Описание
W97M.Rudelen - макро вирус.
Распространение
При открытии зараженного документа вирус сохраняет его под именами
C:\WINDOWS\Application Data\Roven.doc
C:\WINNT\SYSTEM32\Bfdv.doc
C:\Windows\System\Rdcm.doc
C:\Program Files\Scdl.doc
C:\Windows\Command\Nid.doc
C:\WINDOWS\HELP\Readme.doc
C:\Adf.doc
При закрытии зараженного документа вирус заражает шаблон Normal.
Действия
Удаляет все файлы с расширением exe и dll в папках
C:\WINDOWS
C:\WINDOWS\SYSTEM
C:\WINDOWS\SYSTEM32
C:\WINNT\SYSTEM32
C:\WINNT
C:\
Меняет системное время на 11:30 PM.
Удаляет ключи в реестре:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
HKEY_CURRENT_USER\Software\Microsoft\security center
HKEY_LOCAL_MACHINE\Software\Microsoft\security center
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\StandardProfile
HKEY_LOCAL_MACHINE\Software\Microsoft\windows NT\CurrentVersion\systemrestore
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\systemrestore
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
HKEY_CURRENT_USER\Software\Microsoft\MSNMessenger
HKEY_CURRENT_USER\Software\Microsoft\MSN Toolbar
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Lite K++
HKEY_LOCAL_MACHINE\Software\K++
Создает файл C:\Windows\Ruden.vbs, который при запуске выдает сообщение "Error Internet Explorer!", и прописывает этот файл в автозагрузку:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Showme = "C:\Windows\Ruden.vbs"
