W97M/Salim.A

病毒名稱：W97M/Salim.A

具體介紹：

病毒介紹 Salim.A蠕蟲依靠文檔事件處理程式來運行，當一個已感染的文檔被打開時，宏病毒被激活，當染毒文檔被關閉時，病毒的Document_Close宏將運行。

與其它宏病毒不同，它並不使'宏病毒保護選項'失效，因此宏報警仍將顯示。它在通用模板中執行一個'am I here'的檢查，比較它的ThisDocument中第一行代碼是否匹配'PIJAVICA.

如果不匹配，所有在通用模板的ThisDocument對象中的原代碼將被刪除，病毒的原代碼將從目前文檔插入目標對象。

然後，Salim病毒將嘗試感染當前被Word打開的所有文檔。然而，這種嘗試將由於一個錯誤而失敗。

Salim病毒將在C糟根目錄生成檔案Salim_se.doc和Win32Drv.doc，這兩個檔案是帶有宏病毒代碼的激活文檔的兩個複製檔案。這兩個檔案含有激活文檔的內容，能將敏感信息暴露給不被期望的瀏覽者。Salim_se.doc的一個副本也會在每個映射驅動器生成。

如果在一個已感染的系統中存在目錄"C:\MIRC"，Script.ini檔案將被創造或被覆蓋，以使C:\Salim_se.doc能通過線上聊天系統送出。

最後，Salim.A病毒將檢查日期，如果是任意月的5號，它將在C糟根目錄生產一個文本檔案和一個批處理檔案，並顯示如下文本：

°　 °°°° °°°°°

" 　°°°°°°°°° °°°°°°° "

" 　°°°°°°°°°°°°°°°°°°°°°°°"

" 　°°°°°°°±±±±±±±±±°°±±±±±±±±"

" 　°°°°°±±UUUUUUUU°°±UUUUUUUU greetz to:"

"　 °°°°°±UU° °°°°±UU°°UU AAAAAAAAAA "

"　 °°°°°±UU°° °°°°±UU°°°°U K04x"

" 　°°°±UU°°°° °°°±UU°°°°°°U e-mAn"

" 　°°°±UUUUUUUUU °°°±UU°UUUUUU rudeBoy"

" 　°°±UUUUUUU °°°±UU°UUUUUU abasi-"

" 　°°±UU°° °°±UU°°°° U vr4g"

" 　°±UU°°°° °±UU°°°°°°U SnakeLord"

" 　°±UUEBVL-2K ±UU°°°°°UU Morphex"

"　 °±UUUUUUUU UUUUUUUU Wex-Alpha"

W97M/Salim.A病毒的傳播方式：

通過映射驅動器和線上聊天系統傳播