Win95.Invir
Gdy kod wirusa przejmuje kontrol臋 (w 艣rodowisku Win9x), prze艂膮cza si臋 z trybu aplikacji w tryb j膮dra Windows (Ring3 -> Ring0), przejmuje funkcje dost臋pu do plik贸w (IFS API) i infekuje pliki PE EXE, gdy s膮 one otwierane, zmieniana jest ich nazwa lub atrybuty.
Podczas zara偶ania pliku wirus deszyfruje sw贸j kod i dopisuje go w ostatniej sekcji "ofiary". Ponadto wirus zapisuje dwa bloki kodu i danych w blokach "kod" i "dane". Blok danych zawiera wszystkie informacje niezb臋dne w procesie deszyfrowania wirusa w p臋tli polimorficznej. Zabieg oddzielenia bloku danych, od bloku kodu wirusa ma za zadanie zwi臋kszy膰 bezpiecze艅stwo wirusa. W ten spos贸b staje si臋 on trudniejszym do wykrycia.
Mechanizm polimorficzny wirusa oparty jest o wiele ciekawych trik贸w. Do budowania mechanizmu deszyfrowania u偶ywany jest kod podobny do asemblera, kt贸ry zosta艂 skompilowany do kodu binarnego. Wirus w 偶aden spos贸b nie ujawnia swojej obecno艣ci. Zawiera tekst:
You can not find what you can not see. Invirsible by Bhunji (Shadow VX)