Неопасный нерезидентный Win95-вирус. Ищет PE EXE-файлы и записывается в их конец: увеличивает размер последней секции, дописывает туда свой код и модифицирует адрес точки входа. Для того, чтобы получить доступ к необходимым функциям Win95 сканирует KERNEL32. Для определения уже зараженных файлов сравнивает имена секций файла с именем собственной секции «BEDM». Не заражает файлы, упакованные утилитой Petite.
25 февраля выводит MessageBox:
Rafa+ ! Wszystkiego najlepszego z okazji urodzin !
По 13-м числам выводит MessageBox и выходит из Windows:
Uwaga !Aby uruchomiц ten program musisz zresetowaц komputer !
Также содержит строки, которые содержат список функций и библиотек, используемых вирусом:
KERNEL32.DLL USER32.DLL GetModuleHandleA GetProcAddress FindFirstFileA FindNextFileA SetCurrentDirectoryA GetCurrentDirectoryA CreateFileA ReadFile WriteFile SetFilePointer CloseHandle GetSystemTime LoadLibraryA MessageBoxA ExitWindowsEx