CIH ist ein gefährlicher EXE-Infektor von Windows-Dateien (32-Bit) und der erste bekannte Virus, der Hardwareschäden verursachen kann. CIH schreibt seinen Code in Teilen in nicht-genutzte Bereiche der infizierten Datei.

Seine Schadensroutine ist erheblich: CIH überschreibt das Flash-BIOS, wenn es nicht schreibgeschützt ist. Nach einer erfolgreichen Ausführung der Schadensroutine, bei der auch Teile der Festplatte mit Speichermüll überschrieben werden, kann der PC nicht mehr hochfahren und das Flash-BIOS muss händisch ausgetauscht werden.

Bisher sind drei verschiedene Varianten bekannt (A, B, C).

Die Schadensroutine der Variante A beginnt am 26. des jeweiligen Monats, die Varianten B und C führen ihre Schadensroutine nur zweimal jährlich aus.

Wie es sich für einen "anständigen" DOS-Virus gehört, zieht der Emperor fast alle Register dessen, was für Viren unter DOS-Betriebssystemen möglich ist.

Polymorph, also die Möglichkeit sich vielgestaltig zu präsentieren, um seine Auffindung für Virenschutzprogramme zu erschweren, Stealth (sich tarnend), Antidebugging-Routinen (Schutzroutinen um sich selbst vor der Analyse durch dritte zu entziehen) und sogar eigene Algorithmen um Virenschutzprogramme zu unterlaufen. Hinzukommt, dass der Emperor in "Payload", als seinen Schadensfunktionen, Anleihen beim "großen" Bruder CIH genommen hat. Der Emperor ist nicht nur in der Lage die Festplatte zu löschen, sondern er kann überdies auch das Flash-BIOS manipulieren.

Der ca. 6.000 Byte große DOS-Infektor befällt ausschließlich DOS-COM- und -EXE-Dateien und überschreibt die Master Boot-Records der Festplatte und die Boot-Sektoren auf Floppy-Disketten.

Der Emperor wurde bis dato noch nicht ITW (in the wild), also tatsächlich in Umlauf gesehen. Sollte er dennoch auftreten, ist auch nicht annähernd mit Schäden, wie sie durch CIH entstanden sind, zu rechnen. Der Emperor ist ausschließlich auf DOS-Programme beschränkt und seine einzige Möglichkeit sich zu verbreiten besteht darin, dass infizierte DOS-COM- und -EXE-Dateien via Mail oder Internet ausgetauscht werden bzw., dass er den althergebrachten Weg von Diskette zu Diskette antritt.

Win95.SK ist ein plattformübergreifender, auf 32-Bit basierender Virus, der sowohl DOS, Win95, Win98 und Windows-Hilfedateien infiziert.

Der Virus zeichnet sich dabei nicht so sehr durch eine Reihe neuer "Features" aus, sondern dadurch, dass er sehr viele, aber bisher unabhängig von einander existierende Varianten verwendet, um sich zu replizieren und seine Schadensfunktionen voll zu entfalten. Damit ist Win95.SK ein überaus "multifunktioneller" Virus mit polymorphen (vielgestaltigen) Eigenschaften.

Win95.SK verseucht direkt PE-Header (Initialisierungsteil am Beginn eines Programmes) und auch die Windows-Hilfe-Dateien. In diesen Dateien legt er eine Kopie seines Codes ab, um bei neuerlichem Aufruf der jeweiligen Hilfe Datei sofort wieder zur Tat zu schreiten. Der Virus macht dabei auch vor komprimierten Dateien nicht halt, egal ob ZIP, RAR, ARJ oder HA. Win95.SK ist in der Lage sich an die Datei "anzuhängen" und sich so zu verbreiten. Die Dropper ( freigesetztes Programm), welche vom Virus in die Windows-Hilfe kopiert werden, haben den gleichen internen Aufbau wie ein normales DOS-COM-Programm. Werden diese Programme mit Aufruf einer infizierten Windows-Hilfe-Datei aktiviert, installieren Sie sich resistent und unbemerkt im Hintergrund.

Besonders gefährlich macht ihn aber seine Funktion, die Inhalte aller befallenen Platten zu löschen, wenn bestimmte Virenschutzprogramme gefunden werden.