W97M.Verlor
W97M.Verlor је макро-вирус који инфицира документе Мајкрософт вордa '97 и 2000.
Друга имена
уредиОвај вирус је такође познат као W97M.Overlord.
Дејство
уредиЗатварање зараженог документа покреће вирус који у главни Microsoft Windows директоријум (обично C:\windows\) снима два фајла: tempad.dll и tempnt.dll (рутине инфекције[1]). Ови фајлови се даље користе за инфицирање сваког следећег отвореног документа као и главних шаблона (обично бланко-фајлова) од којих се започињу нови документи. Вирус такође прави фајл C:\Himem.sys, у кога смешта листу заражених докумената.
Вирус такође за собом оставља или користи фајлове overlord.b.vbs и overlord.b.dll[2].
Невидљивост
уредиАко корисник покуша да приступи Вижуал Бејсик едитору (Tools -> Macros -> Visual Basic Editor) којим би вирус могао бити откривен, бива покренута вирусова стелт-функција. Иста мења назив корисника на „The Overlord“, а потом у Windows фајл win.ini додаје линију[2]:
run = <Директоријум Windows-а>\overlord.b.vbs
тако да изврши фајл overlord.b.vbs по следећем старту система. Потом вирус сам себе брише из главног шаблона и свих активних докумената, што онемогућава његово проналажење путем покренутог алата.
По свом покретању, overlord.b.vbs поново инфицира главни шаблон и све фајлове чија су имена записана у C:\Himem.sys.[3]
Уколико корисник покуша да приступи листи макроа (Tools -> Macros -> Macro) вирус се брише из главног шаблона и свих активних докумената пре отварања прозора. Ово онемогућава да се исти нађе у листи присутних макроа. По затварању дијалога, вирус опет заражава све активне документе и главни шаблон.