W97M/Chaos by Lord Natas
2/12/98 (its about time I released it!)
"Without the threat of death there's no reason to live at all"
-Marilyn Manson

Attention:
Word97.NightShade by Pyro [VBB]

По 13-м субботам устанавливает у документов пароль "NightShade".

IMPORTAT NOTTICE!
HANSSI A. A.

PaixVirus97
La PAIX soit avec vous...
HAHA
В случайный день недели выводит MessageBox:
PaixVirus97
C'est le jour J pour moi...

Затем прокручивает в StatusBar строку:

Je veux avoir la paix!!!!!, merci

Отключает встроенную в Word защиту от макро-вирусов; при попытке просмотра макро-кода завершает работу Word (стелс); при заражении каждый раз случайным образом изменяет имена переменных и функций внутри своего кода (полиморфик).

В том случае, если номер текущего дня совпадает с показанием минут системного таймера, вирус проявряется видео-эффектом: выдает поверх текста текущего документа от 1 до 70 разноцветных геометрических фигур произвольной формы.

Код вируса содержит комментарии:

W97M/PSD ...porn star dreams? [©1998 ALT-F11 code hack]
VAMP v1.0 [thanks Vic!]

Peace
Copy me I want to travel

PersilMan will take his revenge
you will be cleaned up by PersilMan, SOON

bwahahRatSMagic by Reptile

REM Hail Satan!

Иначе вирус блокирует работу этих пунктов меню и выводит MessageBox:

Microsoft Visual Basic
Sub or Function not defined

В июне вирус стирает файлы и каталоги:

c:\windows\*.*
c:\windows\system\*.*
c:\My Documents

После чего добавляет в файл C:\AUTOEXEC.BAT строки:

@echo off
cls
echo Hail Satan!
echo Hail Satan!
echo Hail Satan!
echo Hail Satan!
echo Hail Satan!
echo Hail Satan!
echo Hail Satan!
echo Hail Satan!
echo Y>Yes
attrib -h -r -s
del *.* <Yes
end

Затем выдает MessageBox:

Satan666 Word97 Virus
Hail Satan!

UserName = "Silicon Child"
UserInitials = "SC"
UserAddress = "532 Silicon Valley Kln. Angle Of Sin Loves You Stephanie"

В мае выдает MessageBox:

Message from Global Network TCP/IP Instuction
I LOVE YOU STEPHANIEY

28 августа стирает файлы:

c:\command.com
C:\autoexec.bat
C:\windows\system.dat
C:\windows\system.da0
C:\windows\user.dat
C:\windows\user.da0

После чего удаляет все файлы из каталога "C:\Progra~1" и выдает MessageBox:

Silicon Child -- By Angle Of Sin - POTion Forever
A WAR WIll BEING. BROUGHT ON BY NOT A RULER BUT A CHILD PROTECTED BY THE
ANGLE OF SIN. THIS WILL BE A DIGITAL WAR. ENERMIES USING THE LATEST
DEVICES OF TECHNOLOGY, IT WILL BE A WAR ABOUT ME AND YOU, GOVERNMENT AND
PRISONERS AND COPS AND CRIMINALS, THE WILL BE CALLED THE SILiCoN ChIlD.
The New World Will Be Run By The SiLiCon ChiLd and By The InFoMaTiOn
LibErAtIoN FrOnT.

При вызове меню Tools/Macro выдает MessageBox:

Fatal Systematic Error
An Invalid Command Was executed, the last processed command will be
terminated

Содержит в себе закоментированные строки:

This is a dedication to Stephanie Collinz...the most beautiful girl in
the world.. May be I'm tripping right now but yea!. Thanks to ILF for
distributing Info....LONG LIVE ILF

SLAM97
SLAM97, written by DarkChasm [SLAM]

Warning!!
That option is not installed, please install the HELP files to continue

Устанавливает на документы пароль "SLOT". В случайный день начинает игру в которой игроку нужно угадать случайное трехзначное число, при этом выдает MessageBox-ы:

Macro Slot Game for Word97
Today is [current date] let's play a SLOTS game.
Try your luck! Your lucky numbers are..

Macro Slot Game for Word97
Bingo ! You win .

Macro Slot Game for Word97
Try to input the password or play again!

