Для доступа к функциям Windows вирус сканирует код KERNEL32, определяет адрес функции GetProcAddress и затем, пользуясь полученным значением, определяет адреса необходимых функций:
KERNEL32.DLL:
GetModuleHandleA GetProcAddress CreateFileA WriteFile GetFileSize CreateFileMappingA MapViewOfFile UnmapViewOfFile CloseHandle FindFirstFileA FindNextFileA FindClose SetFilePointer SetEndOfFile GetCurrentDirectoryA SetCurrentDirectoryA GetFileAttributesA SetFileAttributesA GetSystemTime GetWindowsDirectoryA
USER32.DLL and ADVAPI32.DLL:
RegOpenKeyExA RegSetValueExA MessageBoxA SystemParametersInfoA
Резидентная часть вируса сканирует таблицу импортов текущего процесса и перехватывает функции (если таковые используются процессом):
MoveFileA CopyFileA CreateFileA DeleteFileA SetFileAttributesA GetFileAttributesA GetFullPathNameA CreateProcessA
Вирус также содержит строки:
To Aparna S. : Forever in love with you... AYAM IAHS Control Panel\Desktop TileWallpaper WallpaperStyle SLAM.BMP