Macro.Word97.betray

病毒别名：

处理时间：

威胁级别：★

中文名称：

病毒类型：宏病毒

影响系统：

病毒行为:

1. 运行时解码从第 11 行到最后一行，产生 Document_Close。

2. 关闭宏病毒防护。当前日期为 1 时，则创建 C:Autorun.inf 文件，无任何提示删除 C: 上所有文件。

3. 创建 C:Betray.ini 文件，内容为病毒代码。

4. 删除原模板和文档中的代码，换之以病毒代码。文档存盘。

// 这是一个明码与 Word97Macro.Antisocial 完全一样的病毒，但其解码后操作完全不一样。而密文内容又是随机的，不能

作为特征码。

// AVP 的做法是将两者等同起来，当作一个病毒来处理。

// NAV 能够检查出前者，不能检查出后者。

// PC-cillin 应用启发式搜索对明码进行分析，结果显而易见，未发现病毒(明码是一段无任何病毒行为的代码)。

// RingSing 可以查出这是两个不同的病毒，不知它采用了什么方法。

// 建议：KAV 先采用 AVP 的方法，将使用同一明码的病毒当作一个病毒来看待。以后可以针对这一类病毒的解码方法编写

特定的接口，将其解码，然后查毒。