Macro.Word97.Class

Wirus ten zawiera dwa makra w jednym module "ThisDocument". Wirus infekuje globalny obszar makr podczas otwierania zainfekowanych dokument贸w. Ma to miejsce podczas eksportowania kodu wirusa do pliku NORMAL.DOT. Dokumenty s膮 infekowane w ten sam spos贸b.

Polimorficzny mechanizm mutacji wirusa, zapisuje w jego kodzie komentarze informuj膮ce o u偶ytkowniku, dacie systemowej i aktywnych drukarkach.

Wirus u偶ywa bardzo efektywnych metod ukrywania swojego kodu. Przy u偶yciu specjalnych operator贸w WordBasic, wirus instaluje swoje modu艂y nie w standardowym obszarze makro-program贸w, lecz w obszarze klas Worda - obszar standardowych mechanizm贸w zawieszaj膮cych wykonywanie niekt贸rych zdarze艅 Worda, tzw. J膮dro Worda. Wirus dodaje sw贸j kod do dokument贸w i szablon贸w nie tak jak aplikacje u偶ytkownika (makro-programy), lecz jako typowe komponenty Worda . W rezultacie wirus nie jest widziany w Tools/Macro i File/Templates.

Wirus dezaktywuje autoochron臋 Worda. 31 dnia ka偶dego miesi膮ca wirus wy艣wietla wiadomo艣膰 (w oknie informacyjnym):

This Is Class
o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o
o       VicodinES         /CB       /TNN     o
o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o 

Class.d

14 dnia miesi膮ca od czerwca do grudnia wirus wy艣wietla tekst:

Class.Poppy
I think  is a big stupid jerk!

Dodatkowo szkodnik modyfikuje klucz rejestru:

HKLMSoftwareMicrosoftWindowsCurrentVersionRegisteredOwner = "VicodinES /CB /TNN"
RegisteredOrganization = "-(Dr. Diet Mountain Dew)-"

Class.bs

Wirus modyfikuje wpis w rejestrze systemowym odpowiedzalny za nazw臋 u偶ytkownika Windows (zmienia go na "Clazz").

W pewnych okoliczno艣ciach wirus ustawia has艂o "Clazz" na bie偶膮cym dokumencie lub usuwa wszystkie pliki zapisane w folderze bie偶膮cym.