最近一个通过映射驱动器和在线聊天系统传播的“萨利姆”（W97M/Salim.A）病毒被冠群金辰的全球病毒监测网发现。据了解，W97M/Salim.A是一个宏病毒和通过在线聊天系统传播的蠕虫，除了在ThisDocument模块中写入病毒代码外，它也在传播过程中截取文档内容。

　　“萨利姆”蠕虫依靠文档事件处理程序来运行，当一个已感染的文档被打开时，宏病毒就被激活，当染毒文档被关闭时，病毒的Document_Close宏将开始运行。与其它宏病毒不同，它并不使"宏病毒保护选项"失效，因此宏报警仍将显示。它在通用模板中执行一个"am I here"的检查，比较它的ThisDocument中第一行代码是否匹配"PIJAVICA；如果不匹配，所有在通用模板的ThisDocument对象中的原代码将被删除，病毒的原代码将从目前文档插入目标对象。

　　之后，“萨利姆”病毒将尝试感染当前被Word打开的所有文档。然而，这种尝试将由于一个错误而失败。病毒将在C盘根目录生成文件Salim_se.doc和Win32Drv.doc，这两个文件是带有宏病毒代码的激活文档的两个复制文件。这两个文件含有激活文档的内容，能将敏感信息暴露给不被期望的浏览者。Salim_se.doc的一个副本也会在每个映射驱动器生成。

　　如果在一个已感染的系统中存在目录"C:\MIRC"，Script.ini文件将被创造或被覆盖，以使C:\Salim_se.doc能通过在线聊天系统送出。