病毒名称：w97m_jim.c

别名：

病毒特点：

该病毒为word97宏病毒，它感染word通用模板的thisdocument和其他文档文件，病毒还通过mirc复制，并窃取用户的密码。在文档文件打开或关闭时，病毒对其进行感染，当访问菜单“工具|宏”或查看vb代码时，病毒还会删除其代码。

病毒首先查看文件“c:\_vac.txt”是否存在，如果文件存在，病毒中断传染程序并显示一个对话框：“iguessyouhavewhatittakes.”，如文件不存在，感染发生，病毒首先使宏保护功能失效，接着感染未被感染的通用模板文件。如果通用模板文件已被感染，而活动的文档未被感染，病毒就感染活动的文档，并在模块thisdocument的第55行插入另一个当前系统时间。

病毒查看c盘根目录下是否存在config.dll，如果不存在，病毒创建[用户名].dll和msdos.dll，并在c盘根目录下创建config.dll。病毒查看你的系统上是否装有mirc。如果存在，病毒编辑mirc.ini，做以下的改变：userid=mrjimandfserve=off，并删除script.ini。接下来，病毒创建一个新的script.ini，用以向你所在通道的用户发送被感染的当前系统文件。如果以下任何应用正在运行：addressbook,icqmsgapiwindow,socketswindow,sectionwindow和internetexplorer，病毒会上传文件[用户名].dll和你的密码文件到ftp.fortunecity.com。

这样，病毒的制造者就可以使用你的密码和系统说明来访问你的计算机。如果当前系统日期为2号，病毒执行有效载荷，将在活动文档中插入以下内容：“mrjim/septic/ti]-doyouhavewhatittakestobecomeaninternationalbussinessman!?”intheactivedocument.”