Резидентный загрузочный вирус. Перехватывает INT 9 (клавиатура) и INT 13h. При загрузке с зараженного флоппи заражает винчестер, предварительно спросив разрешение у пользователя:
KOH-Encrypt your HARD DISK now (please backup first)?
и записывается в MBR винчестера, если ответ 'Y', в противном случае передает управление программе нормальной загрузки. При заражении винчестера шифрует его сектора, для чего спрашивает у пользователя пароли шифровки:
Now, enter 2 passwords, 1 for HD, 1 for FD. FD PW can be changed anytime with Ctrl/Alt-K, C/A-O stops FD infect, C/A-H uninstalls on HD. Enter HD PW at power up. WRITE THIS DOWN!
CASUAL encryption=fast but breakable--keeps out snoops. STRONG encryption=good but slow--keeps out all. Use disk cache. Do you want STRONG encryption?
При загрузке с зараженного винчестера вирус спрашивает пароли и продолжает загрузку только в том случае, если пароли введены правильно. Заражает/шифрует также и флоппи-диски. Зашифрованные вирусом диски можно расшифровать и даже удалить вирус с диска, используя его же (вируса) функции. Вирус перехватывает прерывание клавиатуры и расшифровывает/дезинфицирует диски при нажатии Alt-Ctrl-A,O,H. Вирус также содержит/выводит и другие строки:
Initial load failed... aborting. Load successful. A: now infected with KOH.
Sure you want to uninstall?
Should change be permanent?
Enter FLOPPY PW now.
Now enter HD PW.
Enter Password: Verify Password:
Verify failed!
KOHv1.00