Заражает базы данных MS Access и документы MS Word (Office97). Способен переносить зараженные файлы из Word в Access и обратно и является первым известным вирусом такого рода. Был обнаружен на одном из Web-узлов и переслан в Лабораторию в виде двух зараженных файлов: базы данных Access и документа Word. В каждом из этих двух файлов присутствовало по одной копии вируса, которая размножается в «родном» окружении (Word или Access): вирус из Word-документа заражает документы Word, вирус из базы Access ищет и заражает другие базы Access. Таким образом вирус состоит из двух частей, каждая из которых является полноценным вирусом в своем «родном» окружении. Общая черта обоих вирусов заключается в способности переносить вирусный код из одного приложения Office в другое: Word-вирус заражает базы Access, а Access-вирус создает зараженный файл в каталогах Word.
Также общим у обоих вирусов является их структура. Каждый вирус состоит из трех блоков: процедура заражения «родных» файлов (Infect), подпрограмма переноса вируса в другое приложение Office (Transfer) и блок шестнадцатеричных данных (BIN):
+--------------+ |Infect | | | |--------------| |Transfer | | | |--------------| |BIN | | | +--------------+
Блок BIN в обоих вирусах содержит в себе данные, которые используются для заражения «чужого» приложения Office, т.е. в Word-вирусе блок BIN содержит упакованный Access-вирус и наоборот — блок BIN в Access-вирусе содержит упакованный Word-вирус.
Шестнадцатеричные данные в блоке BIN содержатся в «стандартном» для макро-вирусов формате, позволяющем записать их на диск и отконвертировать в файл при помощи DOS-утилиты DEBUG (см. «Macro.Word.Nuclear»). Следует отметить, что данные в блоке BIN упакованы в формате MS Cabinet, и вирусу дополнительно требуется распаковать эти данные при помощи стандартной утилиты MS Extract.
Распаковка блоков BIN в обоих Word- и Access-вирусах дает два зараженных файла: базу данных Access (которой Word-вирус заражает Access) и документ Word (которым Access-вирус заражает Word).