Фишка в том, что этот хитрый загрузчик располагается в экранной области ОЗУ, при этом для его запуска использует трюк с затиранием стека, тем самым подменяется адрес возврата из подпрограммы на стартовый адрес загрузчика. Можно считать это уязвимостью стандартного загрузчика как сейчас модно говорить путем переполнением стека )). Ну а дальше (когда доходит до команды RET) управление передается уже этому хитрому загрузчику который и грузит основную программу уже в своем формате с адреса 0100h.