W97M/Salim.A

病毒名称：W97M/Salim.A

其它名称：

病毒属性：文件型病毒 危害性：低危害 流行程度：低

具体介绍：

W97M/Salim.A 是一个宏病毒和通过在线聊天系统传播的蠕虫.除了在ThisDocument模块中写入病毒代码外，它也在传播过程中截取文档内容。

病毒介绍 Salim.A蠕虫依靠文档事件处理程序来运行，当一个已感染的文档被打开时，宏病毒被激活，当染毒文档被关闭时，病毒的Document_Close宏将运行。

与其它宏病毒不同，它并不使'宏病毒保护选项'失效，因此宏报警仍将显示。它在通用模板中执行一个'am I here'的检查，比较它的ThisDocument中第一行代码是否匹配'PIJAVICA.

如果不匹配，所有在通用模板的ThisDocument对象中的原代码将被删除，病毒的原代码将从目前文档插入目标对象。

然后，Salim病毒将尝试感染当前被Word打开的所有文档。然而，这种尝试将由于一个错误而失败。

Salim病毒将在C盘根目录生成文件Salim_se.doc和Win32Drv.doc，这两个文件是带有宏病毒代码的激活文档的两个复制文件。这两个文件含有激活文档的内容，能将敏感信息暴露给不被期望的浏览者。Salim_se.doc的一个副本也会在每个映射驱动器生成。

如果在一个已感染的系统中存在目录"C:MIRC"，Script.ini文件将被创造或被覆盖，以使C:Salim_se.doc能通过在线聊天系统送出。

最后，Salim.A病毒将检查日期，如果是任意月的5号，它将在C盘根目录生产一个文本文件和一个批处理文件，并显示如下文本：

°°°°° °°°°° "

" °°°°°°°°° °°°°°°° "

" °°°°°°°°°°°°°°°°°°°°°°°"

" °°°°°°°±±±±±±±±±°°±±±±±±±±"

" °°°°°±±UUUUUUUU°°±UUUUUUUU greetz to:"

"°°°°°±UU° °°°°±UU°°UU AAAAAAAAAA "

"°°°°°±UU°° °°°°±UU°°°°U K04x"

" °°°±UU°°°° °°°±UU°°°°°°U e-mAn"

" °°°±UUUUUUUUU °°°±UU°UUUUUU rudeBoy"

" °°±UUUUUUU °°°±UU°UUUUUU abasi-"

" °°±UU°° °°±UU°°°° U vr4g"

" °±UU°°°° °±UU°°°°°°U SnakeLord"

" °±UUEBVL-2K ±UU°°°°°UU Morphex"

"°±UUUUUUUU UUUUUUUU Wex-Alpha"

W97M/Salim.A病毒的传播方式：

通过映射驱动器和在线聊天系统传播