Vor dem zerstörerischen neuen Wurm WM97/Sundor-A warnen die Anti-Viren-Spezialisten von MicroWorld. Der Schädling ist ein Dateisystem-Wurm für Microsoft Word. Wird er gestartet öffnet er ein Bild eines Aliens und zeigt folgenden Text an:
"I'm the alien
Have a happy week
I liked your computer"
Die hauptsächlichen Aktivitäten des Wurms sind Löschen von Dateien, Verändern von System-Einstellungen und Deaktivierung oder Störung von Security-Programmen.
Sundor-A löscht EXE-Dateien aus den Ordnern 'C:\', 'C:\WINDOWS\', aus 'C:\WINDOWS\SYSTEM\', sowie aus 'C:\WINDOWS\SYSTEM32\' und 'C:\WINDOWS\COMMAND\'. Aus den Ordnern 'C:\WINDOWS\COMMAND\', 'C:\WINDOWS\' und 'C:\' löscht er zusätzlich die COM-Dateien.
Ist es laut System-Datum der 6., 16. oder der 26. eines Monats, löscht Sundor-A alle Dateien in den Ordnern 'C:\Program Files\', ' C:\My Documents\' und 'C:\My Shared Folder\'.
Wird das Wurm-Dokument wieder geschlossen, zeigt Sundor-A folgenden Text an:
"Your computer has problems!"
Sundor-A kopiert seinen Code in die Word-Datei 'normal.dot' und kopiert das infizierte Dokument in folgende Ordner:
C:\Poems\Romance.doc
C:\Windows\Tecno\News.doc
C:\Windows\Visual\Modern.doc
C:\Windows\Study\Books.doc
C:\Windows\Joke\Funny.doc
C:\Windows\Download\Program.doc
C:\Windows\Birthday\Dates.doc
C:\Windows\Texts\Exemple.doc
Außerdem 'versteckt' Sundor-A Desktop-Icons, verstellt die Systemzeit auf 10:00 Uhr, ändert den Computer-Namen, deaktiviert die Funktionen des Windows Security Centers, reduziert die Internet-Browser- und die Office 2000 Makro-Sicherheit indem er mehrere Registry-Einträge erstellt:
HKCU\Software\Microsoft\Office.0\Word\Security
Level
1
HKLM\SOFTWARE\Microsoft\Security Center
UpdatesDisableNotify
0xd001
HKLM\SOFTWARE\Microsoft\Security Center
AntiVirusOverride
0xd001
HKLM\SOFTWARE\Microsoft\Security Center
FirewallOverride
Oxd001
HKLM\SOFTWARE\Microsoft\Security Center
FirewallDisableNotify
Oxd001
HKLM\SOFTWARE\Microsoft\Security Center
AntiVirusDisableNotify
Oxd001
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update
NOptions
0x031
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
NoControlPanel
0x031
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones{long_text}
1201
0
HKLM\SYSTEM\CurrentControlSet\Control\ComputerName\ComputerName
ComputerName
XFL45-Evolution
HKLM\SOFTWARE\Microsoft\Roner
Dronus
Activated virus
Mit dem kostenlosen Anti-Virus Toolkit von MicroWorld steht unter ftp://ftp.microworldsystems.com/download/tools/mwav.exe jedermann ein kostenloses Remove-Tool für Sundor-A zur Verfügung.
Making Memory for Memory Makers 
