Макро-вирус, состоящий из одного макроса, который имеет различные имена в зараженных документах и области общих макросов NORMAL.DOT - "Document_Open" или "Document_Close". В результате вирус активизируется при открытии и закрытии документов. При открытии зараженного документа записывается в NORMAL.DOT, при закрытии документов - заражает их.
При заражении также выключает защиту от макро-вирусов (Virus Warning) и блокирует пункты меню Word: "Tools/Macro", "Tools/Customize...", "View/Toolbars", "View/Status Bar".
Вирус содержит строку-комментарий, которая также используется вирусом для детектирования уже зараженных документов Word:
Jack-In-The-Box
Вирус также распространяет свои копии по каналам IRC. Для этого он ищет установленного в системе клиента mIRC и создает в его каталоге новый системный скрипт - файл SCRIPT.INI. Вирус ищет mIRC-клиента только в каталоге C:\MIRC и, соответственно, неспособен поразить mIRC-клинета, если он установлен в любом другом каталоге. Затем вирус создает файл-документ STORY.DOC в каталоге C:\WINDOWS и записывает в него содержимое текущего (зараженного) документа. Этот документ затем рассылается в IRC-каналы.
mIRC-скрипт вируса содержит большое количество команд (около 4.5Kb инструкций), которые выполняют различные функции: рассылка вируса в IRC-каналы, рассылка spam-сообщений, скрытие вирусного скрипта и т.п.
Вирус рассылает зараженный файл-документ STORY.DOC в трех случаях.
1. При получении из IRC-канала любых файлов вирусный скрипт немедленно отправляет назад отправителю зараженный STORY.DOC.
2. Вирус использует список оповещения (notify list) клиента mIRC. Этот список содержит имена (прозвища - nick) пользователей, о подключении которых к каналу mIRC-клиент получает оповещение (этакий "списох приятелей"). В том случае, если пораженный вирусом mIRC-клиент получает оповещение о подключении к каналу кого-либо из списка оповещения, вирус стирает ссылку на это имя из списка оповещения (т.е.
повторного оповещения не будет), устанавливает режим игнорирования любых сообщений от данного пользователя, через 5 секунд посылает ему сообщение (см. ниже), которое через 15 секунд дополняется копией зараженного файла STORY.DOC. Текст сообщения выглядит следующим образом:
Hey, I can't talk right now but I wanted to send you this file. It has a funny story you should read, and also has macros inside that protect you from a lot of viruses. Just open the document, enable the macros, and if you are infected it will get rid of the virus
3. При получении приглашения на какой-либо канал (команда "Invite") вирусный скрипт через 10 секунд переходит на этот канал и затем посылает сообщение приглашавшему:
Thanks for the invite I'm a little busy so I can't talk much now. I thought you might want to look at this file I got. It has a funny story and also has macros in it which get rid of any macro viruses. Just enable the macros when the prompt comes up and it will scan for any viruses and clean them.
За этим сообщением следует файл STORY.DOC.
Вирусный скрипт также оповещяет автора вируса о зараженных компьютерах в сети. Для этого он при подключении к IRC-серверу добавляет имя "SimpleSmn" в список оповещения. При появления пользователя с таким именем вирусный скрипт посылает ему сообщение: "I'm on irc.".