El virus W97M/Marker Alias Spooky y HSFX es un virus de macro de Word, creado hace algunos meses, que en los últimos días se está difundiendo ampliamente por los sistemas informáticos.

MARKER recoge información privada del usuario desde Word y la publica en un FTP para enviarla por Internet. Al igual que W97M/Calígula, envía los datos a codebreakers informáticos, y también tiene similitudes con el virus W97M/Ethan.

W97M/Marker contiene un marcador de infección al principio de su código ("this is a marker!"). Se trata de un virus polimórfico que añade un informe o log al final del virus para cada usuario infectado, con información de la hora del sistema, fecha, nombres de los usuarios y dirección, para transmitirla por Internet.

Existen diversas variantes conocidos del Marker: Marker.A, Marker.C y Marker.D

Variante: Marker.A
Se graba en un archivo llamado c:\netldv.vxd. Para infectar documentos, el virus exporta su código desde una plantilla global a este archivo y después de esto, borra el archivo de modo que el usuario nunca puede encontrarlo.

Variante: Marker.C
Esta versión crea dos archivos:

C:\NETLDX.VXD

El primer archivo se utiliza para almacenar el código del virus y para añadir información al log. En esta variante, el log comienza con:

Logfile -->

El segundo archivo contiene el código actual de virus.

El virus intenta cargar el archivo de información en un FTP de intercambio de virus. Esto tiene lugar todos los días 1 del mes.

Variante: Marker.D
Esta variante también se conoce como HSFX debido a que el archivo temporal que crea se llama C:\HSFX****.SYS. En el resto, es similar a Marker.C.

Esta variante contiene el texto:

<- this is another marker!