Macro.Word97.Hopper.Q

病毒别名：

处理时间：

威胁级别：★

中文名称：

病毒类型：宏病毒

影响系统：

病毒行为:

1. 本病毒代码的首三行和末三行均为 HTML 语言，第一个函数是可变的。

当以 VBA 形式存在时，HTML 语句被注释，第一个函数代码是函数的形式存在。函数入口为 Document_Close；

当以 VBS 形式存在时，HTML 语句被注释，第一个函数代码以全局代码的形式存在，同时也是函数入口。；

当以 HTML 形式存在时，HTML 语句可用，第一个函数代码以全局代码的形式存在，同时也是函数入口。；

2. 感染过程中会自动根据存在形式修改代码以适应不同的场合。

3. 感染过程中会调用两个对象：Word.Application 和 Scripting.FileSystemObject，前者用于向 Word 系统

攻击，后者用于搜索和修改文件。

4. 程序通过“C:WindowsWebAfile.htm”文件名作为搜索的起点，向根目录遍历。

5. 程序第 54 行 GetFolder 函数参数 cpath 使用前未定义，故会出现运行期错误。

6. Word 文档中虽然包含三个模块，但本代码只有在“ThisDocument”模块中才能良好地运行。