Win32.Mystery

Jest to rezyduj膮cy w pami臋ci, paso偶ytniczy wirus Win32. Rozprzestrzenia si臋 w 32-bitowych systemach Windows: pozostaje rezydentny w pami臋ci i infekuje wszystkie uruchamiane pliki PE EXE. Podczas infekcji wirus dopisuje si臋 do sekcji relokacji, pod warunkiem, 偶e jest tam wystarczaj膮co du偶o miejsca. Podczas tej operacji rozmiar pliku nie zmienia si臋. Procedura infekcji wirusa ma b艂膮d, co powoduje niekiedy wywo艂anie standardowego komunikatu b艂臋du Windows.

O p贸艂nocy wirus otwiera i zamyka nap臋d CD-ROM i wy艣wietla wiadomo艣膰:

Mystery by Prudentor
You are infected with Mystery! ;-)
Nothing will be killed, keep cool.

By zawsze rezydowa膰 w pami臋ci wirus infekuje plik EXPLORER.EXE. Pobiera jego naw臋 wyszukuj膮c aktywne procesy o nazwie EXPLORER w pami臋ci komputera. Nast臋pnie wirus przerywa dzia艂anie programu EXPLORER.EXE (by umo偶liwi膰 zmiany w pliku), infekuje go i ponownie uruchamia. Dzi臋ki tym dzia艂aniom wirus pozostaje w pami臋ci jako fragment programu EXPLORER.EXE, co powoduje 艂adowanie wirusa do pami臋ci po ka偶dym starcie systemu.

Od tego momentu wirus pracuje w tle, pobieraj膮c nazwy plik贸w aktywnych proces贸w. Po zako艅czeniu danego procesu, odpowiadaj膮cy mu plik jest infekowany (dopiero wtedy mo偶na dokonywa膰 zmian).