Заражает документы Word и таблицы Excel от Office97. Назван по имени одной из своих внутренних меток: «teonanacatl». Является вторым известным вирусом после «Access/Word97.Cross», заражающим различные приложения MS Office.
Вирус состоит из одного модуля с именем StrangeDays и содержит восемь макросов:
AutoClose - авто-макрос Word, содержит процедуру заражения AutoOpen - авто-макрос Word, запрещает редактор VisualBasic (стелс) AutoExit - авто-макрос Word, вызывает AutoClose для заражения ToolsMacro - блокирует просмотр макросов (стелс) ToolsOptions - блокирует просмотр макросов (стелс) FileTemplates - блокирует просмотр макросов (стелс) ViewVBCode - блокирует просмотр макросов (стелс) Auto_Open - авто-функция Excel, перехватывает активизацию таблиц
Размножается не только в «родном» приложении (Word->Word, Excel->Excel), но и переносит свой код в другое приложение MS Office (Word->Excel и Excel->Word). В обоих случаях заражения (документы Word и таблицы Excel) имеет один и тот же Бейсик-код, совпадающий вплоть до байта — вирус написан столь аккуратно, что один и тот же код без ошибок выполняется как макросы Word, так и функции Excel.
Для заражения «родных» файлов (документов или таблиц) вирусом используются функции VisualBasic Import и Export: вирус записывает (экспортирует) свой Бейсик-текст в файл C:\LO.SYS и затем считывает (импортирует) его в текущий документ (в случае Word) или активную таблицу (в случае Excel). В случае Word для заражения документов вирус перехватывает авто-макросы AutoClose и AutoExit и записывается в документы при их закрытии и при выходе из Word. В случае Excel вирус при помощи авто-функции Auto_Open при открытии зараженной таблицы перехватывает процедуру активизации таблиц Excel.
Для заражения других приложений Office вирус использует авто-загрузку файлов из startup-каталогов Word и Excel: вирус для заражения Word из Excel вирус создает в каталоге Word новый файл NORMAL.DOT, для заражения Excel из Word — новый файл PERSONAL.XLS.