Virus.MSOffice.Halfcros

Este é um macrovírus multi-plataforma. Ele infecta dois aplicativos do MS Office97: documentos do Word e planilhas do Excel. A parte principal do código do vírus é criptografada e colocada no corpo do vírus como comentários de letras aleatórias. Em caso de necessidade, o vírus obtém esses comentários, descriptografa-os, converte-os em instruções de macro e executa-os. Como resultado, as principais rotinas de replicação são invisíveis visualizando o código de macro no menu Ferramentas / Macro.

Na forma não criptografada, há apenas algumas macros de vírus presentes: hookers de eventos e rotina de descriptografia. O vírus intercepta três eventos: fechamento de planilhas do Excel e abertura e fechamento de documentos do Word (Workbook_Deactivate, Document_Open, Document_Close). Em todos esses casos, o vírus descriptografa e chama a rotina de infecção. O vírus também cria a planilha BOOK1 Excel infectada no diretório de inicialização automática do Excel.

O vírus desabilita a proteção contra vírus do MS Office, acessando diretamente o registro do sistema. A partir das 0:10 até às 0:25, o vírus exibe a caixa de mensagens:

Maravilha v2.0 pelas gueixas do ventoÉ hora do almoço 

Onde é o nome do usuário atual.