W97M/Marker.d病毒
病毒名稱:W97M/Marker.d
別名:
病毒特點:
該病毒感染Word 97文檔。它關閉Word的宏預警功能,它由一個叫做ThisDocument的模組組成。改病毒需在Word 97的原始版本下才能完全複製。它感染MS Word的通用模板文檔NORMAL.DOT。
病毒代碼包含以下字元串(始終不在螢幕上顯示):
“<- this is another marker!” 在感染文檔的過程中,病毒保留被感染者的日誌檔案。並創建檔案C:\HSFXnnnn.SYS,其中nnnn為隨機值。(與W97M/Marker.C不同,該檔案包含一個特殊的函式Randomize(),它添加到C:\HSFX尾部nnnn使一個真實的隨機值),日誌檔案的記錄包含日期、時間、註冊用戶名和地址。
另外,被感染者的日誌被添加到宏病毒中作為原始碼。 該病毒也創建C:\NETLDX.VXD,該檔案實際上為基於文本的批處理檔案。 在每個月的第一天,病毒嘗試上傳被感染者的日誌檔案到指定的IP位址。成功的上傳需要以下條件:Internet連線、名為的“FTP.EXE”的ftp客戶程式。