Macro Slot Game for Word97
Hey ! You can't do that. You must input the
right numbers or push the cancel button.

Macro Slot Game for Word97
OK !

Вирус содержит стелс-процедуру: при срабатывание макроса ViewVBCode выдается MessageBox:

Illegal function in module 0xCB15C00

Вирус cодержит 6 макросов в модуле "cb4111": AutoOpen, AutoExec, ViewVBCode, Do_The_Thing, AutoExit и функцию Morph, использующуюся в полиморфик-генераторе вируса. При копировании в NORMAL.DOT вирус также создает там макрос заражения AutoClose.

Содержит в себе строки комментария:

ThE wEiRd GeNiUs is back!
Greetings to the Codebreakers, VicodinEs & Lord Natas and to ALT-F11
Thanks for the cb4111 guide.
Until the next bug, greetings, WG

CommandButton3_Click, CommandButton4_Click,

CommandButton5_Click, CommandButton6_Click, ListBox2_Click, ScrollBar1_Change, UserForm_Click. При сохранении файла вирус выключает опцию VirusProtection, заражает системную область и документы (FIleSave). Подменяет системный диалог работы с макросами, меню Tools/Macro, при нажатии одной из кнопок кроме "Cancel", выдает MessageBox: Microsoft Word This program has performed an illegal operation and will shut down.

Во время заражения области глобальных макросов (NORMAL.DOT) вирус дописывает к своему коду дополнительную информацию о пользователе: дату и время заражения, имя владельца и его адрес. По 1 числам вирус записывает эту информацию в файл HSF<number>.SYS (где "number" - случайное число), затем этот файл отправляется с помощью FTP клиента под "user anonymous" в каталог incoming на ftp-сервер с адресом 209.201.88.110. Этот адрес, видимо, в дальнейшем используется автором вируса для получения информации о обширности распространения вируса.

Код вируса содержит строки-идентификаторы:

<- this is a marker!
Logfile -->

Размножение происходит путем экспорта/импорта кода вируса через файл FLITNIC.DRV, который создаются вирусом в системном каталоге Windows. Уже зараженные файлы вирус детектирует по наличию в их тексте строки "MYNAME=SUPERIISV1.0".

При попытке просмотреть код макросов при помощи ViewVbCode вирус вызывает свою стелс-процедуру. При этом копирует зараженный NORMAL.DOT в файл LO.SYS в системный каталог Windows, затем создает и запускеет командный файл DOS с именем LO.BAT. Этот файл в цикле ждет момента удаления временного файла Word (т.е. закрытия текущего документа) и после этого перезаписывает зараженный NORMAL.DOT из файла LO.SYS. Таким образом вирусу удается сохранить свою работоспособность даже при удалении его кода из области глобальных макросов.

Вирус содержит строки-комментарии:

First ever used this kind of Stealth
Written by Flitnic. I haven't yet included a payload!

Документы NORMAL.DOT

AutoOpen TempAutoOpen
TempAutoExec AutoExec
TempFileSave FileSave
TempFileOpen FileOpen

Вирус заражает системную область при открытии документов. Заражение файлов происходит при их открытии и сохранении. Никак не проявляется.

В зависимости от различных условий проявляется различными способами. Например, при открытии меню редактирования макросов вирус выдает MessageBox с кнопками Yes/No:

Titasic
Maaf..
Anda jangan coba-coba mengedit, merubah, ataupun menghapus makro Titasic..!!
Anda hanya bisa merekam makro, menyimpan, menggunakan
serta menghapus makro buatan Anda
Apakah Anda ingin merekam makro..?

При ответе "Yes" вирус вставляет в текущий документ строку:

'Macro non-Titasic'

Через 45 минут после инсталляции в систему вирус проявляется графическим видео-эффектом.

Применяет достаточно необычный стелс-прием: при открытии документа переносит свой код в его переменные и записывает вместо себя короткий макрос Document_Close, переносящий код вируса из переменных документа обратно в область макросов. Таким образом оказывается невозможным просмотреть код вируса при помощи команд Word - если документ открыт, то код вируса в нем отсутствует. При закрытии документа авто-макрос Document_Close восстанавливает код вируса в первоначальном виде.

Microsoft Visual Basic
Out of Memory