Неопасный нерезидентный Windows-вирус. Ищет PE EXE-файлы и записывается в их конец, при этом увеличивает размер последней секции файла, модифицирует стартовый адрес программы и необходимые поля PE-заголовка. Для того, чтобы получить доступ к функциям Windows вирус также изменяет таблицу импортов в заражаемых файлах.
Выполняет свои процедуры поиска и заражения файлов не непосредственно из кода, записанного в зараженный файл, а из дополнительного DLL-файла HIGHWAY.DLL, который создает в системном каталоге Windows.
Под Win95/98 вирусные процедуры активизируются только при старте зараженного файла. Под WinNT вирус инсталлирует себя в систему таким образом, что вирусная HIGHWAY.DLL активизируется при старте каждой программы. Для этого вирус создает ключ в системном реестре:
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLS
и записывает в него имя своей DLL - "HIGHWAY.DLL". В результате при старте каждой программы WinNT загружает эту DLL в адресное пространство программы, вирус получает управление, ищет и заражает файлы в каталоге, из которого произошел запуск (данная процедура в вирусе была обнаружена Adrian Marinescu, GeCAD Software).
Никак не проявляется. Известные версии вируса содержит строки:
"Highway.a": Can a road be a prision? "Highway.b": Serа a estrada uma prisДo?