Wirus ten skanuje zaatakowaną maszynę w celu znalezienie plików wykonywalnych i infekuje je. Szkodnik ma postać pliku PE EXE o rozmiarze 348 160 bajtów. Powstał w języku programowania Visual Basic. Nie został w żaden sposób spakowany.

Instalacja

Po uruchomieniu wirus kopiuje się do foldera głównego Windows, folderów systemowych i tymczasowych ze swoją oryginalną nazwą, która otrzyma rozszerzenie .exe:

%WinDir%\%VirName%.exe
%System%\%VirName%.exe
%Temp%\%VirName%.exe

Wirus dodaje również odnośnik do siebie w rejestrze systemowym:

[HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
"mab" = "%System%\%VirName%.exe"

Funkcje szkodnika

Po uruchomieniu wirus skanuje wszystkie pliki w folderach głównych wszystkich logicznych dysków systemowych. W folderach tych zostaną stworzone kopie wirusów z oryginalną nazwą pliku. Zawartość plików z poniższymi rozszerzeniami:

.cpp
.doc
.htm
.html
.txt
.xls

zostanie nadpisana następującymi tekstami (o rozmiarze 103 bajtów):

"Sorry!!!! $%%#@&re*$%$rthn#$^&&!f#&%$$f$#df#@^%$~`<:JHFgYttrt"

"$%%%7``0924ksh<:{[86#$36455hgf#$45"

Po zakończeniu skanowania wirus zacznie od nowa po pięciosekundowej przerwie.

Usuwanie szkodnika z zainfekowanego systemu

Jeśli oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z żadnego rozwiązania antywirusowego, w celu usunięcia szkodnika z zainfekowanego systemu wykonaj następujące operacje:

1. Użyj Menedżera zadań w celu zakończenia procesu wirusa
2. Usuń następującą wartość klucza rejestru:

   [HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
   "mab"

3. Usuń kopie wirusa z foldera głównego Windows, folderów systemowych i tymczasowych:

   %WinDir%\%VirName%.exe
   %System%\%VirName%.exe
   %Temp%\%VirName%.exe
   

4. Przeskanuj swój system w celu znalezienia wszystkich plików, które mają tą samą nazwę i rozmiar co oryginalny plik wirusa
5. Uaktualnij sygnatury zagrożeń i wykonaj pełne skanowanie komputera (w tym celu można pobrać darmową wersję testową oprogramowania Kaspersky Anti-Virus)