Очень опасный резидентный NewEXE-вирус. При запуске зараженного файла записывается в ядро Windows (KERNEL - KRNL286.EXE или KRNL386.EXE) и возвращает управление программе-носителю. При загрузке системы с зараженным KERNEL вирус перехватывает системный вызов WinExec (запуск файлов) и записывается в конец NewEXE-файлов при их запуске. При заражении KERNEL вирус определяет его handle функцией GetModuleHandle, записывает туда свой код и правит системные таблицы таким образом, что адрес процедуры WinExec указывает на код вируса. При загрузке зараженного KERNEL вирус остается в памяти как часть KERNEL. Так как адрес WinExec уже установлен на код вируса, то при запуске файлов вирус получает управление и заражает их. Вирус определяет уже зараженные файлы по строке "LROY", которую при заражении помещает в поле контрольной суммы в заголовке NewEXE. В зависимости от системной даты и номера текущего дня вирус выводит MessageBox с заголовком:
Chicago 7: Cyber riot
Текст внутри MessageBox зависит от дня. В апреле, начиная с 29-го, 1 мая вирус выводит:
Happy anniversary, Los Angeles! Anarchists of the world, unite!
По пятницам до 13-го числа:
When the levee breaks, I have no place to stay... (Crying won't help you. Praying won't do you no good.)
6 марта и в декабре с 1-го по 26-е:
Save the Whale, harpoon a fat cat.
После вывода сообщения вирус стирает сектора дисков. Вирус также содержит строки:
USER KERNEL Chicago-7 CyberRiot, 15.1.1993 Klash (Werner L.) Sommer 1993: 15 Windowscomputerviren
Coming soon: Diet riot. Same great aftertaste--fewer bytes.
Source code avaiable for $15,000,000. Serious inquiries only.
Why does IBM need to lay me off? Oh well, their loss. McAfee's FUD equation: !!!!!!+??????=$$$$$$
Convict the pigs
This program was written in the cities of Hamburg, Chicago, Seattle and Berkeley. Copyright (C) 1993 Klash/Skism/George J/Phalcon/Henry Buscombe and 2 ex-Softies, collectively known as the Chicago 7.