W97M/Buendia.A pertenece al grupo de virus W97M, los cuales infectan documentos de Microsoft Word 97 y la plantilla NORMAL.DOT que éste utiliza. Este virus copia, en el directorio donde se encuentran las plantillas de Microsoft Office 97, dos ficheros con extensión TMP. Cada uno de ellos contiene el código del virus. El virus también trata de copiar cada uno de estos dos ficheros a un disquete.

          El virus posee varias técnicas de ocultamiento que hacen bastante difícil su detección por medio de los programas antivirus. Por este motivo, impide el acceso a la definición y modificación de macros. Para ellos desactiva las opciones que hacen posible acceder al Visor de Macros mediante las opciones de menú (Herramientas - Macro - Macros), o las combinaciones de teclas rápidas (Alt+F8).

          El día 11 de cada mes, el virus activa su payload, consistente en la presentación de un cuadro de diálogo, con el siguiente texto: Hoy es un buen día nombre_usuario. Posteriormente, transcurrido un minuto, aparecerá otro cuadro de diálogo con un mensaje similar.

          Por otro lado, también modifica las opciones pertinentes para que el usuario no sea informado sobre los cambios realizados en la plantilla NORMAL.DOT. 
  
  
Modo de propagación: 
  
          El virus W97M/Buendia.A puede propagarse a otros documentos de Word 97, dentro del ordenador infectado o a otros ordenadores. Cada uno de los documentos infectados y la propia plantilla NORMAL.DOT, son los encargados de transportar al virus. El medio que se empleará para ello puede ser cualquiera de los utilizados habitualmente: disquetes, CD-ROM, trabajo en redes de ordenadores, Internet, recepción de mensajes de correo electrónico en los que se adjuntan o incluyen ficheros ya infectados,... etc.
 
 
Síntomas de infección: 

          El día 11 de cada mes, W97M/Buendia.A mostrará un cuadro de diálogo en el que se puede leer el siguiente mensaje: "Hoy es un buen día "nombre_usuario"", tal como el siguiente:
 

          Un minuto después, aparecerá otro cuadro de diálogo, como el siguiente:
 

          Dentro del directorio en el que se encuentran todas las plantillas que Microsoft Office 97 utiliza, el virus creará dos ficheros denominados ~WD07.TMP y ~WD11.TMP. Cada uno de ellos contiene el código del virus. Además tienen asociados los atributos de oculto (H) y de sistema (S). Cuando se abre o se guarda algún documento de Word, el virus trata de copiarlos a la disquetera (si existiese un disquete en ella). El nombre de cada uno de estos ficheros no es una casualidad. Su nombre hará creer al usuario que se trata de ficheros temporales, que el propio Word ha generado.

          Adicionalmente, W97M/Buendia.A impide al usuario acceder a las macros, desde el editor de Visual Basic (se desactivará la opción Herramientas - Macro - Editor de Visual Basic y la combinación del teclas rápidas Alt+F11), mostrando la siguiente ventana:
 

          Ocurre lo mismo con la posibilidad de editar o crear macros. Por este motivo, W97M/Buendia.A desactiva la opción Herramientas - Macro - Macros y la combinación de teclas rápidas Alt+F8.

          Finalmente, impide que se le pueda mostrar al usuario información sobre los cambios realizados en la plantilla NORMAL.DOT. De este modo el virus se protege contra errores en la ejecución del código, para evitar ser detectado si se produce algún fallo en la secuencia de la macro (como por ejemplo, al grabar las plantillas infectadas en disquete).
  
  
Métodos de infección: 
  
          La extensión TMP de los ficheros ~WD07.TMP y ~WD11.TMP, así como el nombre (ambos comienzan por ~w) están escogidos de modo que parezcan simples ficheros temporales de Word.

          Si intentamos abrir un documento con la plantilla infectada, el virus copiará estas dos plantillas ocultas desde la disquetera al directorio donde Office guarda las plantillas. Posteriormente hará que la plantilla de nombre ~WD07.TMP sea la activa, a partir de ese instante. Esta plantilla será asociada a cualquier nuevo documento, para que todos ellos sean infectados.