W97M_Verlor病毒警告

　　W97M_Verlor病毒警告

　　W97M_Verlor是一种宏病毒，通过感染Microsoft Word 97和Word 2000文档 进行繁殖。它包含一个模块，可以关闭Word 97中关於宏的警告。Verlor感染Word的NORMAL.DOT 档案，如果一个文档在感染病毒后打开，它的名称被添加至C:\HIMEM.SYS。一旦关闭文档，就会感染上病毒，同 时从C:\HIMEM.SYS中清除该文档的名称。

　　感染：

　　如果一个已经染毒的用户使用Word的Visual Basic Editor (VBE)，病毒将把系统数 据库的值改为：

　　它在WIN.INI档案中寻找一个a [windows]字段，一旦找到了该字段，它将在WIN.INI的[ windows]字段中增加下列条目：

　　run = %WINDIR%\overlord.b.vbs [%WINDIR% = name of W indows directory]

　　它还将在Windows路径中添加两个档案：

　　OVERLORD.B.VBS containing a Visual Basic Script (VB Script) OVERLORD.B.DLL containing the virus source code as ASCII text

　　包含一个Visual Basic 脚本(VBScript)的档案OVERLORD.B.VBS包含一个A SCII文件的病毒源代码的档案OVERLORD.B.DLL

　　然後该病毒将把自己从所有打开的文档以及NORMAL.DOT档案中删除，以隐含其身份，然後打开VBE。如 果安装了Windows Scripting Host (WSH)，Windows在启动时将运行OVERLORD .B.VBS，使用OVERLORD.B.DLL中的病毒源代码重新感染NORMAL.DOT。在C:\HIMEM. SYS中所有文档的开启和保存后都没有改变。

　　该病毒还会拦截TOOLS | MACRO | MACROS宏查看命令（macro viewing co mmands），并在显示对话栏之前从打开的文档和NORMAL.DOT中清除所有的宏。在关闭对话栏之後，病毒把自 己重新写入所有打开的文档和NORMAL.DOT档案中。

　　症状：

　　在Windows路径中添加OVERLORD.B.VBS和OVERLORD.B.DLL

　　修改C:\HIMEM.SYS

　　把系统数据库HKEY_LOCAL_MACHINE\software\RegisteredOwner的键 值改为"the Overlord"。

　　有效负载：无

　　解决方案：

　　Trend Micro的624号及以上样式档案将能检察并清除该病毒。请检察你的系统数据库和window s路径以确信你的电脑未感染病毒。如果你不是网路中的用户，请访问Trend的线上HouseCall免费扫毒和杀毒 服务： http://housecall.antivirus.com 。