Вредоносная программа, которая находит и заражает исполняемые файлы на компьютере пользователя.
Инсталляция
После запуска выполняется создание копий файла вируса c идентичным оригинальному именем (оригинальное должно быть с расширением .exe) в корневом, системном и временном каталогах Windows:
%WinDir%\%VirName%.exe %System%\%VirName%.exe %Temp%\%VirName%.exe
Также вирус добавляет ссылку на свою копию в ключ автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"mab" = "%System%\%VirName%.exe"
Деструктивная активность
После инсталляции происходит поиск всех файлов в корневых каталогах на всех логических дисках в системе. В данных каталогах создаются копии исполняемого файла вируса под тем же именем, что и у оригинального файла, а содержимое найденных файлов с расширениями:
.cpp .doc .htm .html .txt .xls
перезаписывается следующим текстом (размер 103 байта):
"Sorry!!!! $%%#@&re*$%$rthn#$^&&!f#&%$$f$#df#@^%$~`<:JHFgYttrt" "$%%%7``0924ksh<:{[86#$36455hgf#$45"
Если сканирование диска было окончено, оно повторяется через 5 секунд после завершения.