Вирус в DOS EXE-файлах зашифрован командой NOT (XOR 0FFh), поэтому при запуске он первым делом расшифровывает свой код, используя несложный антиотладочный прием. Затем ищет на диске Windows, для чего пытается открыть пять файлов:
C:\WINDOWS\SYSTEM.INI C:\WIN\SYSTEM.INI C:\WIN31\SYSTEM.INI C:\WIN311\SYSTEM.INI C:\WIN95\SYSTEM.INI
Если таких файлов нет, вирус не заражает систему. В противном случае он записывает свой VxD-дроппер в каталог SYSTEM обнаруженной копии Windows и вставляет в файл SYSTEM.INI команду загрузки VxD:
DEVICE=GOLLUM.386
Эта команда записывается в секцию [386Enh]:
SYSTEM.INI до и после заражения
... ... [386Enh] [386Enh] mouse=*vmd DEVICE=GOLLUM.386 ... mouse=*vmd ...