home *** CD-ROM | disk | FTP | other *** search
/ HPAVC / HPAVC CD-ROM.iso / MVUPDAT3.ZIP / MACRO_AV.ZIP / MACRO009.TXT < prev    next >
Text File  |  1996-09-02  |  25KB  |  629 lines

  1.    1st August 1996
  2.  
  3.    Macro viruses are the latest development in the battle against
  4.    computer viruses. First encountered in the autumn of 1995 they
  5.    have quickly caught the imagination of the press and
  6.    virus-author alike. Their introduction into the virus world has
  7.    caused a stir because they have broken some of the established
  8.    "rules":
  9.  
  10.       * They are the first ever viruses to infect documents rather
  11.         than executable files. The first macro viruses seen
  12.         infected Microsoft Word documents. In January 1996 the
  13.         first AmiPro macro virus (Green Stripe) appeard. It should
  14.         be remembered that other word processors(and even other
  15.         applications) could be at risk in the future.
  16.  
  17.       * They are the first ever multi-platform viruses - not just
  18.         capable of infecting PC systems, but Macintosh as well.
  19.  
  20.    -----------------------------------------------------------------
  21.        Atom | Concept | Concept.B.Fr | Divina | DMV | FormatC |
  22.       Friendly | Green Stripe | Hot | Imposter | NOP | Nuclear |
  23.        Nuclear.B | Polite | Wazzu | Wiederoffnen | WM.AntiDMV |
  24.      WM.Colors | WM.Nop | WM.Phantom | WM.Telefonica | Xenixos |
  25.    -----------------------------------------------------------------
  26.  
  27.    ATOM
  28.  
  29.    Alias: Wordmacro.Atom
  30.    Type: Word Macro Virus
  31.  
  32.    ATOM consists of 4 macros - AutoOpen, FileOpen, FIleSaveAs, and
  33.    ATOM - all of which are execute-only.
  34.  
  35.    When an infected document is opened, ATOM infects the global
  36.    template. If the auto macros are disabled, the virus is rendered
  37.    ineffective. ATOM does not turn off the prompting when saving
  38.    the global template, so if prompting is turned on you will be
  39.    prompted to save changes to the global template at the end of
  40.    the session.
  41.  
  42.    After the global template is infected, ATOM calls its first
  43.    destructive payload. If the current date is December 13, the
  44.    virus deletes all files in the current directory.
  45.  
  46.    Once the virus is active (i.e., it has infected the global
  47.    template), it infects all documents which are saved via the
  48.    FileSaveAs command or which are opened via the FileOpen command.
  49.    If the seconds field of the current time is 13 at the time of
  50.    infection , the virus encrypts the document being saved with the
  51.    password "ATOM#1".
  52.  
  53.    WordMacro/ATOM is not known to be in the wild.
  54.  
  55.    -----------------------------------------------------------------
  56.  
  57.    Concept
  58.  
  59.    Aliases: WinWord.Concept, WW6Macro, WW6Infector, WBMV (Word
  60.    Basic Macro Virus), Prank Macro
  61.    Type: Word macro virus
  62.  
  63.    Description:
  64.    This is the first virus to infect data files. Concept infects
  65.    Microsoft Word 6 documents (*.DOC) and the NORMAL.DOT template.
  66.    The virus makes use of the well-developed Microsoft Word macro
  67.    language, Word Basic, in an attempt to exploit the fact that
  68.    computer users exchange documents far more often than programs.
  69.  
  70.    When an infected document is opened under Microsoft Word for the
  71.    first time, the virus gets control as an AutoOpen macro and
  72.    infects the NORMAL.DOT template (or any other template, if it
  73.    has been selected as a global default template). A message box,
  74.    with the text '1', appears on the screen.
  75.  
  76.    After this, every document saved using the File|SaveAs command
  77.    is infected with the virus. This normally happens when a
  78.    newly-created document is saved to the disk.
  79.  
  80.    If Microsoft Word is run, then Tools|Macros is selected and the
  81.    list of macros checked, the presence of the macros named AAAZFS,
  82.    AAAZAO, AutoOpen, PayLoad and FileSaveAs indicates that the
  83.    Microsoft Word system is infected.
  84.  
  85.    This virus works under Microsoft Word for Windows 3.x, Word for
  86.    Windows 95, Word for Windows NT, and Word for Macintosh. This
  87.    made it the first ever multi-platform virus. Other macro viruses
  88.    have been written in the wake of Concept, including Nuclear,
  89.    DMV, and Colors.
  90.  
