Foi descoberto no dia 3/2/2000 um novo vírus que tem a capacidade de se replicar sem que o usuário da Internet precise rodar um script maligno de Visual Basic ou ler uma mensagem infectada de correio eletrônico. O VBS/Netlog.worm, ou Network.vbs, tem apenas 2.426 bits e apresenta baixo risco, segundo informa o laboratório Avert da Network Associates.

O primeiro passo da infecção é o vírus procurar pelo arquivo "c:\network.log". Se o encontrar, sobrescreve-o, enviando para tal arquivo o texto "log file Open". Em seguida, registra nesse arquivo a seguinte informação: 
                    "Subnet : [número aleatório entre 199 and 214].[número aleatório
                    entre 1 and 254].[número aleatório entre 1 and 254].0"
A partir daí, ele inicia a busca de endereços. Se os três números aleatórios assim obtidos forem 10, 11 e 12, começará procurando o endereço 10.11.12.1, então 10.11.12.2, depois 10.11.12.3 etc. até atingir 10.11.12.255. Nesse momento, volta a buscar novos números randômicos para reiniciar a busca. Depois de ter encontrado 50 sub-redes em uma passagem, se não tiver atingido o limite da primeira parte dos endereços Internet para números entre 199 e 214, busca outros endereços entre 1 e 254.

Na busca, ele usa o Windows NetBIOS para encontrar drives "C" remotos compartilhados com a rede local, e que são mapeados como drives "J:" Então, registra no arquivo de log:
                 "Copying files to : [nome na rede do drive remoto]"
Depois de um teste, ele se copia para o diretório-raiz do drive remoto e verifica se a cópia foi bem sucedida. Então, registra no arquivo de log:
                    "Successful copy to : [nome na rede do drive remoto]"
Em seguida, copia o arquivo network.vbs para esses diretórios:
                 "j:\windows\startm~1\programs\startup\"
                    "j:\windows\"
                    "j:\windows\start menu\programs\startup\"
                    "j:\win95\start menu\programs\startup\"
                    "j:\win95\startm~1\programs\startup\"
                    "j:\wind95\"
onde J: é o drive remoto C: que o vírus havia mapeado. Isto significa que o verme tomará o controle na próxima vez que a vítima iniciar seu computador, já que J: agora significa drive C:

Assim, os sintomas desse vírus são a existência dos arquivos Network.log e Network.vbs na forma descrita. O texto original do informe está no site da NAI.

Outro - Por sua vez, a Computer Associates (CA) descobriu um vírus semelhante a ese, que ataca as plataformas Windows 95, 98 e NT: o Win32/WinExt.Worm, que aparece como se fosse uma resposta a um e-mail enviado previamente, tendo anexado o arquivo TryIt.Exe, com 71.680 bytes.

Ao ser executado esse arquivo, surge um aviso de erro e o vírus se copia para o diretório Sistema do Windows, com o nome WinExt.exe. Em seguida, cria um arquivo WinExt.dat. 

No Windows 95/98, acrescenta uma entrada no Win.ini e, na primeira vez que o sistema for reiniciado, se torna residente no equipamento. Então, começa a tentar enviar e-mails infectados através do Exchange ou do Outlook, em resposta às mensagens não lidas existentes na caixa de entrada.

No Windows NT, acrescenta esta chave de registro:                    "HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows\
run WindowsDir>\\WINEXT.EXE".

Para eliminar esse vírus manualmente, é preciso remover o registro do Win.ini e, após reiniciar o computador, excluir todas as ocorrências do TryIt.Exe e do WinExt. Outra opção é usar o antivirus InoculateIT da CA, versão de assinatura 8.08, disponível na Internet.

Uma cobra no Word - No dia 7/2, o Avert Labs registrou o vírus de macro W97M/Cobra.j, de baixo risco, que infecta documentos e modelos do Word 97. Trata-se de uma modificação da família W97M/Cobra e não infecta ambientes Word 97 que tenham sido atualizados para versões de serviço 1 (SR1) ou posteriores.

O vírus existe num módulo macro denominado "Cobra_20A" e contém diversas subrotinas. Seu código permitiria usar o Outlook mas intencionalmente ou inadvertidamente foi desabilitado. O vírus usa uma subrotina denominada "Autoopen" para chamar a rotina de infecção, que passa a agir sobre todos os documentos abertos posteriormente e sobre o modelo global de documentos. O registro do sistema recebe estas mudanças:
           "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion"
           "RegisteredOwner" = "LITON VS Cobra"

           "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion"
           "RegisteredOrganization" = "349,(PA12A19H2AG)/DHK/BD"