Win95.Caw

Jest to gro藕ny, rezydentny paso偶yt Win95/98. Gdy uruchomiony zostanie zainfekowany program, wirus przejmuje kontrol臋, prze艂膮cza si臋 z poziomu aplikacji do poziomu j膮dra Windows, alokuj膮c si臋 w bloku pami臋ci Windows, przejmuje funkcje dost臋pu do plik贸w (IFS API) i staje si臋 rezyduj膮cym w pami臋ci systemu jako sterownik VxD. Nast臋pnie wirus za pomoc膮 przechwyconych funkcji, otwiera plik PE EXE i dopisuje si臋 na jego ko艅cu. Podczas infekowania wirus rozszerza ostatni膮 sekcj臋 pliku i w powsta艂e w ten spos贸b miejsce wpisuje sw贸j kod.

Wirus posiada b艂膮d, kt贸ry powoduje, 偶e podczas infekowania plik mo偶e zosta膰 uszkodzony.

Wirus wykazuje dwa bardzo gro藕ne zachowania. Po pierwsze: 7 lipca podczas otwarcia jakiegokolwiek pliku wirus kasuje 16 losowo wybranych sektor贸w z dysku C:. Po wt贸re: je偶eli aktualna minuta jest zerem, wirus kasuje pliki, kt贸re s膮 otwierane: WINWORD.EXE oraz pliki z rozszerzeniami: BMP, JPG, DOC, WRI, BAS, SAV, PDF, RTF, TXT. Ta opcja mo偶e by膰 dowolnie modyfikowana przez u偶ytkownika. Je偶eli w systemie wyst臋puje plik "C:AW" to wirus pobiera z niego nazwy i rozszerzenia plik贸w "ofiar" i tylko pasuj膮ce pliki zostan膮 skasowane. W艂a艣nie 艣cie偶ka dost臋pu do tego pliku sta艂a si臋 nazw膮 wirusa.