  91.    The Concept virus is very common in the wild. This is largely
  92.    due to Microsoft accidentally shipping it on a CD ROM called
  93.    Microsoft Windows 95 Software Compatability Test to hundreds of
  94.    OEM companies in August 1995. Another company distributed more
  95.    Concept-infected documents on 5500 copies of a CD ROM called
  96.    Snap-on Tools for Windows NT shortly afterwards.
  97.  
  98.    -----------------------------------------------------------------
  99.  
  100.    Nuclear
  101.  
  102.    Description
  103.    A Word .DOC file, containing a description of another Word Macro
  104.    virus (Concept) was uploaded to one of the publicly accessible
  105.    ftp directories at the USA internet provider netcom.com . The
  106.    file in turn, appeared to be infected with a new Word Macro
  107.    virus - Nuclear.
  108.  
  109.    Similar to Concept, Nuclear infects NORMAL.DOT when an infected
  110.    document is opened. Then it infects all the documents being
  111.    saved using File/SaveAs. Unlike Concept, all macros in Nuclear
  112.    are "execute-only" i.e. protected (encrypted) in such a way you
  113.    cannot view or modify their source code. (You still can see the
  114.    macros' names in Tools/Macro though). We, nevertheless,
  115.    succeeded in decrypting the macros and thus, analysing and
  116.    understanding the virus.
  117.  
  118.    An infected document or NORMAL.DOT contains nine macros named
  119.    AutoExec, AutoOpen, DropSuriv, FileExit, FilePrint,
  120.    FilePrintDefault, FileSaveAs, InsertPayload and PayLoad. The
  121.    main effect of the virus, besides replication, is that if a
  122.    document is being printed and the system clock seconds counter
  123.    is in between 55 and 59 seconds (i.e. with a probability of
  124.    approximately 1/12th), two lines are added to the document and
  125.    are subsequently printed at the end of the last page:
  126.  
  127.            And finally I would like to say:
  128.            STOP ALL FRENCH NUCLEAR TESTING IN THE PACIFIC!
  129.  
  130.    The virus was also supposed to drop a "normal" (i.e.
  131.    COM/EXE/NewEXE infecting) virus named PH33R (pronounced 'fear'),
  132.    but due to a whole set of bugs it fails to achieve this. By the
  133.    way, the virus it is supposed to drop has nothing to do with the
  134.    old Suriv virus family. The confusion is completely due to the
  135.    fact the macro to do this is called DropSuriv. 'suriv' is
  136.    nothing but 'virus' reversed and the only thing in common
  137.    between the Suriv viruses and DropSuriv macro is the name.
  138.  
  139.    Another payload conceived by Nuclear author should be triggered
  140.    on April 5 any year. The destructive macro named Payload was
  141.    supposed to damage (truncate to 0 bytes) system files IO.SYS,
  142.    MSDOS.SYS and COMMAND.COM. Fortunately, once again the virus
  143.    author never dared to debug this piece of code - the Payload
  144.    macro does not work either due to bugs in it.
  145.  
  146.    The virus also causes some side effects such as error messages
  147.    if you choose from File/Print or File/SaveAs.
  148.  
  149.    -----------------------------------------------------------------
  150.  
  151.    Hot
  152.  
  153.    Aliases: Wordmacro.Hot, WM.Hot
  154.    Type: Word macro virus
  155.  
  156.    Description:
  157.    WordMacro.Hot creates an entry in the WINWORD6.INI configuration
  158.    file which contains a "hot date" 14 days in the future when its
  159.    payload will trigger.
  160.  
  161.    The virus can then activate randomly within a few days of the
  162.    "hot date": when you try to open a document its contents are
  163.    erased instead.
  164.  
  165.    The payload is disabled if C:\DOS\EGA5.CPI is found to exist. A
  166.    comment in the virus source code suggests that this is a
  167.    "feature" designed to protect the virus author and his friends.
  168.  
  169.    -----------------------------------------------------------------
  170.  
  171.    DMV
  172.  
  173.    Type: Word macro virus
  174.  
  175.    Description:
  176.    DMV is the name of a Word macro virus that was written for
  177.    "demonstration" purposes by an American computer user. He
  178.    subsequently made his virus available for all to download via
  179.    the World Wide Web.
  180.  
  181.    The author of this virus also attempted to write an Excel macro
  182.    virus - but it fails to work because of a bug.
  183.  
  184.    -----------------------------------------------------------------
  185.  
