Энциклопедия компьютерных вирусов
INT 2Fh
При запуске каждой новой копии COMMAND.COM (это происходит, например, при запуске программ из-под XTREE или NortonCommander) вызывается INT 2Fh с AX=AE00h (Internal Installation Check). Вирус ловит этот вызов и создает на текущем диске новый файл WINSTART.BAT. Делает он это при двух условиях:
1) текущий диск - A: или B: 2) он на 50% или более заполнен всякими файлами (видимо, вирус хочет спрятать себя между другими файлами, дабы не быть слишком заметным при команде DIR)
Если все это так, то вирус создает на текущем диске (A: или B:) файл WINSTART.BAT куда сливает свою копию из C:\WINSTART.BAT.
