Jest to jeden z nowszych wirusów. Został on
napisany prawdopodobnie w Tajwanie na
początku czerwca 1998 r. Zaraża on pliki
wykonalne Windowsa95 ma długość jednego
kilobajta. Wykorzystuje on dziury między
sekcjami pliku w które dopisuje swój kod z
możliwością podzielenia go na części.
Następnie dopisuje informacje o powiększonej
sekcji w nagłówku pliku. W rezultacie sumy
kontrolne zawsze się zgadzają. Wirus szuka
także nieużywanego bloku pow. 184 bajtów w
nagłówku pliku, gdzie zapisuje swoją procedurę
startową. Gdy zarażony plik jest ładowany do
pamięci wirus blokuje blok pamięci gdzie kopiuje
resztę swojego kodu. Wirus wykorzystuje Ring0
aby zająć systemowe odwołanie do pliku IFS API do
infekcji wykorzystuje tylko funkcje otwierania pliku.
Po infekcji wirus sprawdza datę i godzinę i
uruchamia procedurę destrukcyjną. Próbuje on
wymazać informacje zawarte w Flash BIOS a
następnie niszczy dane na dysku. W rezultacie
start systemu jest niemożliwy. Jest on w stanie
ominąć standardowe zabezpieczenia BIOS i HD
ponieważ używa bezpośredniego dostępu do
portów Flash BIOS i bezpośredniego dostępu
do dysku (IOS_SendCommand). Znanych jest
kilka wersji wirusa: