[windows]
countersu= 234

Вирус разрешает выполнение автоматических макросов (AutoOpen, AutoClose и т.д.) - принудительно ставит DisableAutoMacros в 0. При активном вирусе невозможно активизировать команду Tools/Macro. Для ручного удаления вируса из системы необходимо вызвать Organizer и с его помощью удалить ненужные макросы. Один из вариантов запуска Organizer - меню Tools/Customize, выбрать команды Word и "вытащить" Organizer на тулбар.

see if we're already installed
iWW6IInstance
AAAZFS
AAAZAO
That's enough to prove my point

и много других. В зараженной системе в файле WINWORD6.INI присутствует строка

WW6I= 1

При первом запуске вируса (т.е. при первом просмотре зараженного файла) появляется стандартный MessageBox с цифрой 1 внутри.

Macro.Word.Concept.e
Содержит макросы: Load, AAAZAO, AAAZFS, AutoOpen.

Macro.Word.Concept.f
Зашифрован, содержит семь макросов: K, a678, PARA, SITE, I8U9Y13, PayLoad, AutoOpen.

Macro.Word.Concept.ab
Содержит три макроса:

Документы NORMAL.DOT

MSConcept MSConcept
sAevaSeliF FileSaveAs
AutoOpen nepOotuA

Содержит строки:

Presenting The Microsoft Concept Virus.
Updated by Pyro [VBB] (Author of Word97.NightShade)

Macro.Word.Concept.s
Японский вирус, содержит макросы: AAAZAO, AAAZFS, AutoOpen, PayLoad.

A Virus from Nightmare Joker's Demolition Kit!

Crema Virus
Bl4cK Sc4v3ng3R - PERU

Tu tambien eres hincha!
Buena Crema!

SOY CREMA!!!! :-)
ESE ES LA U!!!!!
El mejor de los equipos!!

Вирус не выходит из DialogBox до тех пор, пока не будет введена одна из строк: "universitario", "lolo", "peru", "sc4v3ng3r".

http://user.tninet.se/~syq123w/CRACKZ.HTM
http://nt3.nettaxi.com/citizens/kevinlee/crackz.html
http://www.crackz.com
http://www.sentex.net/~wizard/crackz.html
http://www.c3.hu/~piiti/warez.html
http://home.yezz.de/~hladek/warez.html
http://www.sawasdee.com/patrick/crackz.htm
http://ortugg.simplenet.com/crackz.html
http://www.nehp.net/mabrwn/home__appz__gamez__crackz__links.htm
http://hem2.passagen.se/ravez/crackz.htm
http://www.cbes.net/~lperfect/warez/appz.html
http://scriptz.habanero.ml.org/warez/
http://home.yezz.de/~hladek/warez.html

или делает запрос на поисковый сервер www.altavista.digital.com с одним из параметров:

warez
crackz
pedophile
gamez
unix+near+brute+force
mastercard+breaking
serialz
cracking+and+root+mode
hacking

или уничтожает все файлы *.INI и *.DA? в каталоге C:\WINDOWS; или добавляет в конец файла C:\AUTOEXEC.BAT команду форматирования винчестера.

Документы NORMAL.DOT

AutoOpen AutoOpen

AutoClose

Crypt Crypt

ToolsMacro FileTemplates Заражает область глобальных макросов при открытии зараженного документа, а другие документы - при их открытии и закрытии. В зависимости от датчика случайных чисел при вызове меню Tools/Macro и File/Templates устанавливает на документы случайный пароль, состоящий их цифр, и выдает MessageBox:

ULTRAS
Crypt by ULTRAS [Rioters]

NORMAL.DOT Документы

MacroManager MacroManager
Word6Menu AutoOpen

При открытии зараженного файла вирус записывается в область системных макросов (NORMAL.DOT). Для того чтобы в дальнейшем получать управление, вирус переопределяет на свой макрос "MacroManager" меню File/Save и комбинации клавиш Ctrl-S и Ctrl-B. При запуске этого макроса вирус заражает текущий документ. Вирус удаляет пункты меню, работающие с макросами, и "прячет" такм образом себя в системе. При заражении документа добавляет комментарии в его область FileSummaryInfo:

Keywords = "Daniel_Stone"
Comments = "All information should be free."

Содержит закомментированные строки:

You've reached! Here is the virus. Enjoy.
This is the Word_Macro_Virus_Daniel_1F - Beta International Version.
Please Support the Virus Concept. Have a nice Day! (BR/US)

ATENCION: esta computadora ha sido infectada!. DarkSide1 sin una
computadora es como Billy The Kid sin un revolver! ! . . . Virus DarkSide1
creado en la ciudad de Lima en enero de 1997 -=] DarkSide1 Is a peruvian
virus writer [=-

Также содержит закомментированные строки:

DarkSide1 is in the wild!!! :-)
DarkSide1's E-Mail:
DarkSide1's live in Peru!!

Macro.Word.DarkSide.b
Зашифрован, содержит три макроса: AutoClose, DarkSide1B, HerramMacro. Создает файл DARKSIDE.NEW в текущем каталоге диска C: и записывает туда текст:

DarkSide1 is Back!!
The name of this macrovirus is DarkSide1.B
Caro's name Dark.A ?! Caro Sucks!!
And remember... DarkSide1 whitout a computer is like...
Billy the Kid without a gun!!
WM.DarkSide1.B] by DarkSide1 in Lima Peru 1997

Макрос HerramMacro содержит текст:

it's only a clean macro very easy !!
DarkSide1 is Cool Macro Virus Writer
I like the macrovirii scene...rocks!!

