病毒名称:W97M/Marker.d
别名:
病毒特点:
该病毒感染Word 97文档。它关闭Word的宏预警功能,它由一个叫做ThisDocument的模块组成。改病毒需在Word 97的原始版本下才能完全复制。它感染MS Word的通用模板文档NORMAL.DOT。
病毒代码包含以下字符串(始终不在屏幕上显示):
“<- this is another marker!” 在感染文档的过程中,病毒保留被感染者的日志文件。并创建文件C:HSFXnnnn.SYS,其中nnnn为随机值。(与W97M/Marker.C不同,该文件包含一个特殊的函数Randomize(),它添加到C:HSFX尾部nnnn使一个真实的随机值),日志文件的记录包含日期、时间、注册用户名和地址。
另外,被感染者的日志被添加到宏病毒中作为源代码。 该病毒也创建C:NETLDX.VXD,该文件实际上为基于文本的批处理文件。 在每个月的第一天,病毒尝试上传被感染者的日志文件到指定的IP地址。成功的上传需要以下条件:Internet连接、名为的“FTP.EXE”的ftp客户程序。
