این ویروس ایرانی، فایلهای com و Partition Table دیسک سخت را آلودهمیکند. اندازهٔ آن در فایلهای com ، ۲۶۷۶ بایت است. ضمنا" برای این کهکنترل وقفهی ۲۱H در هنگام بوت شدن سیستم را در اختیار بگیرد،یک روتین۹۰بایتی را به انتهای فایل Command.com (یا هر Command Interperter دیگری کهتوسط دستور SHELL در فایل Config.sys مشخص شده باشد) اضافه مینماید.

●ویروس Mortezania.۲۶۷۶
اینویروس ایرانی، فایلهای com و Partition Table دیسک سخت را آلودهمیکند. اندازهٔ آن در فایلهای com ، ۲۶۷۶ بایت است. ضمنا" برای این کهکنترل وقفهی ۲۱H در هنگام بوت شدن سیستم را در اختیار بگیرد،یک روتین۹۰بایتی را به انتهای فایل Command.com (یا هر Command Interperter دیگری کهتوسط دستور SHELL در فایل Config.sys مشخص شده باشد) اضافه مینماید.هنگامی که فایل com آلوده به این ویروس اجرا میگردد، ویروس ابتدا بهدنبال عبارت “COMSPEC =“ در Environment Block گشته و روتین ۹۰ بایتی موردنظر خود را در انتهای فایلی که نامش در جلوی عبارت “COMSPEC =“است(معمولا" فایل C:command,com) را مینویسد. بعد از آن، سکتور شمارهٔ ۱ساید شمارهٔ صفر از سیلندر صفر(سکتور (Partition Table دیسکسخت اول راخوانده و در صورتی که قبلا" آلوده نشده باشد، یک کپی از آن را در سکتور ۲ساید صفر از سیلندر صفر همان دیسک سخت قرار داده و سپس Partition Table راآلوده میکند. مابقی ویروس را نیز در سکتور ۳ به بعد مینویسد.
بعداز آلوده کردن Partition Table، تاریخ سیستم را برابر با روز پنجم از ماهدهم (پنج اکتبر ) سال ۱۹۹۸ میلادی قرار میدهد و سپس فایل com اصلی اجرامیشود.
ویروس Mortezania ، توسط Partition Table آلوده، در حافظهمقیم میگردد. به این صورت که وقتی سیستم باPartition Table آلودهراهاندازی میشود، ویروس ابتدا اندازهٔ حافظهی Conventional را کهBIOS گزارش میکند، برابر با ۶۳۷ کیلوبایت قرار داده و سپس خود را ازسکتور ۳ ساید صفر سیلندر صفر دیسکسخت، در آدرس ۹F۴۰:۰۱۰۰ حافظه کپیمیکند. سگمنت ۹F۴۰ در فضای آدرسدهی بالاتر از ۶۳۷ کیلوبایت قرار داردو چون اندازهٔ حافظهی Conventional برابر با ۶۳۷ کیلوبایت قرار داده شدهاست، بنابراین سیستم عامل و برنامههای دیگری که بعد از ویروس اجرامیشوند، از حافظهی اختصاص داده شده به ویروس استفاده نخواهند کرد.اکثر ویروسهایی که در Partition Table یاBoot Sector را آلوده میکنند،برای در اختیار گرفتن حافظهی مورد نیاز خود از چنین تکنیکهایی استفادهمینمایند.
بعد از مقیم شدن ویروس در حافظه، آدرس وقفهی ۱۳H بهآدرس ۹F۴۰:۰۸۳۹ تغییر یافته و ویروس، کنترل وقفهی ۱۳H را در اختیارمیگیرد. برای کنترل وقفهی ۲۱H نیز از روتینی که درCommand.com آلودهقرار داده شده و هنگام بوت شدن سیستم اجرا میشود، استفاده میگردد. اینروتین، آدرس وقفهی ۲۱H را به آدرس ۹F۴۰:۰۱۷D تغییر میدهد. البتهچنانچه سیستم با Partition Table آلوده راهاندازی نشود و ویروس در حافظهمقیم نباشد، اجرای Command.com آلوده و تغییر آدرس وقفهی ۲۱H باعث Hangکردن سیستم خواهد شد.
بعد از آن که ویروس در حافظه مقیم و فعال شد،کنترل توابع ۲ (خواندن سکتور) و ۳(نوشتن بر روی سکتور) از وقفهی ۱۳H ونیز توابع ۳D (باز کردن فایل) و ۴B (اجرای برنامه) از وقفهی ۲۱H را دراختیار میگیرد. به این ترتیب، اجازهٔ نوشتن بر روی سکتور ۱، ساید صفر،سیلندر صفر از دیسکسخت اول(Partition Table آلوده) با استفاده از تابع ۳وقفهی ۱۳H را نمیدهد. ضمنا" هنگام خواندن سکتور فوق با استفاده ازتابع ۲ وقفهی ۱۳H ، چنانچه تاریخ سیستم روز پنجم به بعد از ماههای ۱۱و ۱۲ (نوامبر و دسامبر) سالهای ۱۹۹۸ به بعد باشد، بر روی سکتور مذکورنوشته شده و اطلاعات آن را کلا" تخریب کرده و سیستم را Reset میکند. بااز بین رفتن اطلاعات تقسیمبندی دیسک سخت، دیگر درایوهای منطقی قابلدسترسی نخواهند بود.
این ویروس در دقایق فرد، اجازهٔ باز شدنفایلهای باپسوند BMP,PCX,GIF و JPG با استفاده از تابع ۳D وقفهی ۲۱Hرا نمیدهد. همچنین هنگام اجرای فایلهایی با نام SCAN یا FINDVIRU بااستفاده از تابع ۴B وقفهی ۲۱H، پیغام زیر را نمایش داده و فایلهایمذکور را اجرا نمیکند:
This Program Is Too Big To Fit In Memory.

اینویروس هنگام اجرای فایلهای با پسوند com توسط تابع ۴B وقفهی ۲۱H، آنهارا آلوده میکند. درون فایلهای آلوده به این ویروس، پیغام زیر رامیتوان مشاهده کرد:
ـ A.Mortezania
این ویروس گونههای دیگری نیز دارد که توسط نرمافزار ایمن قابل شناسایی و پاکسازی میباشد.