Asunto:
VIRUS WARNING!!! From [nombre del usuario infectado]

Texto:
Somebody by the nickname of Lucky Warrior, is sending out a virus that could shut down your computer. DO NOT OPEN ANYTHING FROM HIM. I attached here the document that contains info & removing instruction about this very dangerous virus, just in case you encountered this. Please practice cautionary measures & forward this to all your on-line friends ASAP.

Durante la infección, el virus copia su código en C:\VENUS.SYS, y utiliza este archivo para su replicación.

Luego de la propagación vía e-mail, el virus agrega la siguiente clave al registro:

HKEY_CURRENT_USER\Software\Microsoft\Office\
Lucky Warrior = "Do you know where Venus is?"

Si esta clave existe, el virus no volverá a enviarse por correo.

Luego modifica el nombre de la etiqueta de la unidad C:\ por el de "Venus".

Las propiedades de los documentos infectados son modificadas, agregándose como Autor, "Venus", y como Comentario, "Where is Venus?".

Cuando se pretende visualizar la opción Ayuda o Acerca de... del menú principal, se despliega este mensaje:

W97M/Venus by Lucky Warrior

También desaparecen las opciones "Herramientas/Macros" y "Herramientas/Plantillas" del menú de Word.

El virus crea el archivo MSFILE.BAT en la carpeta de inicio de Windows, el cuál contiene los comandos para borrar la plantilla global NORMAL.DOT. Esto solo funciona si el archivo NORMAL.DOT está marcado como de solo lectura (+R) o de sistema (+S), y solo si el lenguaje del sistema operativo es el inglés.

Finalmente, Venus reemplaza la palabra "of", por "venus" en el documento activo (es poco probable esto suceda si el lenguaje usado no es inglés).

Variante: Venus.B@mm

La única diferencia de esta variante con respecto a la anterior es que cuando el virus infecta la plantilla NORMAL.DOT o a cualquier documento activo, modifica el título de la barra de Word por el de "Venus", y el nombre del usuario por el de "Lucky Warrior".

El virus contiene el siguiente comentario, el cuál nunca es mostrado.

Rem W97M/Venus
Rem ...by Lucky Warrior 
Rem Copyright (c) 1999 O.E.S., Philippines 
Rem I dedicate this virus to my beloved sister Venus...

Para eliminar este virus de un sistema infectado, ejecute un antivirus actualizado. Se sugiere F-MACROW, gratuito para uso personal, que usted puede bajar de nuestro sitio (bajo F-PROT). Se sugiere actualizarlo con el último archivo MACRODEF2.ZIP. 

Luego, busque y borre (si existen), los archivos C:\VENUS.SYS y MSFILE.BAT.

En Word 97, seleccione Herramientas, Opciones, pinche en la lengüeta General, y marque la última casilla: "Protección antivirus en macros" y "Confirmar conversiones al abrir". En Word 2000, vaya a Herramientas, Seguridad, y cambie el nivel a Medio o Alto.

En Guardar, Opciones, marque "Preguntar si guarda la plantilla normal" o similar.

Fuente: Computer Associates


Ver también:
28/mar/99 - Virus: Melissa. El comienzo
31/mar/99 - Cuando aún el "Melissa" está al acecho, aparece el "Papa"
25/may/99 - Variante del virus "Melissa" (archivos .RTF)
01/nov/99 - Melissa de nuevo
03/dic/99 - Virus: WM97/Melissa-AD
03/dic/99 - Virus: W97M.Melissa.AA (W97M.Duhalde, W97M/Melissa.O)
23/mar/00 - Virus: WM97/Melissa-AO
23/mar/00 - Virus: WM97/Melissa-AM
07/abr/00 - Virus: W97M/Melissa.au@mm (Elecciones 2000)
27/may/00 - Virus: Killer Resume (Melissa.BG)
17/dic/00 - W97M/Melissa.O3. Envía documentos de Word infectados
21/dic/00 - Virus: Prilissa. El 25 de diciembre formateará su disco
19/ene/01 - Melissa-X (Melissa.W). El retorno del Melissa