病毒名称：w97m/marker.d

别名：

病毒特点：

该病毒感染word97文档。它关闭word的宏预警功能，它由一个叫做thisdocument的模块组成。改病毒需在word97的原始版本下才能完全复制。它感染msword的通用模板文档normal.dot。

病毒代码包含以下字符串（始终不在屏幕上显示）：
“<-thisisanothermarker!”在感染文档的过程中，病毒保留被感染者的日志文件。并创建文件c:\hsfxnnnn.sys，其中nnnn为随机值。（与w97m/marker.c不同，该文件包含一个特殊的函数randomize()，它添加到c:\hsfx尾部nnnn使一个真实的随机值），日志文件的记录包含日期、时间、注册用户名和地址。

另外，被感染者的日志被添加到宏病毒中作为源代码。该病毒也创建c:\netldx.vxd，该文件实际上为基于文本的批处理文件。在每个月的第一天，病毒尝试上传被感染者的日志文件到指定的ip地址。成功的上传需要以下条件：internet连接、名为的“ftp.exe”的ftp客户程序。