"Beeper.a": AutoExec, AutoClose, AutoOpen, AutoNew , TheTime , Kill
"Beeper.b": AutoOpen, TFGAMV, AutoExec, AutoNew, AutoClose, Joke
и в Global копии макросов TFGAMV и Joke со случайно
сгенерированными именами.

Заражают систему при открытии зараженного файла, записываются в файлы-документы при их открытии или создании (AutoOpen, AutoNew).

Beeper.a
Увеличивает на полный экран окно Word и вставляет в текущий документ текст:

You are infected with
The Time
A virus from Cool Zero

Макросы Kill и TheTime не вызываются вирусом, т.е. могут быть активизированы только пользователем через меню Files/Templates или Tools/Macro. При запуске макрос TheTime проверяет системное время и в 15:59 пищит и выдает по очереди MessageBox-ы

Hi I'm the Time virus
I don't like Your COMMAND.COM and AUTOEXEC.BAT
Play with me !! :-)
You have 1 Minute time to find me
Find me, I do nothing
Find me not
SAY BYE TO YOUR COMMAND.COM AND AUTOEXEC.BAT

Макрос Kill в 16:00 удаляет файлы C:\COMMAND.COM и C:\AUTOEXEC.BAT.

Beeper.b
При открытии документа выводит его на принтер. В 17 часов пытается (безуспешно) создать вирусный файл SMILEY.COM и запустить его. Файл SMULEY.COM содержит Intended-вирус, т.е. вирус который неспособен размножаться.

Документы NORMAL.DOT

AutoOpen YYYAO
XXXAO AutoOpen
XXXFSA FileSaveAs
XXXFS FileSave
PayLoad PayLoad

Заражает систему при открытии зараженного документа (AutoOpen), записывается в документы при их открытии и сохранении (AutoOpen, FileSave, FileSaveAs). При каждом заражении копирует файл WINWORD.HLP в TEMPLATES\n.WRD, где 'n' - номер заражения. В случае ошибки выводит MessageBox-ы:

DгleOitК upozornini
!!! Tohle zpЧsobil virus Bertik.1 !!!

!!! Made by virus Bertik.1 !!!

Bilbo Baggins was here!

Документы NORMAL.DOT

AOSample, AutoOpen AOSample
FSSample FSSample, FileSaveAs
FOSample FOSample, FileOpen
RVSample RemoveVaccine

Заражение системы происходит при открытии документа (AutoOpen). Инфицирование документов происходит при их открытии (FileOpen) и сохранении с другим именем (FileSaveAs). Вирус удаляет макросы принадлежащие вирусу Concept. При сохранении файла шаблонов с другим именем выдается диалог, в котором можно выбрать тип записываемого файла (DOT, DOC, TXT). В диалоге по нажатию кнопки "About" выдается диалог с текстом:

Read this information to settle your issue

It is possible to select one of the next Items:
1. "Document Templates(* .dot)"
2. "Word Documents(* .doc)"
3. "Text Files(* .txt)"
Selecting the first Item does not convert your Document to another format
and saves all Macroses there.

Consequently, this Document will keep your own Samles and also will
eradicate the Word infection in the future. That ability to remove such
infection will be spreaded to other computers. Template's documents alone
are capable to do it!

Selecting the next Items (2,3..) will convert your Template's Document to
the Simple Format as *.doc or *.txt
In this Case, it is necessary to remember, that any Samples and Macroses
kept by Template's Document will have been lost!

To remove this Word Vaccine it is necessary to run RemoveVaccine macros
from the ToolsMacro... menu!

RM of the WB, Bishkek, Fax:007(3312)620156, tel. 620157

C:\*.COM
C:\WINDOWS\*.INI

После чего выдает строку "Please wait... Reading directories!" и стирает файлы:

C:\AOL30\ORGANIZE\*.*
C:\AOL30\IDB\*.*
C:\WINDOWS\*.COM
C:\WINDOWS\*.HLP
C:\WINDOWS\*.CPL
C:\WINDOWS\*.BMP
C:\*.EXE".

Далее выдает MessageBoxes:

Your computer is now lost to the ages...
WM.BlackDeath
Written on 6/6/1997

You are infected with the BlackEnd Virus! [D.K.]

Затем вирус создает и запускает файл C:\DOSYS.BAT, содержащий команды:

echo off
doskey Fun=setver win.com 3.00
echo off
Fun

DEMONS STRIDE AT THE GATE OF BLASHYRKH

Документы NORMAL.DOT
vExit FileExit
vFSav FileSaveAs
vMacro ToolsMacro
AutoOpen Boogie

Записывается в область глобальных макросов при открытии зараженного документа (AutoOpen). Документы заражает при их сохранении с другим именем (FileSaveAs). Запрещает меню ToolsMacro (стелc). Содержит в себе закомментированный текст:

***********************************************
* Boogie v4.0beta © DNazi [SGWW] Kiev 1996. *
* Dedicated to Mike Naumenko. *
***********************************************

Datei Bearbeiten Ansicht Einf0gen Format Extras Tabelle Fenster
Mr. Boombastic and Sir WIXALOT are watching you ! !

