прямого  ближнего перехода . Вирус записывает  эту
    команду вместо первых трех байт заражаемого файла,
    а  исходные  три  байта  сохраняет в своей области
    данных .Теперь при запуске  зараженной   программы
    код вируса всегда будет выполняться первым .


         1.3 Работа вируса в зараженной программе

    Получив  управление  при старте зараженной програ-
    ммы,  вирус выполняет следующие действия :

    1. Восстанавливает в  памяти компьютера   исходные
    три  байтa этой программы .

    2. Ищет на диске подходящий COM - файл .

    3. Записывает свое тело в конец этого файла .

    4. Заменяет  первые три байта заражаемой программы
    командой перехода на свой код,  сохранив предвари-
    тельно исходные  три байта в своей области данных.

    5. Выполняет вредные действия, предусмотренные ав-
    тором .

    6. Передает управление зараженной  программе . По-
    скольку в COM - файле  точка  входа  всегда  равна
    CS : 100h, можно не выполнять сложных расчетов,  а
    просто выполнить переход на этот адрес .

    Если же подходящих для заражения COM - файлов най-
    дено не было, то вирус просто осуществляет переход
    на начало  зараженной  программы,  из которой он и
    стартовал .
    После  этого зараженная  программа выполняется,как
    обычно .
    Сам вирусный код выполняется  очень быстро  и  для
    пользователя ЭВМ этот процесс остается незаметным.
    Стоит заметить, что п.5 может вообще не выполнять-
    ся .Существуют вирусы, которые никак не  проявляют
    себя,  кроме размножения ( например, VIENNA 534 ).
    Вместе с тем есть и такие, которые способны нанес-
    ти определенный вред файлам или диску.Например,ви-
    рус ANTI_EXE  мешает  нормально  работать с  EXE -
    файлами, DARK AVENGER записывает бессмысленную ин-
    формацию в случайные сектора диска, а ONEHALF шиф-
    рует сектора на винчестере один за другим .Все за-
    висит от изобретательности автора .