  186.    NOP
  187.  
  188.    Type: Word Macro Virus
  189.  
  190.    Description:
  191.    NOP is a new WordMacro virus 'in the wild' in Germany.
  192.  
  193.    In order to spread, this virus requires the German version of
  194.    Microsoft Word for Windows 6.0 or above; under other language
  195.    versions of Word for Windows, the virus will infect NORMAL.DOT
  196.    but will not spread further.
  197.  
  198.    Documents infected with NOP contain the macro AutoOpen and NOP.
  199.    When an infected document is opened under Word for Windows, the
  200.    virus gets control via the AutoOpen macro and infects the
  201.    NORMAL.DOT global template. In an infected NORMAL.DOT, the
  202.    AutoOpen macro becomes NOP; and the NOP macro becomes
  203.    DateiSpeichern (German for FileSave).
  204.  
  205.    NOP has no payload.
  206.  
  207.    -----------------------------------------------------------------
  208.  
  209.    Divina
  210.  
  211.    Type: Word Macro Virus
  212.  
  213.    Description
  214.    Like DMV, Divina contains just an AutoClose macro. The macro is
  215.    an execute-only. When an infected document is loaded under MS
  216.    Word and then closed, the virus infects NORMAL.DOT. Any document
  217.    closed after that will be infected.
  218.  
  219.    The virus has two payloads:
  220.  
  221.    If a document is being closed during the 17th minute of any
  222.    hour, a set of dialogue boxes are displayed, with pauses and
  223.    beeps in between. The first says
  224.  
  225.            "ROBERTA TI AMO!"
  226.  
  227.    Then
  228.  
  229.            "Virus 'ROBERTA' is running. Hard Disk damaged. Start
  230.            antivirus?".
  231.  
  232.    Next comes
  233.  
  234.  
  235.            "Exit from system and low level format are recommended."
  236.  
  237.    and finally
  238.  
  239.            "Exit from System?".
  240.  
  241.    After that the virus exits Windows. So, while the virus has no
  242.    destructive payload as such, it might well succeed in persuading
  243.    an average user to reformat his/her hard disk.
  244.  
  245.    Another payload triggers on 21st May if a document is being
  246.    closed between 10th and 20th or between 40th and 50th minute of
  247.    any hour. Two dialogue boxes are displayed:
  248.  
  249.            "DIVINA IS THE BEST!"
  250.  
  251.    followed by a box titled "Virus 'DIVINA' in esecuzione" and
  252.    containing some message in Italian. After that the virus quits
  253.    Windows.
  254.  
  255.    Judging on the language, style, variables and subroutine names
  256.    it is certain that Divina was written by the same person who
  257.    wrote AntiDMV. AntiDMV is fairly widespread in Italy, Malta and
  258.    Spain but should have stopped replicating after June 1, 1996.
  259.    Thus, AntiDMV could infact be AntiDivina.
  260.  
  261.    -----------------------------------------------------------------
  262.  
  263.    Xenixos
  264.  
  265.    Aliases: Nemesis, Evil One
  266.    Type: Word Macro Virus
  267.  
  268.    Description
  269.    This virus was distributed in a file named "NEMESIS.ZIP" on an
  270.    Internet newsgroup back in February, 1996, and so has received
  271.    broad initial distribution.
  272.  
  273.    Its further spread has been somewhat limited by the fact that it
  274.    is written to exploit only the German-language version of
  275.    Microsoft Word. It will infect the Global Template file of an
  276.    English Word user, but not replicate further into new documents.
  277.  
  278.    It watches for attempts to print files while it is active, and
  279.    about half the times this happens it adds the phrase
  280.  
  281.     "Brought to you by the Nemesis Corporation, ⌐ 1996"
  282.  
  283.    onto the end of the document printing.
  284.  
  285.    When files are saved, the virus encrypts them with the file
  286.    password "xenixos" just over half the time. Xenixos replaces the
  287.    Tools|Macros command with code that will display an error
  288.    message instead of the activating WordÆs built-in macro
  289.    viewer/editor, so it is not so easy to see its macros are in
  290.    place.
  291.  
  292.    One other interesting effect is that Xenixos tries is to plant
  293.    and arrange to have activated a variant of the DOS multipartite
  294.    virus known as Neuroquila, when files are saved after March 1.
  295.    It succeeds in planting this DOS virus, but not in running it.
  296.    The Neuroquila variant planted has a bug, so it only infects
  297.    boot sectors and not also programs.
  298.  
