| VIRUSNAME: | W97M/Class |
| VIRUSTYP: | Microsoft Word97 Makro-Virus |
| INFIZIERT: | Microsoft Word97-Dokumente |
| GRÖSSE: | Modul "ThisDocument", 2 Makros |
| SYMPTOME: | Datei "c:\class.sys" wird angelegt, Anzeige von Texten, Veränderung der Registry |
"Class" besteht aus 2 Makros, deren Quelltext der Virus direkt mit den Befehlen AddFromFile / Export in Dokumente überträgt und damit den Virenschutz im Service Pack 1 umgeht. Der Quelltext wird in die Datei "C:\class.sys" übertragen, die nach der Infektion nicht gelöscht wird und somit für den Anwender sichtbar ist. In lokalen Dokumenten heißen die beiden Makros "AutoOpen" und "ViewVBCode", in der infizierten globalen Vorlage werden diese Makros in "AutoClose" und "ToolsMacro" umbenannt. Das "ViewVBCode" bzw. "ToolsMacro"-Makro enthält keine Code und blockiert damit die Anzeige des Virus-Quelltexts bzw. der Virenmakros. Zudem befinden sich die beiden Virenmakros in dem Standardmodul "ThisDocument", was ebenfalls dafür sorgt das der Virus dem Anwender nicht so schnell auffällt. "Class" ermittelt über die Anzahl der vorhanden Quelltextzeilen, ob ein Dokument bereits infiziert ist oder nicht.
Der Virus ist polymorph, jede zweite (ansonsten leere) Codezeile wird bei neuen Infektionen durch eine Kommentarzeile ersetzt. "Class.A" fügt hier den Namen des Anwenders, des aktiven Druckers und die aktuelle Uhrzeit ein, andere Varianten fügen hier die verschiedensten Systeminformationen ein.
Die ursprüngliche Variante "Class.A" zeigt am 31. jeden Monats den folgenden Text an:
This Is Class
VicodinES /CB /TNN
Es existiert eine sehr große Anzahl von Varianten dieses Virus, ein Teil davon wurde mit dem Kit "Kit/CPCK" erstellt. Die Varianten unterscheiden sich meistens nur geringfügig von "Class.A", z.B. wurde der oben erwähnte Text verändert.