Wirus Dos 621


Wirus plikowy, nierezydentny, znany także jako [648], [Viena A], [Wiedeński A]. Dokleja 648 bajtów na końcu zarażonego programu typu *.COM modyfikując równocześnie trzy początkowe bajty na skok do własnego kodu. Uruchomienie zainfekowanego programu powoduje, że wirus szuka ofiary najpierw w katalogu aktualnym, a później w katalogach do których istnieje ścieżka dostępu (PATH). Jeśli nie znajdzie ofiary lub w przypadku gdy w PATH jako pierwsza znajduje się nazwa nieistniejącego katalogu  odstępuje od infekcji.

Natomiast w przypadku odnalezienia kandydata sprawdza wskazanie zegara systemowego i w 7 na 8 przypadków infekuje odnaleziony program. W pozostalym przypadku zmienia pięć początkowych bajtów ofiary, wpisując na to miejsce skok do procedury restartującej system operacyjny. Programu takiego nie można uruchomić i trzeba go uważać raczej za stracony. W zainfekowanych programach zmienia datę wstawiając zamiast liczby sekund wartość 62, dzięki czemu infekuje je jednokrotnie. Ujawnia się generując napis "Writc protcct error writing drivc A Abort, Retry, Fail?" przy próbie zarażenia programu na zaklejonej dyskietce w stacji A lub na dysku zabezpieczonym przed nagraniem.

Programy o długościach zbliżonych do 64000 bajtów po infekcji nic mogą być uruchomione. Przedstawiony poniżej obrazek ukazuje fragmenty kodu programu  nosiciela i wirusa [Dos 62] Infekcji poddany został program WHERE.COM (889 10986 0:00:00), którego parametry zmienione zostały po zarażeniu na (1423 10986 0:00:62).
  
Fragmenty kodu hexadecymalnego (po prawej) i ASCII (po lewej) programu nosiciela antywirusa DOS 621. Charakterystyczne również dla innych wirusów napisy "'.COM", "PATI I=" i "????????COM". Wyróżnione w kodzie hexadecymalnym bajty charakterystyczne i zmienione przez wirusa pierwsze 3 bajty programu.