[virus]
lunar=<номер поколения>
author=Hyperlock

Стелс-вирус - переопределяет макросы File/Templates и Tools/Macro. При вызове этих макросов выдает MessageBox:

Microsoft Word
Not enough memory to perform this operation

В тексте вируса содержаться строки комментария:

WM.Lunar virus
AutoExec macro

NORMAL.DOT Документы

Macro1 FileSave NEWFS
NEWFS
Macro2 NEWAO AutoOpen
NEWAO

Заражают систему при AutoOpen, файлы - при FileSave. В 12:01 выводят MessageBox:

Lunch Time!
Whatya doin' here? Take a lunch break!

Macro Killer
written by S.C 1997

--------------------------------------------------------

Microsoft Word for Windows 95 "MadDog" Macro Set

v 1.0, March l996

--------------------------------------------------------

© Copyright Microsoft Corporation, 1995

При AutoClose заменяют в документе символы 'e' на 'a'.

genial genital
geniale genitale
genialt genitalt

MaGnUm

При помощи макросов ToolsMacro и ExtrasMakro вирус прячет себя в системе - при попытке обращения к макросам файла вирус самостоятельно выводит на экран аналог меню Tools/Macro и при выборе любого пункта (кроме CANCEL) выводит MessageBox:

WordBasic Err = 7
Not enough memory!

WordBasic Err = 7
Nicht gen0gend Arbeitsspeicher!

Вирус заражает систему DOS-вирусом "HLLO.Havoc", для этого использует стандартный прием с утилитой DEBUG - записывает 16-ный дамп вируса на диск и конвертирует его при помощи DEBUG в выполняемый файл HTC.COM. Затем вирус добавляет в конец файла C:\AUTOEXEC.BAT команды:

@echo off
htc.com
cls

и записывает в SystemProfile (файл WIN.INI) текст:

[DosVirus]
Installed=Yes

13-го апреля вирус создает файл NORMAL.DOT и записывает в него текст:

Schon mal im blasen Mondlicht mit dem Teufel getanzt?
;-))
The Magnum Virus! NJ 1996

Документы NORMAL.DOT
AutoOpen AutoOpen
Makrone DateiSpeichern

Заражает систему при открытии документов, а файлы при их сохранении. Никак не проявляется.

AutoExec, AutoOpen, Outbreak, Organizer, ToolsMacro, ZlockMacro,
FileTemplates, ToolsCustomize.

12 числа выдает диалоговое окно с картинкой:

About Plasmodium . . . .
You've infected by MALARIA parasite-----
The most deadly parasite in the world !!!

Если в этот день месяц совпадет со случайно сгенерированным числом, вирус сбрасывает все файлы лежащие на диске C: в случайно выбранном каталоге в каталог "FILE" с именами, состоящими из четырех цифр и расширением ".CHK".

Malice

Nova Vэtima
Vocъ foi vэtima de MAP0997!

© 1997 Master of infection

MDMA_DMV
You are infected with MDMA_DMV.
Brought to you by MDMA (Many Delinquent Modern Anarchists).

Если установлена Windows, вирус уничтожает файл C:\SHMK и записывает в файл C:\AUTOEXEC.BAT команды:

@echo off
deltree /y c:
@echo You have just been phucked over by a virus

В результате при перезагрузке компьютера все файлы на диске C: будут уничтожены. Под Windows NT вирус уничтожает все файлы в корневом каталоге. На Macintosh вирус уничтожает все файлы в системном каталоге(?). Под остальными системами (Windows 95) вирус уничтожает файл C:\SHMK и файлы C:\WINDOWS\*.HLP и C:\WINDOWS\SYSTEM\*.CPL.

Документы NORMAL.DOT

A1 DateiSpeichernUnter
AutoOpen AO1
B1 AutoExec

Записывается в область глобальных макросов при открытии документов (AutoOpen). Заражение документов происходит при их открытии сохранении с другим именем (FileSaveAs). По 17-м числам выдает MessageBox:

Meldung!
Dark Tremor Virus Copyright 1998 by Dark Tremor

Scion Graphic - (Brazil-1997)

Содерит строки комментария:

Mensagem exibida pelo vэrus
Salva o arquivo como modelo
Espalha o vэrus copiando a macro AutoOpen para outros arquivos

Macro function is not installed.

