Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Win95.Darkmil

Jest to groźny, polimorficzny, rezydujący w pamięci wirus systemu Windows9x. Nie rozprzestrzenia się w żadnym innym systemie niż Windows 95 i Windows 98. Część odpowiadająca za instalację w pamięci jest modyfikacją cieszącego się niechlubną sławą wirusa Win95.CIH. Szkodnik modyfikuje IDT tak, by wskazywała na jego kod. W ten sposób zostaje uruchamiany w uprzywilejowanym trybie jądra (pierścień 0).

Gdy uruchomiony zostaje zainfekowany plik, wirus przejmuje kontrolę, deszyfruje swój kod, a następnie sprawdza czy w pamięci nie istnieje już jedna z jego kopii. Jeżeli nie, bekcyl instaluje się w pamięci jako sterownik VxD, przejmuje wywołania IFS API, a następnie zwraca kontrolę do systemu. W rezultacie przejęcia IFS, kod wirusa jest uruchamiany przy każdej operacji wejścia/wyjścia na pliku. Wirus filtruje funkcje OPEN/RENAME i FILEATTRIB. Gdy wywołana zostanie którakolwiek z tych funkcji w odniesieniu do pliku z rozszerzeniem .EXE lub .SCR, wirus infekuje ten plik. Wirus nie gardzi również plikami graficznymi z rozszerzeniami .BMP i .GIF. W ich przypadku uruchamia jeden z właściwych mu mechanizmów.

Mechanizm zarażania przez wirusa jest prosty ale skuteczny - Darkmil rozszerza ostatnią sekcję pliku i w tak powstały obszar wpisuje swój kod. Następnie zmienia punkt dostępu do pliku tak, by wskazywał na jego kod. W ten sposób wraz z uruchomieniem pliku, jako pierwszy wykonany zostanie kod wirusa.

Po zarażeniu 200 plików wirus wyświetla niebieskie okno wiadomości z następującym tekstem:

DarkMillennium Project
Copyright (C) 1999 by Clau/Ultimate Chaos
www.ultimatechaos.org
Greets to all VXers out there ! 

Wirus używa własnego generatora liczb. Losuje liczbę z przedziału od 1 do 10000. Jeżeli wylosowana liczba jest mniejsza od 500, Darkmil próbuje zmienić datę RTC w pamięci CMOS na 1-1-1980.

Gdy otwierany jest plik graficzny z rozszerzeniem .BMP lub .GIF, a wirus obecny jest w pamięci, stara się on zmodyfikować obrazek, redukując liczbę kolorów RGB o 5 stopni. W rezultacie obrazek staje się ciemniejszy (stąd nazwa Darkmil; dark - ciemny). Jednak to działanie wirusa często kończy się generowaną przez Windows wiadomością o błędzie, gdyż szkodnik przepełniony jest drobnymi błędami.

Wirus zawiera tekst, który w żaden sposób nie jest wykorzystywany:

DarkMillennium Project
Copyright (C) 1999 by Clau/Ultimate Chaos