Очень опасные нерезидентные зашифрованные вирусы. При запуске зараженного .EXE-файла вирус открывает файл C:\AUTOEXEC.BAT, считывает его и ищет строку, которая начинается с "path" или "PATH". Если таковая строка обнаружена, то вирус вставляет после нее строку "em":
... PATH= ... em ...
Затем вирус создает файл C:\EM.COM, в который записывает свое тело (1303 байт). Таким образом вирус создает свой "дроппер", вызываемый при каждом запуске файла AUTOEXEC.BAT. После заражения файла AUTOEXEC.BAT вирус передает управление программе-хозяину (.EXE-файлу). При запуске файла EM.COM (например, при каждой загрузке с диска с "зараженным" AUTOEXEC.BAT) вирус ищет все .EXE-файлы диска C: и записывается в их конец. 28-го числа каждого месяца вирус вызывает процедуру, которая сканирует дерево подкаталогов и записывает пробел (20h) в первый символ всех файлов, подкаталогов и меток тома (т.е. всех обнаруженных объектов). При этом он использует функции абсолютного доступа к секторам дисков (INT 25h/26h). В результате вся информация на диске становится недоступной. Вирус содержит строки:
path PATH em.com c:\ autoexec.bat c:\*.* *.exe