  299.    AUTOEXEC.BAT is altered to call the Neuroquila virus.
  300.    -----------------------------------------------------------------
  301.  
  302.    Imposter
  303.  
  304.    Type: Word Macro Virus
  305.  
  306.    Description
  307.    At the beginning of March, 1996, a new virus very closely
  308.    related to Concept was discovered in England by S&SÆs Virus Lab
  309.    researchers.
  310.  
  311.    It contains code similar to that found in both the DMV virus,
  312.    and in Concept. In fact, one of its macros is always named DMV.
  313.    Like Concept, it contains a Payload macro, but this one says
  314.  
  315.     "just to prove another point".
  316.  
  317.    It was named Imposter dues to its attempt to appear as either
  318.    DMV or Concept and hopefully fool anti-virus products, an
  319.    attempt at which it is generally unsuccessful.
  320.  
  321.    -----------------------------------------------------------------
  322.  
  323.    Wazzu
  324.  
  325.    Type: Word Macro Virus
  326.    Aliases: WM.Wazzu, WinWord.Wazzu, WordMacro.Wazzu
  327.    Variants: Wazzu.a, Wazzu.b
  328.  
  329.    Description
  330.    Wazzu is a Microsoft Word macro virus. This virus only contains
  331.    one macro, AutoOpen. Since the name of the AutoOpen macro is the
  332.    same in all language versions of MS Word, this is the first
  333.    virus that will replicate equally effectively in all
  334.    International versions of Word.
  335.  
  336.    Wazzu has an interesting payload - when the infected document is
  337.    opened, the virus calls a routine three times. Each time there
  338.    is a 20% probability that the virus will move one word in the
  339.    document to a random place in the document. There is then a 25%
  340.    probability that the virus will also insert the word "wazzu" at
  341.    a random point in the document. The virus then returns to the
  342.    beginning of the document..
  343.  
  344.    -----------------------------------------------------------------
  345.  
  346.    Nuclear.B
  347.  
  348.    Type: Word Macro Virus
  349.  
  350.    Description
  351.    A variant of Nuclear, altered from the original virus apparently
  352.    by some curious and inept user messing around with it, was
  353.    discovered in a corporation in France in early March.
  354.  
  355.    Since the original Nuclear virus was encrypted, it is likely
  356.    that the user obtained the unencrypted source from where it was
  357.    posted into an Internet newsgroup created for the distribution
  358.    of viruses and the promotion of virus writing, and worked from
  359.    that to create this new variant.
  360.  
  361.    Nuclear.B does not try to plant the PH33R virus, but calls other
  362.    destructive routines from the original virus instead at that
  363.    point.
  364.  
  365.    This variant does not replicate in encrypted form, so it will be
  366.    much easier for others to learn from, and it is to be expected
  367.    that advanced macro virus programming techniques from this virus
  368.    will start showing up much more often in future viruses.
  369.  
  370.    -----------------------------------------------------------------
  371.  
  372.    Polite
  373.  
  374.    Type: Word Macro Virus
  375.  
  376.    Description
  377.    In late March, a new macro virus named Polite was discovered in
  378.    the USA. It installs only FileClose and FileSaveAs replacement
  379.    macros, and so avoids detection by systems watching Auto macros.
  380.  
  381.    It is rather odd in that it asks each time before it infects a
  382.    document. Unfortunately, it does not ask when it originally
  383.    infects the Global Template. It is not expected to survive and
  384.    spread well in the wild.
  385.  
  386.    -----------------------------------------------------------------
  387.  
  388.    WM.Colors
  389.  
  390.    Alias: Colors.B
  391.    Type: Word Macro Virus
  392.  
  393.    Description
  394.    In early April 1996, a prominent anti-virus researcher
  395.    investigated what appeared at first to be an outbreak of the
  396.    ordinary Colors macro virus (described above) in Portugal. When
  397.    a sample of the virus involved was examined, he discovered that
  398.    it contained the Colors virus, except that the macro replacing
  399.    AutoOpen was not from Colors, it was the one found in Concept!
  400.  
  401.    One likely explanation of what happened is that a machine
  402.    infected with Colors was then exposed to a document infected
  403.    with Concept. This replaced ColorsÆ AutoOpen macro with the one
  404.    from Concept, and when the other code in Colors caused Colors to
  405.    replicate it copied the Concept version of the AutoOpen macro to
  406.    the target instead of its own AutoOpen, without checking. In any
  407.    case, the virus still replicates, in its new form.
  408.  
