Dit virus besmet .COM-bestanden.

Het originele .COM-bestand wordt aangepast met een JMP (“jump” of sprong) op de eerste 3 bytes van het bestand. Verder wordt het bestand uitgevuld met 0x00 om de totaal aantal bytes van het bestand gedeeld door 16 op een geheel getal uit te laten komen. Tot slot wordt en 1027 bytes aan virus-data toegevoegd aan het einde van het bestand.

Het eerste deel van het virus lijkt er steeds als volgt uit te zien (_ = steeds anders):

BE __ __ B9 F4 01 26 81 34 __ __ 46 46 E2 F7 __

Het laatste deel van het virus lijkt er steeds als volgt uit te zien (_ = steeds anders):

__ 00 00 __ __ __ __ 8C C8 3D 00 00 74 21 BF
00 00 00 00

Herstel is helaas niet eenvoudig. Dit heeft te maken met het reproduceren van de eerste 3 bytes waar het virus z'n JMP plaatst. De beste manier is helaas om het bestand met een niet-besmette versie op HEX-niveau te vergelijken en ze daarmee te vervangen. De verschillen zijn dan als volgt:

• De eerste 3 byes (0x00 - 0x02).
• 1027 bytes of meer aan het einde van het bestand.
• tussen de laatste 1027 bytes (het virus) en het originele programma tot maximaal 15 bytes 0x00-uitvulling extra.

• Junkie op F-Secure Labs