |System Tables | |----------------|входа| |----------------| |Seg 1 |<----+ |Seg 1 |<--+ | | | | | |----------------| --+ |- - - - - - - - |<---- точка входа |Seg 2 | | |Virus | | |----------------| | | |---+ возврат в первоначальную ... +--> |----------------| точку входа |----------------| |Seg 2 | |Seg n | |----------------| +----------------+ --+ ... | |----------------| | |Seg n | +--> +----------------+
При заражении использует вызовы:
DosAllocSeg DosFreeSeg DosChgFilePtr DosClose DosFindFirst DosFindNext DosOpen DosRead DosWrite
Содержит строки:
(C) 1995 American Eagle Publications Inc., All rights reserved. *.EXE *.DLL DOSCALLS