W97M.Ethan

Вирусы, поражающие документы в формате Word для Windows. При внедрении в систему записывают в область макросов шаблонов Word свою процедуру «Document_Close». Таким образом, документы будут заражаться только при их закрытии. Для маскировки своего присутствия в системе вирусе W97M.Ethan отключают встроенную в Word защиту от макровирусов, а также отключают выдачу предупреждения об изменении основного шаблона (как правило, это файл NORMAL.DOT). Для заражения документов вирус создает файл C:\ETHAN.___, в который записывает как свой собственный код, так и код процедур, присутствующих в данный момент в системе. При внедрении в документы вирус пользуется этим файлом для переноса в них своих макросов.

Вирусы семейства W97M.Ethan могут иногда изменать служебные поля документов: «Автор» («Author») на EW/LN/CB, «Заголовок» («Title») на Ethan Frome и «Ключевые слова» («Keywords») на Ethan. Одна из разновидностей вируса может при открытии документов до полудня выдавать различные сообщения, если системное время на компьютере установлено на 1999 год, текущая дата - 1 апреля, 3 мая, 1 июня, 2 июля, 2 августа, 1 сентября, 1 октября, 1 ноября или 1 декабря.