  409.    Here we have a new virus that has very likely been formed from a
  410.    system being exposed to two earlier viruses, which could be said
  411.    to have "mated" and exchanged "genetic material".
  412.  
  413.    -----------------------------------------------------------------
  414.  
  415.    WM.Telefonica
  416.  
  417.    Alias: LBNYJ
  418.    Type: Word Macro Virus
  419.  
  420.    Description
  421.    Discovered in late April, 1996, this is another German-Word
  422.    specific virus. It tries to create and execute an encrypted .COM
  423.    file via debug 1 out of 60 infections.
  424.  
  425.    It replicates using MacroCopy to replicate its set of seven
  426.    macros, including FileNew, FileOpen, FileClose, AutoOpen and
  427.    Autoexec.
  428.  
  429.    This virus was first reported attached to a document which was
  430.    an order form in German for a set of erotic videos.
  431.  
  432.    -----------------------------------------------------------------
  433.  
  434.    WM.Phantom
  435.  
  436.    Alias: Guess Type: Word Macro Virus
  437.  
  438.    Description
  439.    In early May, another multi-language macro virus was discovered,
  440.    again in Germany.
  441.  
  442.    The only macro attached, AutoOpen, is language independent. It
  443.    is also encrypted. It can only replicate through this AutoOpen
  444.    macro.
  445.  
  446.    When decrypted, it appears to have been written by kids in a
  447.    high school. It displays some silly messages, including
  448.  
  449.     "Hi sexy !"
  450.  
  451.    and
  452.  
  453.    "Guess who ?".
  454.  
  455.    -----------------------------------------------------------------
  456.  
  457.    Friendly
  458.  
  459.    Type: Word Macro Virus
  460.  
  461.    Description
  462.    This virus, again German in origin, was discovered in mid May,
  463.    1996. It shows signs of having been written by the same person
  464.    as LBYNJ. It creates an .INI file entry
  465.  
  466.    [FRIENDS]
  467.  
  468.    in which it sets:
  469.  
  470.            Author=Nightmare Jocker
  471.  
  472.    It attempts to be bilingual by carrying along with it a complete
  473.    set of its macros in English, as well as a complete set in
  474.    German ! This brings the total macro count to 20 macros.
  475.  
  476.    Unfortunately for the author, who apparently did not have a copy
  477.    of Word in English to test with, his English set of macros are
  478.    improperly saved, and so the virus does not work under English
  479.    versions of Word after all.
  480.  
  481.    When it replicates under German Word, it plants a copy of a
  482.    variant of the old DOS virus "Little Brother".
  483.  
  484.    -----------------------------------------------------------------
  485.  
  486.    Concept.B.Fr
  487.  
  488.    Type: Word Macro Virus
  489.  
  490.    Description
  491.    Again in early March, someone translated the FileSaveAs macroÆs
  492.    name in Concept into the French equivalent, producing a
  493.    French-only version of Concept that infected a large site within
  494.    France. This is the only difference between it and the original
  495.    Concept.
  496.  
  497.    -----------------------------------------------------------------
  498.  
  499.    FormatC
  500.  
  501.    Type: Word macro trojan
  502.  
  503.    Description:
  504.    This is not a virus, but a trojan because it does not replicate.
  505.    It does, however, format your C: drive as soon as the document
  506.    is opened.
  507.  
  508.    This trojan was posted to a Usenet newsgroup.
  509.  
  510.    -----------------------------------------------------------------
  511.  
  512.    Wiederoffnen
  513.  
  514.    Type: Word macro trojan
  515.  
  516.    Description:
  517.    Wiederoffnen is not a virus, but a Word macro trojan. It comes
  518.    in a Microsoft Word 2 document but works perfectly under Word 6
  519.    too. Wiederoffnen intercepts the AutoClose macro and when the
  520.    document is closed plays tricks with AUTOEXEC.BAT.
  521.  
  522.    -----------------------------------------------------------------
  523.  
  524.    Green Stripe:
  525.  
  526.    Aliases: AMP.GreenStripe
  527.    Type: Ami Pro macro virus
  528.  
  529.    Description:
  530.    This virus infects Ami Pro document files (*.SAM) by creating
  531.    for every .SAM file a corresponding .SMM (Ami Pro macro) file
  532.    with the same name in the same directory and linking .SAM to
  533.    .SMM in such a way that opening .SAM invokes execution of the
  534.    .SMM. .SMM files are hidden and cannot be seen with a simple DIR
  535.    command - DIR /AH will work though.