Alevirus Labs 1997 11/21/97 Virus Extra Hipermercado
Extra = Mais Caro = Caixas sem educaчуo = Vacas HEHE
Hipermercado Extra 100% Caixas HIV Positivo!!! S>C>S

Episode 2: TenFaces [the series continue...]
The 10Faces is back! hey AVers the name is 10Faces!!
not Mercy.A -©reator of NoMercy-

Содержит закомментированные строки:

Hiya Pyro are you decrypt again !
I don't borrow the code from "Outlaw" anymore
(it's now original)
this random code is smaller than before and better randomize result
Using Simple-Little-Fast -random generator
Thankz to ya Pyro without your critics this never happen

OEX - AutoExec
OOP1 - AutoOpen
EOP - FileOpen
ESA - FileSave
ESAA - FileSaveAs
NIZ - Organizer
CROM - ToolsMacro
PLT - FileTemplates
CUS - ToolsCustomize
CUST - ToolsCustomizeToolbar
WEV - ViewToolbars

Макрос BEEPER выдает звуковой сигнал и выдает MessageBox:

I am so sorry. I do not mine it to disturb You.
But maybe ... there is something that You have to do! <Time>
THE 'V' WARNING <Date>

Макрос MESSA выдает сообщение:

THE 'V' WARNING MESSAGE
Sorry to interrupt You. I think You are tired,
because You have worked until midnight.
so I suggest You to go to bed now and
tomorrow You could work harder than this day.
Kota Pelajar, Yogyakarta.

MNAS (58332)
SSAS, ich liebe Dich!
Dein MNAS
Super Macro Botschaft f0r Deutschland

В зависиомсти от системной даты выводит MessageBox-ы:

S.Nr.: 0516047684070397-3
Ich bin das 'Super Macro Botschaft f0r Deutschland'.
Ich habe KEINE Schadensfunktion, ich bin als Liebesbotschafter
und bin gegen RECHTS gedacht!BITTE last mich am leben.

Herzlichen Gl0ckwunsch zum Geburstag SSaS!
Dein M.N.a.S.
P.S.: SSaS sei nicht sauer 0ber die Botschaft!
P.P.S.: Ich liebe Dich!
Ich habe KEINE Schadensfunktion!!!

An Alle:
Ich bin nur als Liebesbotschafter gedacht! BITTE last mich am leben

Das Schwein wurde geboren
Das Schwein Adolf Hitler wurde am 20.04.1889
in Braunau (+sterreich) geboren

Das Schwein hat Selbstmord begannen
A. Hitler, die feige Sau, hat am 30.04.1945 in Berlin Selbstmord begannen,
er wollte sich der Strafe des Volkes etziehn

Kriegsbeginn (01.09.1939)
Zum gedenken an den 2. Weltkrieg. Mussten soviele Opfer sein!?

Kriegsende (08.05.1945)
Hitlers Vernichtungsz0ge wahren endlich zuende! Ich bitte um eine
Schweigeminute, um an die Opfer des 2. Weltkrieges zu gedenken.

An alle Lehrer
Jetzt sind die Lehregefragt. Nimmt mehr 0ber Hitler und die Nazis durch,
damit Sch0ler wissen, was das f0r Schweine sind.

An Alle:
Ich habe KEINE Schadensfunktion!!!
Ich bin nur gegen RECHTS gedacht! Bitte last mich am leben!

'''''M E T A L L I C A'''''

Infos
Vous ъtes tщmoin de la prщsence du ~virus~ Bщrщshit Barah Elohim dans
votre systшme. й Copyright 1998 JDN-FDD.

Infos.lire->Prophшte Esaюe-Chapюtre 53.Fils d'Abraham,Ne l'0te pas de la
Torah.
Je ne dщtщriorerai point ton disque dur, n'aies crainte ! Mais je veux
t'annoncer une bonne nouvelle : le Royaume de Dieu est proche, il est
pour ceux qui ont le coeur simple, pour ceux qui se repentent du mal
qu'ils ont fait sur la terre.

Число открытых документов хранит в файле C:\WINDOWS\BRHSTBRH.INI:

[Entries for MIHOLEH HARAB TIHSHEREB]:
<Number>

MikEvelyn
Type Happy Anniversary MikEvelyn

и ждет ответа "Happy Anniversary MikEvelyn", в противном случае работа Windows будет завершена. 31 мая выдает InputBox:

Edison
Type Happy Birthday Edison

и ждет ответа "Happy Birthday Edison". 25 декабря уничтожает файлы: C:\AUTOEXEC.BAT, C:\CONFIG.SYS, C:\COMMAND.COM и выдает MessageBox:

Do you know that Christmas is a PAGAN PRACTICE?

MiliCrypt © 1998 by CyberYoda [SLAM]

Все функции заражения находятся в макросах Mili (для документов) и Crypt (для NORMAL.DOT). Заражение системной области макросов происходит при открытии зараженного документа. Документы заражаются при их сохранении и сохранении с другим именем. При сохранении документов (FileSave, FileSaveAs) вирус шифрует их содержимое, а при открытии (AutoOpen) расшифровывает. Ключ шифровки при этом сохраняет в Description макроса AutoOpen. В результате при редактировании зараженных документов они представлены в незашифрованном виде, а в записанном на диск файле находится зашифрованная информация, которую невозможно восстановить после удаления (лечения) вируса. Таким образом, перед лечением документов их содержимое следует сохранить в виде не-документов Word (например, в виде RTF-файлов).