При запуске файла управление получает полиморфный расшифровщик вируса, который расшифровывает код вируса при помощи нескольких циклов расшифровки (вирус в EXE-файлах зашифрован несколькими циклами - от трех до пяти) и затем передает управление на инсталлятор вируса. Следует отметить, что некоторые процедуры вируса остаются зашифрованными (процедура заражения NORMAL.DOT и полиморфик-генератор вируса). При необходимости вирус расшифровывает эти процедуры, вызывает их и затем зашифровывает обратно.
Инсталлятор вируса сканирует ядро Windows (KERNEL32.DLL) "стандартным вирусным" способом и ищет адреса необходимых функций Windows. Список этих функций достаточно длинный, что обосновано количеством приемов, которые вирус использует для своего распространения:
Экспортируется: Список функций: --------------- --------------- KERNEL32.DLL: GetProcAddress GetModuleHandleA CreateProcessA CreateFileA WinExec CloseHandle LoadLibraryA FreeLibrary CreateFileMappingA MapViewOfFile UnmapViewOfFile FindFirstFileA FindNextFileA FindClose SetEndOfFile VirtualAlloc VirtualFree GetSystemTime GetWindowsDirectoryA GetSystemDirectoryA GetCurrentDirectoryA SetFileAttributesA SetFileTime ExitProcess GetCurrentProcess WriteProcessMemory WriteFile DeleteFileA Sleep CreateThread GetFileSize SetFilePointer USER32.DLL: MessageBoxA FindWindowA PostMessageA ADVAPI32: RegSetValueExA RegCreateKeyExA RegOpenKeyExA RegQueryValueExA RegCloseKey MAPI32.DLL: MAPISendMail
"Стандартный вирусный" метод определения адресов функций Windows заключается в следующем: вирус ищет базовый адрес загруженной в Windows-память копии KERNEL32.DLL, разбирает ее таблицу экспортом и вычислыет адреса двух функций Windows: GetModuleHandle и GetProcAddress. При помощи этих двух процедур вирус заьтем легко получает адреса всех остальных необходимых ему функций. Наиболее интересная особенность данной реализации этого метода заключается в том, что вирус ищет копию KERNEL32.DLL не только по стандартным адресам загрузки Win95/98 и WinNT, но также и по адресам Win2000.
Затем вирус ищет и заражает MS Word, затем PE EXE-файлы, затем перехватывает некоторые системные функции доступа к файлам и электронной почте (см. ниже).