  536.  
  537.    When an infected document is opened, the virus gets control and
  538.    infects all *.SAM files in the current directory which is always
  539.    Ami Pro's default DOCS directory (...\AMIPRO\DOCS). The process
  540.    is very noticeable since all the doc files are opened and then
  541.    closed one by one and a user can see them quickly
  542.    appearing/disappearing on the screen.
  543.  
  544.    Then the virus intercepts File/Save and File/Save As commands.
  545.    On File/Save As the virus infects the document being saved. And
  546.    this is the only way the virus can propagate to another
  547.    computer. Since both .SAM and .SMM files are necessary for the
  548.    virus and since .SAM file contains an absolute pathname as a
  549.    reference to the appropriate .SMM file, if one simply copies
  550.    either .SAM or both .SAM and .SMM files to a floppy and then
  551.    opens .SAM under Ami Pro on a different computer, the virus
  552.    won't run. But when a document (.SAM) is copied using File/Save
  553.    As both .SAM and .SMM are transferred and the pathname link is
  554.    changed accordingly.
  555.  
  556.    File/Save was supposed to be used for the virus' payload. On
  557.    File/Save the virus should replace all occurences of "its" in
  558.    the document with "it's". This did not appear to work in our
  559.    experiments however.
  560.  
  561.    Unlike with Word macro viruses, this Ami Pro virus is very
  562.    unlikely to be transmitted by E-mail. Again, this is due to the
  563.    fact that Ami Pro keeps macros in separate .SMM files, while
  564.    only .SAM file is sent as a cc:Mail attachment.
  565.  
  566.    The name of the virus - Green Stripe - is taken from the virus
  567.    itself. It's main macro procedure is called Green_Stripe_virus.
  568.  
  569.    Detection is made easier by a number of factors:
  570.  
  571.    Firstly, as mentioned above, when an infected document is opened
  572.    it is very noticeable - the screen keeps blinking as numerous
  573.    documents are loaded and then closed.
  574.  
  575.    Secondly, after loading a document, one can go to
  576.    Tools/Macros/Edit and see whether the document has an
  577.    appropriate macro file (same name, .SMM) assigned to it to be
  578.    executed on open.
  579.  
  580.    The report will contain the names of all infected (and now
  581.    deleted) .SMM files. Then one should run Ami Pro and for each
  582.    .SMM file listed in the report load .SAM file with the same name
  583.    (there will be an error message saying that the appropriate .SMM
  584.    file was not found), go to Tools/Macros/Edit and uncheck the
  585.    Assign box(es).
  586.  
  587.    -----------------------------------------------------------------
  588.  
  589.    WM.NOP
  590.  
  591.    WM.NOP is a new WordMacro virus æin the wildÆ in Germany.
  592.  
  593.    In order to spread, this virus requires the German version of
  594.    Microsoft Word for Windows 6.0 or above; under other language
  595.    versions of Word for Windows, the virus will infect NORMAL.DOT
  596.    but will not spread further.
  597.  
  598.    Documents infected with WM.NOP contain the macros AutoOpen and
  599.    NOP. When an infected document is opened under Word for Windows,
  600.    the virus gets control via the AutoOpen macro and infects the
  601.    NORMAL.DOT global template. In an infected NORMAL.DOT, the
  602.    AutoOpen macro becomes NOP; and the NOP macro becomes
  603.    DateiSpeichern [German for FileSave].
  604.  
  605.    WM.NOP has no payload.
  606.  
  607.    -----------------------------------------------------------------
  608.  
  609.    WM.AntiDMV
  610.  
  611.    WM.AntiDMV is a new WordMacro virus; it is reportedly in the
  612.    wild in Italy, Malta and Spain and probably in some other
  613.    Mediterranean countries.
  614.  
  615.    This virus was designed to spread until 1 June 1996; and should,
  616.    therefore, have stopped spreading at this time. However, it is
  617.    possible that many infected documents and templates may exist
  618.    æin the wildÆ.
  619.  
  620.    WM.AntiDMV contains only one macro, AutoOpen. If an infected
  621.    document is opened under Microsoft Word for Windows, the current
  622.    year is before 1997 and the current month is before the 6 June,
  623.    the virus infects NORMAL.DOT. The virus also removes the macro
  624.    AutoClose from documents and templates, if it exists.
  625.  
  626.    It is the time-limited feature, plus the removal of the
  627.    AutoClose macro, which prompted the name of the virus; it
  628.    effectively removes the WM.DMV virus.
  629.