Dit virus is 1704 bytes (0x06A8) groot en besmet .COM-bestanden.

Het eerste herstel begint met de laatste 1704 bytes van het .COM-bestand af te trimmen. Het onderstaande gedeelte lijkt in elk geval altijd het eerste deel van het virus te zijn, alles daarna is steeds anders.

01 FA 8B EC E8 00 00 5B 81 EB 31 01 2E F6 87 2A
01 01 74 0F 8D B7 4D 01 BC 85 06 31 34 31 24 46
4C 75 F8

Het tweede deel van het herstel is de eerste drie bytes van het .COM-bestand. Voor zover mijn kennis van assembly rijkt plaats het virus hier een JMP (jump of sprong) om waarschijnlijk eerst naar het virus te spring om daarna, nadat het virus gestart is, terug te keren naar het daadwerkelijke programma. Gezien een .COM-bestand geen header heeft maar direct met assembly-code start is het voor mij nog niet duidelijk hoe deze eerste 3 bytes opnieuw zijn op te bouwen. Voor nu is dan ook mijn enige oplossing om het bestand te vervangen voor een niet besmette versie maar dat is bij bijzondere software helaas niet altijd mogelijk.

• Virus:DOS/Cascade op microsoft.com
• Broncode Cascade van onx op GitHub