W97M.Dranus

病毒名称:

W97M.Dranus

类别： 宏病毒

病毒资料：

该病毒长度 5,071 字节，感染 windows 2000、Windows 95、Windows 98、Windows Me、Windows NT、Windows Server 2003和 Windows xp 系统，它感染Word文档，删除系统文件和模版文件，并降低宏安全设置,当收到、打开此病毒时，有以下危害：

A 关闭 word 宏保护功能

B 显示如下窗口

如果用户点击窗口内容，病毒保存当前文档到C:\Poems\Romance.doc

C 通过修改以下注册表关闭 word 和 windows 安全设置

HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Word\Security\

"Level" = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\

"UpdatesDisableNotify" = "d001"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\

"AntiVirusOverride" = "d001"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\

"FirewallOverride" = "d001"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\

"FirewallDisableNotify" = "d001"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\

"AntiVirusDisableNotify" = "d001"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\

WindowsUpdate\Auto Update\"NOptions" = "31"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\

Policies\Explorer\"NoControlPanel" = "31"

D 设置如下注册表

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Roner\"Dronus" = "Activated virus"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ComputerName\

ComputerName\"ComputerName" = "XFL45-Evolution"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\

Internet Settings\Zones\0\"1201" = "0"

E 试图删除以下文件，破坏系统

C:\*.exe

C:\WINDOWS\*.exe

C:\WINDOWS\SYSTEM\*.exe

C:\WINDOWS\SYSTEM32\*.exe

C:\WINDOWS\COMMAND\*.exe

C:\WINDOWS\COMMAND\*.com

C:\WINDOWS\*.com

C:\*.com

F 每月的6、16、26日发作，并造成以下现象

G 显示以下信息

H 删除以下文件

C:\PRogram Files\*.*

C:\My Documents\*.*

C:\My Shared Folder\*.*

I 然后显示

J 设置时间为上午十点

K创建以下目录

C:\windows\Tecno

C:\windows\Visual

C:\windows\Study

C:\windows\Joke

C:\windows\Download

C:\windows\Birthday

C:\windows\Texts

L保存当前文档到以下文件

C:\Windows\Tecno\News.doc

C:\Windows\Visual\Modern.doc

C:\Windows\Study\Books.doc

C:\Windows\Joke\Funny.doc

C:\Windows\Download\Program.doc

C:\Windows\Birthday\Dates.doc

C:\Windows\Texts\Exemple.doc

M 复制自身到 Normal.dot 文件，挂接 ToosMacro() 宏在用户查看时隐藏自身

病毒的清除法：

使用光华反病毒软件，彻底删除。

病毒演示：

病毒FAQ：

Windows下的PE病毒。

发现日期：

2005-9-12

• ·Macro.word.LoveIris
• ·Macro.X97M.Pink
• ·Macro.W97M.Been
• ·W97M.Anisc.B
• ·W97M.Enife
• ·Macro.Word.WhiteScreen
• ·X97M.Millenmic
• ·XF.Lugunay
• ·W97M.Kritz
• ·W97M.Durlen