TRISTATE: макро-вирус для приложений Microsoft Office 97 появился в «диком виде»

O97M_TRISTATE (aka Macro.Office97.Triplicate) — макро-вирус для офисных приложений Microsoft Word 97, Microsoft Excel 97 и Microsoft PowerPoint 97.
Соответственно, вирус заражает документы Word, электронные таблицы Excel и презентации PowerPoint, действуя при этом по одному и тому же принципу.

При активации из таблицы Excel вирус ищет файл BOOK1.XLS в Startup-директории Excel. Если не находит, то создает инфицированный Workbook в той же директории и отключает макро-вирусную защиту в Excel. Вирус содержится в макросе «ThisWorkbook» инфицированных таблиц и рабочих книг (Workbook).

При активации из документа Word вирус проверяет содержатся ли его коды в «ThisDocument» в глобальном шаблоне (NORMAL.DOT). Если не находит, то инфицирует глобальный шаблон и отключает макро-вирусную защиту в Word.

При активации из PowerPoint вирус начинает искать модуль под названием «Triplicate» в «BLANK PRESENTATION.POT» таблицы PowerPoint. И если не находит, то отключает макро-вирусную защиту в PowerPoint. Затем вирус добавляет свой модуль «Triplicate» в «BLANK PRESENTATION.POT» и в основной объект AutoShape, который входит в презентацию. Таким образом вирусный модуль оказывается связанным с объектом AutoShape.