『金山毒霸编译』 2002年06月14日 15:04:29
病毒名称:W97M.Nori.A
别名:Macro.Word97.Nori
发现日期:2002-06-13
病毒长度:一个VBA模块
病毒类型:宏病毒
危害级别:高
传播速度:慢
病毒危害:
1.发作日期:每年的4月1日
2.删除文件:若注册表键
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion":
"RegisteredOrganization" 的键值等于"IRON",会删除C:下的所有文件 ;
3.修改文件:若上述注册表键值不等于"IRON",会删除当前打开文档中的所有文本;
4.危及安全设置:VirusProtection = off ConfirmConversion = off SaveNormalPrompt =
off
技术特征:
这是一个具有很强破坏性的微软Word宏病毒,通过感染global模板、Normal.dot及当前打开
文档而进行传播,在每年的4月1日病毒会发作,它会删除硬盘上所有文件及被感染文档正文中的
所有文本。
当受感染文档打开或关闭时,它会进行传播,同时被感染文档激活的过程中,也会传染给新
建的任何文档。
病毒运行后,它会关闭Word的如下设置:
1.宏病毒保护(VirusProtection);
2.打开文档时的弹出窗口(ConfirmConversion);
3.保存global模板、Normal.dot时的弹出窗口(SaveNormalPrompt)。
同时,会不让您查看Visual Basic 编辑器。
感染时,病毒还会创建一个临时文件C:Iron.tmp,它利用这个文件在文档及global模板之
间进行传播,感染成功后,病毒会自动删除此文件。
另外,病毒带有一个有破坏性的有效载荷,在每年的4月1日会被触发。该有效载荷会依据注
册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion:的键
RegisteredOrganization的键值不同而采取不同的操作:
若键值等于IRON,它会删除C盘上的所有文件;
若键值不等于IRON,则它会删除被感染文档内文中的所有文本内容。
