Крайне опасный резидентный полиморфик Windows-вирус. Размножается под Win32 и заражает выполняемые файлы Windows (PE EXE-файлы), которые имеют расширения .EXE и .SCR. Вирус также заражает KERNEL32.DLL, что позволяет вирусу оставаться в системе резидентно на все время работы Windows. Вирус при этом заражает KERNEL32.DLL таким образом, что копия вируса перехватывает функции KERNEL32: открытие, копирование, перемещение файлов и т.д. При вызове таких функций вирус заражает файлы, к которым идет обращение. Вирус проверяет имена файлов и не заражает некоторые антивирусные программы:
_AVP32.EXE, _AVPM.EXE, ALERTSVC.EXE, AMON.EXE, AVP32.EXE, AVPM.EXE, N32SCANW.EXE, NAVAPSVC.EXE, NAVAPW32.EXE, NAVLU32.EXE, NAVRUNR.EXE, NAVWNT.EXE, NOD32.EXE, NPSSVC.EXE, NSCHEDNT.EXE, NSPLUGIN.EXE, SCAN.EXE, SMSS.EXE
Вирус имеет крайне опасную деструктивную процедуру, которая активизируется 25 декабря. В этот день вирус при обращении к первому .EXE- или .SCR-файлу стирает CMOS, записывает "мусор" во все файлы во всех подкаталогах на всех дисках от C: до Z:, затем портит Flash BIOS (при этом использует процедуру из вируса "Win95_CIH" - "Чернобыль").
При старте зараженного файла управление передается на полиморфный расшифровщик вируса, который затем передает управление на основные вирусные процедуры заражения PE-файлов и KERNEL32.DLL. При заражении вирус использует функции Windows, адреса которых получает сканированием ядра Windows. Затем вирус заражает файл KERNEL32.DLL.
При заражении KERNEL32 и других выполняемых PE-файлов вирус в зависимости от своей версии либо увеличивает размер последней секции файла и записывает туда свой код, либо создает в конце файла дополнительную секцию, шифрует и записывает туда свой код и модифицирует стартовый адрес программы таким образом, что при загрузке в память зараженного файла управление передается на код вируса. Вирусная секция имеет имя "...". Для того, чтобы отличать зараженные файлы от незараженных, вирус также записывает строку-идентификатор "666" в неиспользуемое поле PE-заголовка.