W97M/Ramiel.A-mm

FortiProtect >>> Encyclopedia >>> 病毒资料

深度分析

W97M/Ramiel.A-mm

概述

病毒描述

最后更新:*

Nov 23 2004

捕获时间:*

Sep 1 2004

FortiGate能检测到的
病毒库版本*

FOS/V2.36:	4.508
FOS/V2.50:	4.508
FOS/V2.80:	4.508

病毒特点

威胁程度:*	1 2 3 4 5
病毒长度:*	macro
病毒类型:*	Macro Virus

受影响系统*

Office97+

MS-Windows

其它名称*

表现特征

感染 MS-Office97及其之后版本的 Word 文档。
通过将被感染的文档作为文件发送。

当附件被点击，加载 Word 并感染全局文件 NORMAL.DOT。其后会感染所有打开的文档文件。

被感染后，Word 将会:

禁用宏病毒保护
禁用工具|宏工具栏和热键
禁用工具|模板和加载项... 及其热键
禁用工具|自定义及其热键
禁用工具|选项及其热键

禁用 Alt+F11(VB编辑器)热键。如果用户试图使用该热键，则会显示一个包含以下信息的对话框 -

Se Trato de acceder a un componente no valido

　

攻击分析

感染 Ms-Office97 及其之后版本的 Word 文档。

大量发送多态的包含被感染文档的邮件。

它的随机发生器将会在源代码中每隔一行便会插入一行随机产生的字符。

被感染后，Word 将会:

禁用宏病毒保护
禁用工具|宏工具栏和热键
禁用工具|模板和加载项... 及其热键
禁用工具|自定义及其热键
禁用工具|选项及其热键

禁用 Alt+F11(VB编辑器)热键。如果用户试图使用该热键，则会显示一个包含以下信息的对话框 -

Se Trato de acceder a un componente no valido

对于被感染的文件，将会设置或修改其文档属性为 -

Author: Machinedramon
Subject: Ramiel
Comments: Derechos Reservados
Organization: GEDZAC

Marcas Registradas: GEDZAC
Hecho en el Peru, Calidad Mundial
Sachiel2015@latinmail.com

Contrasenas: Ramiel, leimaR, Rlaemi

如果是在每周第三天(周二),将会在文档中插入一行 -

Mientras Dios se quede en su cielo, todo en la tierra estara bien. Geofronte - Dist 1 de Tokio3 Ramiel

如果是在每月的第21天，将会把应用程序用户名改为 "Ramiel",并将文档加密，密码为一下三个之一 -

Ramiel
leimaR
Rlaemi

另外，2004年12月21日即时周二也是21号，所以，两个条件都将被触发。

将会通过 Outlook 搜索所有用户并发送包含被感染病毒的文档的邮件。主题和消息内容随机选择，选择列表如下 -

主题:

Articulo de interes
Te envio este documento
Encontre un articulo interesante
Consejo
Preocupacion

消息内容:

Te envio este articulo, tal vez te interese,
me escribes para saber como te parecio
Adios
　

Quisiera que me des tu opinion sobre este documento,
que te envio, espero tu opinion
Adios
　

Te envio este articulo lo encontre
en una paginaWeb y lo copie en word,
tal vez te sea de utilidad
Adios
　

Hola, nesecito que me des tu opinion sobre un asunto,
Te envio el documento que recibi, lo pase a Word
estoy indeciso, te agradeceria si me dieras tu opinion, Adios
　

Me tiene preocupado un documento que recibi, lo transcribi a computadora
quisiera que me des tu opinion, tal vez no sea para tanto.
Adios
　

设置 IE 起始页面wei -

http://www.gratisweb.com/machinedramon1/sachiel.jpg.scr.

当用户启动 IE 的时候，将会连接到上面的网址，下载并执行该程序。当前该地址已经被封闭。

通过搜索注册表检查一下常用杀毒软件是否被安装。一旦找到，则试图删除该目录下的所有可执行文件，从而破坏杀毒软件。

HKEY_LOCAL_MACHINE\Software\Hacksoft\The Hacker Anti-Virus\THDAT\
HKEY_LOCAL_MACHINE\Software\PER Systems\PER Antivirus\Instalación\dirPrincipal
HKEY_LOCAL_MACHINE\Software\Command Software\F-PROT32\Location
HKEY_LOCAL_MACHINE\Software\FRISK Software International\FP-Win\Program Root
HKEY_LOCAL_MACHINE\Software\McAfee\VirusScan\Location
HKEY_LOCAL_MACHINE\Software\Cybec\VET Antivirus for Win32\Resident\VetPath
HKEY_LOCAL_MACHINE\Software\ALWIL Software\Avast32\Path
HKEY_USERS\.DEFAULT\Software\MooSoft Development\The Cleaner\tcshellex
HKEY_LOCAL_MACHINE\Software\Panda Software\Panda Antivirus 6.0\Path
HKEY_LOCAL_MACHINE\Software\KasperskyLab\Components\100\Folder
HKEY_LOCAL_MACHINE\Software\Symantec\InstalledApps\NAV
HKEY_LOCAL_MACHINE\Software\Norman Data Defense Systems\RootPath
HKEY_LOCAL_MACHINE\Software\ComputerAssociates\Anti-Virus\Resident\VetPath
HKEY_LOCAL_MACHINE\Software\Zone Labs\ZoneAlarm\InstallDirectory
HKEY_LOCAL_MACHINE\Software\Network ICE\BlackICE\Installer
HKEY_LOCAL_MACHINE\Software\TinySoftware\Tiny Personal Firewall\2.00\DestPath
HKEY_LOCAL_MACHINE\Software\Sygate Technologies, Inc.\Sygate Personal Firewall\smc_install_path

处理方式

用Web界面检查ForiGate的病毒库是否最新病毒库，更新到最新病毒库，如有必要请使用"Allow Push Update"选项。

网站指南 | 法律声明