・このウイルスは、W97M/Opey.bgとして検出されます。単一のモジュール“Pukka”(部分的に暗号化されています)で構成されており、「ツール/マクロ」、「ツール/Visual Basic Editor」およびマクロ警告機能を無効にします。ハードコード化されたディレクトリに“C:\WINDOWS\COMMAND\nt.txt”として自身を保存したり、autoexcec.batファイルを改変し、C:\WINDOWS\COMMAND\t.batファイルとC:\windows\command\tmp.batファイルをドロップ(作成)することもあります。
・2002年11月1日以降に「ツール/オプション/ユーザー情報」を以下のように改変します。
名前 = PUKKA
頭文字 =^^^
住所 = PHILIPPINES
・「ファイル/プロパティ/ファイルの概要」も以下のように改変します。
作成者 = PUKKA
キーワード = HOPELOSJAVSI
・印刷とページの設定のオプション、および「ツール/オプション」も改変します。
・「ヘルプ/バージョン情報」では、次のメッセージを表示します。
・W97M/Opey.bgには、さまざまな発病ルーチンがあります。任意の日に以下のレジストリを改変します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion, "RegisteredOrganization" = "HOPELOSJAVSI"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion, "RegisteredOwner" = "PUKKA"
・10月21日には、以下のレジストリを改変します。
HKEY_USERS\.Default\Control Panel\International, "s1159" = "PUKKA"
HKEY_USERS\.Default\Control Panel\International, "s2359" = "PUKKA"
HKEY_USERS\.Default\Control Panel\International, "s1159" = "AM"
HKEY_USERS\.Default\Control Panel\International, "s2359" = "PM"
・W97M/Opey.bgは、発病する任意の日の曜日によっても異なる発病ルーチンを実行します。該当する曜日の以下の発病ルーチンの1つ以上を実行します。
月曜日:
- c:\windows\system\epson9.drvファイルを削除します。
- 以下のようにファイル名を変更します。
- c:\windows\system\netbeui.vxd → c:\windows\system\iuebten.vxd
- c:\windows\command\command.com → c:\windows\command\dnammoc.com
- c:\command.com → c:\dnammoc.com
- c:\windows\system\mouse.drv → c:\windows\system\esuom.drv
- 文書のパスワードを“013000”に設定します。
- ・次のレジストリを改変します。
- HKEY_USERS\.Default\Control Panel\International, "sDecimal"= "$
火曜日:
- 以下のようにファイル名を変更します。
- c:\windows\system\cm8330.drv → c:\windows\system\0338mc.drv
- c:\windows\system\cm8330.vxd → c:\windows\system\0338mc.vxd
- c:\windows\system\vmm32.vxd → c:\windows\system\23mmv.vxd
- ページ設定を変更します。
- 次のレジストリを改変します。
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
MS-DOSOptions\DOSSettings, "Config.Sys" = "DOS=SINGLE"
水曜日:
- 以下のようにファイル名を変更します。
- c:\windows\system\sis597m.drv → c:\windows\system\m795sis.drv
- c:\windows\system\sis597m.vxd → c:\windows\system\m795sis.vxd
- c:\windows\explorer.exe → c:\windows\rerolpxe.exe
- c:\windows\system\vmm32.vxd → c:\windows\system\23mmv.vxd
- 文書のパスワードを“013000”に設定します。
- ページ設定を変更します。
- 文書内の文字を大文字に変換します。
木曜日:
- 以下のようにファイル名を変更します。
- c:\windows\system\dplay.dll to c:\windows\system\yalpd.dll
- c:\windows\system\dplayx.dll to c:\windows\system\xyalpd.dll
- スクロールバーを削除します。
- 文書内の“the”を“^o^”に書き換えます。
- 文書のパスワードを“013000”に設定します。
金曜日:
- 以下のようにファイル名を変更します。
- c:\windows\system\sage.dll → c:\windows\system\egas.dll
- 印刷設定を変更します。
- 「書式設定」および「標準」ツールバーを無効にします。
土曜日:
- 以下のようにファイル名を変更します。
- c:\windows\system\comdlg32.dll → c:\windows\system\23gldmoc.dll
日曜日:
・任意の日に印刷設定を一部改変します。また、以下のようにファイル名を変更します。
- c:\windows\system\ndis.vxd → c:\windows\system\sidn.vxd
- c:\windows\system\nwlink.vxd → c:\windows\system\knilwn.vxd
- c:\windows\system\vredir.vxd → c:\windows\system\riderv.vxd