MAIN - вызывается при запуске AutoOpen
Infezione - заражение, вызыватеся из MAIN
Effetti - проявления, вызыватеся из MAIN

Перед запуском подпрограмм "Infezione" и "Effetti" вирус проверяет системную дату и, если дата больше, чем июнь 1997, немедленно прекращает работу. Подпрограмма "Effetti" уничтожает в файлах макрос AutoClose, если таковой присутствует (лечит макро-вирус "Divina"?).

Questo MacroVirus e' dedicato alla mia ex-ragazza
Federica, che anche se molti diranno il contrario..
io ho amato tanto...e ora mi manca... (Gianlu)

По 8-м и 20-м числам ежемесячно выводит MessageBox-ы и выгружает Windows:

Zio Luca
....MacroVirus Federica in esecuzione....

8-9 Agosto 1993
....Federica Mi Manchi....

WARNING:
Master Boot Sector Damaged

Документы: AutoOpen, Defend, Module1, Module2, Module3, Module4
NORMAL.DOT: FileSaveAs, ToolsMacro, FileOpen, Defender, Module1, Module2

Записывается в область глобальных макросов при открытии (AutoOpen). Документы заражает при их сохранении с другим именем (FileSaveAs). Запрашивает пароль на меню ToolsMacro (стелc), который совпадает с именем файла. Поэтому при открытии документов вирус тщательно проверяет их имена, чтобы не попадались символы, запрещенные в пароле. Противодействует нескольким макро-вирусам: при заражении системы и документов удаляет из NORMAL.DOT и документов макросы, принадлежащие макро-вирусу "Concept" и нескольким другим вирусам. Проверяет документы и выводит предупреждения:

Defender
ALERT! Autorunning macro (possibly virus)
detected in document. Press OK to disable

Defender
WARNING: Active macro virus found. Defender will now exit Word.
You must then restart Word and try to load the document again

Содержит закомментированный текст:

*****************************************************************
Macro : Defender
Created : August 29, 1995 (modified on October 1 1996)
Copyright © 1995 Microsoft Corp.
Description : On FileOpen, detect documents containing autorunning
macros and remove them
*****************************************************************

Microsoft WinWord DEMON
WINWORD HIDDEN DEMON
is happy to see his MASTER!!!
GREAT DAY !!!
This file is infected as # <номер поколения>

SLAM VIRUS TEAM
©1997 Kid Chaos Production

По 1 и 19 числам выдают MessageBox:

@}---`---,--- Diana Tribute @}---`---,---
press any key to continue...

1, 19, 30 и 31 числа выдаеют диалог:

@}---`---,--- Lady Di Tribute by Kid Chaos [SLAM] @}---`---,---

@}---`---,--- Goodbye England's rose; @}---`---,---
@}---`---,--- may you ever grow in our hearts. @}---`---,---
@}---`---,--- You were the grace that placed itself @}---`---,---
@}---`---,--- where lives were torn apart @}---`---,---
@}---`---,--- You called out to our country, @}---`---,---
@}---`---,--- and you whispered to those in pain. @}---`---,---
@}---`---,--- Now you belong to heaven, @}---`---,---
@}---`---,--- and the stars spell out your name. @}---`---,---
@}---`---,--- And it sems to me you lived your life @}---`---,---
@}---`---,--- like a candle in the wind; @}---`---,---
@}---`---,--- never fading with the sunset @}---`---,---
@}---`---,--- when the rain set in @}---`---,---
@}---`---,--- And your footsteps will always fall here, @}---`---,---
@}---`---,--- along England's greenest hills; @}---`---,---
@}---`---,--- your candle's burned out Long before @}---`---,---
@}---`---,--- your legend ever will @}---`---,---

In memory of Diana Spencer (1961-97)

Allen aktiven Dokumentvorlagen
Normal.dot (Globale Dokumentvorlage)
Word-Befehlen

DIVINA IS THE BEST!
zio Massimo

Oggi ш il compleanno di Divina: devi far festa!
Non continuare o verrр formattato il disco rigido...
Virus 'DIVINA' in esecuzione

ROBERTA TI AMO!
Massimo

Hard Disk damaged. Start antivirus ?
Virus 'ROBERTA' is running

Exit from system and low level format are recommended.
Virus stopped

Exit from System ?
Microsoft Windows

Document Macro Virus

Варианты текста могут быть следующие:

Counting global macros.
AutoClose macro virus is already installed in NORMAL.DOT.
AutoClose macro virus already present in this document.
Saved current document as template.
Infected current document with copy of AutoClose macro virus.
Macro virus has been spread.
Now execute some other code (good, bad, or indifferent).

DnZ, AutoClose, FileNew, FileExit, ToolsSpelling, EditCut, EditCopy,
FileTemplates, ToolsCustomize, ToolsMacro

"DnZ" является основным макросом вируса - при вызове этот макрос заражает текущий документ или область глобальных макросов. Остальные макросы являются автоматическими макросами и функциями Word'а, при их вызове они передают управление макросу "DnZ". Вирус создает новую Profile Section (файл WIN.INI):

[Demo]
Program=Installed

9-го марта вирус выводит MessageBox:

WM.DnZ
Written by Bill_HellGateS

*** tHe aRtFuL dOdGeR ***