Затем вирус выводит текст:

Mr. Boombastic and Sir WIXALOT : Don`t Panik,
all things are removeable !!! Thanks VIRUSEX !!!

затем создает новый темплейт и записывает туда текст:

Greetings from Mr. Boombastic and Sir WIXALOT !!!
Oskar L., wir kriegen dich !!!
Dies ist eine Initiative des Institutes zur Vermeidung und Verbreitung von
Peinlichkeiten, durch in der +ffentlichkeit stehende Personen, unter der
Schirmherrschaft von Rudi S. !

Вирус также содержит строку:

Mr. Boombastic and Sir WIXALOT !!!

echo y|format c:/u
echo y|format c:/u/v:Twnos1

Содержит строки:

Taiwan Super No.1 Macro Virus
Twno1-S
Today Is My Birthday

BREEDER BY -=>NEMESIS<=- 5/4/97
"DO NOT PROVOKE THE INTROVERT"

NORMAL.DOT Зараженный документ

DateiSpeichern AutoOpen
BuroNeu BuroNeu

Заражает систему при открытии зараженного документа (AutoOpen), в файлы записывается при их сохранении (DateiSpeichern). Начиная с 15.8.96 переименовывает файл IO.SYS в IIO.SYS, ищет и уничтожает файлы for the C:\*.DOC.

Selamat
Sekarang adalah tanggal 25, sudahkah anda mengambil gaji?
He..he..Selamat. Kalau bisa, lebih keras lagi kerjanya.
Bravo Bukit Asam !!!

При сохранении файла с другим именем (FileSaveAs) в зависимости от системной даты выводит MessageBox:

Non Critical Error
Internal error was occured in module UNIDRV.DLL
Your application may not be work normally.
Please contact Microsoft Product Support.

При вызове меню Tools/Macro (макрос ToolsMacro) выводит MessageBox:

Critical Error
Internal error was occured in module UNIDRV.DLL
Please contact Microsoft Product Support.

CAP - процедура заражения
AutoExec - вызов процедуры заражения
AutoOpen - - // -
FileOpen - - // -
FileSave - - // -
AutoClose - - // -
FileClose - - // -
FileSaveAs - - // -
ToolsMacro - запрет этого пункта меню ("стелс")
FileTemplates - - // -

Вирус не только запрещает вызов меню работы с макросами, но и удаляет ссылки на эти меню из основных меню Files и Tools. Помимо запрета меню ToolsMacro и FileTemplates вирус отключает выполнение авто-макросов при открытии документов. Это делает практически невозможным его вылечивание средствами Word, поскольку по причине запрета меню работы с макросами невозможно ни создать, ни запустить какой-либо лечащий макрос. Его также невозможно выполнить при загрузке Word, так как отключен запуск авто-макросов. Эмулирует FileSaveAs: при попытке сохранить зараженный файл под другим именем записывает на диск пустой документ. В описании макроса ToolsMacro хранит номер своего поколения. Содержит закомментированный текст:

C.A.P: Un virus social.. y ahora digital..
"j4cKy Qw3rTy" ([email protected]).
Venezuela, Maracay, Dic 1996.
P.D. Que haces gochito ? Nunca seras Simon Bolivar.. Bolsa !

C-4 By Karl
"You are about to have a very bad day."
"It looks like C4 in the mothers arm."
"We are both professional, This is personal."
"And when Alexander saw the bredth of his domain he wept for there
were no more worlds to conquer (benefits of a classical education)"
quotes from the masters!

ChAkA! Nightmare Joker [SLAM]

This Code was written in Chandigarh (India) on 01.05.1996

NORMAL.DOT зараженные документы

FileOpen TempFileOpen
FileSave TempFileSave
AutoExec TempAutoExec
TempAutoOpen AutoOpen

При вызовах FileOpen и FileSave (открытие и запись) вирус записывает свой код в файл. При AutoOpen вирус заражает систему. Если при этом возникает ошибка, вирус выводит сообщение:

Unexpected error! Error code -

При запуске MS Word (AutoExec) вирус в зависимости от системного случайного счетчика либо выводит в StatusLine строку "x/500", где "x" - случайное число, либо выводит "500/500" и завешивает компьютер. Вирус содержит закомментированный текст:

*********************************
* -x UlTiMaTe x- *
* CCCCC H H AAAAA OOOOO SSSSS *
* C H H A A O O S *
* C HHHHH AAAAA O O SSSSS *
* C H H A A O O S *
* CCCCC H H A A OOOOO SSSSS *
* -x v2.3 - 1st June, 1996 x- *
*********************************

Chill Word Macro Virus

C:\DOS\MASTERPC.TXT
C:\WINDOWS\MASTERPC.TXT
C:\WINDOWS\SYSTEM\MASTERPC.TXT

При этом выводит сообщения:

SEARCHING TEMPORARY FILE TYPE ...
PROBABLE TEMPORARY FILE FOUND
Delete this file
DELETING FILE...
Files Deleted. Keep your Hard Drive cleaned !