W97M.Durlen

病毒名称:

W97M.Durlen

类别： 宏病毒

病毒资料：

W97M.Durlen 是个宏病毒，感染 windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows xp 操作系统，它删除文件近体系统安全设置,病毒在打开和闭文档当时触发。当收到、打开此病毒后，有以下现象：

A 关闭Word宏保护功能

B 显示图片（图二）

C 删除 C:\windows, C:\windows\system, C:\windows\system32 C:\winnt 和 C:\的所有*.com *.删除exe文件

D 删除 C:\windows 下的 *.xls *.pdf *.rar *.ini *.htm *.bmp *.gif 文件

E 删除C:\PRogram Files\Microsoft Office\Office\Excel.exe 和

C:\Program Files\Microsoft Office\Office\Powerpnt.exe

F 关闭任务栏

G 增加注册表键值"Level" = "1"到

HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Word\Security

和HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Word\Security

H 增加注册表键值"Lendur" = "Saved" 到

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Lendur

和HKEY_CURRENT_USER\Software\Microsoft\Windows\Lendur

I 增加注册表键值"DisableTaskMgr" = "1"

和"DisableRegistryTools" = "1"到

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

J 增加注册表键值"EnableFirewall" = "bx0"到

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile

K 增加注册表键值"EnableFirewall" = "0"到

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile

HKEY_CURRENT_USER\Software\Policies\Microsoft\WindowsFirewall\DomainProfile

HKEY_CURRENT_USER\Software\Policies\Microsoft\WindowsFirewall\StandardProfile

L 增加注册表键值

"NoRun" = "1"

"DisallowRun" = "1"

"NoFind" = "5"

"NoCloseKey" = "5"

"NoClose" = "5"

"NoDesktop" = "3"

"NoSaveSettings" = "3"

"NoViewContextMenu" = "3"

"NoSetFolders" = "2"

"NoFavoritesMenu" = "2"

"NoSetTaskbar" ="2"到

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

M 增加注册表键值 "NoDesktop" = "2" 到

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer

N 增加注册表键值

"AntiVirusOverride" = "1"

"FirewallOverride" = "1"

"UpdatesDisableNotify" = "1"

O 增加注册表键值

"MouseSensitivity" = "5"

"MouseSpeed" = "0"到

HKEY_CURRENT_USER\Control Panel\Mouse

P 生成以下文件

C:\Windows\Hzjl\News.doc

C:\Windows\Vnbz\Girls.doc

C:\Windows\Sgba\Joke.doc

C:\Windows\Texts\Exemple.doc

C:\My Documents\Information.doc

C:\My Shared Folder\List.doc

C:\WINDOWS\application Data\Music.doc

Q 保存当前word文件为 My Documents\information.doc

R 生成文件C:\windows\readme.txt在每周的星期一,星期三,星期五显示

Virus activated with sUCcess. 2006.

S 感染 Normal.dot 文件

T 隐藏WORD软件的宏菜单和禁用安全设置

病毒的清除法：

使用光华反病毒软件，彻底删除。

病毒演示：

病毒FAQ：

Windows下的PE病毒。

发现日期：

2006-5-1

• ·W97M.Dranus
• ·Macro.Word.WhiteScreen
• ·X97M.Millenmic
• ·XF.Lugunay
• ·W97M.Kritz
• ·Script.Nimda
• ·Script.Exploit.kanglong
• ·Script.Exploit.house
• ·Script.MIE
• ·Script.Hostage