類別:宏病毒
病毒資料:W97M.Durlen 是個宏病毒,感染 Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP 作業系統,它刪除檔案近體系統安全設定,病毒在打開和閉文檔當時觸發。當收到、打開此病毒後,有以下現象:
A 關閉word宏保護功能
B 顯示圖片(圖二)
C 刪除 C:\windows, C:\windows\system, C:\windows\system32 C:\winnt 和 C:\的所有*.com *.刪除exe檔案
D 刪除 C:\windows 下的 *.xls *.pdf *.rar *.ini *.htm *.bmp *.gif 檔案
E 刪除C:\Program Files\Microsoft Office\Office\excel.exe 和
C:\Program Files\Microsoft Office\Office\powerpnt.exe
F 關閉系統列
G 增加註冊表鍵值"Level" = "1"到
HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Word\Security
和HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Word\Security
H 增加註冊表鍵值"Lendur" = "Saved" 到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Lendur
和HKEY_CURRENT_USER\Software\Microsoft\Windows\Lendur
I 增加註冊表鍵值"DisableTaskMgr" = "1"
和"DisableRegistryTools" = "1"到
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
J 增加註冊表鍵值"EnableFirewall" = "bx0"到
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile
K 增加註冊表鍵值"EnableFirewall" = "0"到
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
HKEY_CURRENT_USER\Software\Policies\Microsoft\WindowsFirewall\DomainProfile
HKEY_CURRENT_USER\Software\Policies\Microsoft\WindowsFirewall\StandardProfile
L 增加註冊表鍵值
"NoRun" = "1"
"DisallowRun" = "1"
"NoFind" = "5"
"NoCloseKey" = "5"
"NoClose" = "5"
"NoDesktop" = "3"
"NoSaveSettings" = "3"
"NoViewContextMenu" = "3"
"NoSetFolders" = "2"
"NoFavoritesMenu" = "2"
"NoSetTaskbar" ="2"到
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
M 增加註冊表鍵值 "NoDesktop" = "2" 到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
N 增加註冊表鍵值
"AntiVirusOverride" = "1"
"FirewallOverride" = "1"
"UpdatesDisableNotify" = "1"
O 增加註冊表鍵值
"MouseSensitivity" = "5"
"MouseSpeed" = "0"到
HKEY_CURRENT_USER\Control Panel\Mouse
P 生成以下檔案
C:\Windows\Hzjl\News.doc
C:\Windows\Vnbz\Girls.doc
C:\Windows\SGBA\Joke.doc
C:\Windows\Texts\Exemple.doc
C:\My Documents\Information.doc
C:\My Shared Folder\List.doc
C:\WINDOWS\Application Data\Music.doc
Q 保存當前word檔案為 My Documents\information.doc
R 生成檔案C:\windows\readme.txt在每周的星期一,星期三,星期五顯示
Virus activated with success. 2006.
S 感染 Normal.dot 檔案
T 隱藏WORD軟體的宏選單和禁用安全設定
病毒FAQ:Windows下的PE病毒
發現日期:2006-5-1
參考資料:http://www.viruschina.com/news/Vdatabase_detail.asp?id=5134