ウイルス情報

ウイルス名

W97M/Chantal.B

種別 ウイルス
ファイルサイズ
最小定義ファイル
(最初に検出を確認したバージョン)
4060
対応定義ファイル
(現在必要とされるバージョン)
4060 (現在7656)
対応エンジン 4.0.25以降 (現在5600) 
エンジンバージョンの見分け方
別名 BV/Chantal, Chantal.b, VBS/Chantal, W97M/Chantal.gen, W97M/Chantal.src, WM97/Chantal.b
亜種 W97M/Chantal
情報掲載日 00/01/02
発見日(米国日付) 99/12/31
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

このクラスモジュール・マクロウイルスはWord97文書に感染します。SR-1以上のWord97でも自己複製します。Word97のマクロ警告機能はオフにされます。このウイルスはクラスストリームの中の"ThisDocument"という単一モジュールとして存在します。ウイルス・ソース・コードを含むテキストファイルを"c:\windows\mkv4.vxd"に作成します。このファイルはシステム属性および隠し属性を持ち、"W97M/Chantal.src"として検出されます。また感染文書自体は、通常、W97M/Chantal.genとして検出されます。

このウイルスは"c:\windows\system\mkv2.vbsというVBScriptを作成します。Windows起動時には、先に述べたソースコードを使ってWordへの再感染を試みます。またC:\MKV2.BATというバッチファイルが落とし込まれます。さらにAUTOEXEC.BATが改変され、次回マシン起動時には、カレント、ルート、サブのディレクトリのバッチファイルに感染することを試みます。このVBSファイルはVBS/Chantalとして検出されます。バッチファイルは、BV/Chantalとして検出されます。

ソースコード内部の以下のコメントは表示されません。

'MK-Words 2
'From the MKVG - The Lion City

このウイルスは日付のうち「年」が2000年であった場合、C:ドライブのファイルをすべて消去しようとします。また以下のようなメッセージボックスが表示されます。

'MK Words V2 By MKVG 1999'
'Welcome To Y2K'

また日付の「日」が31日であり、かつMicrosoftバルーンアシスタントがインストールされている場合、そのバルーン機能を使って、次のメッセージが表示されます。

'MK Words V.2'
'Y2K is Coming Soon...'

またウイルスが感染可能な場合、レジストリ改変により、Wordのセキュリティ設定が低くされます。その他「登録ユーザー名」や「バージョン」が改変されるほか、RUNキーの改変によりWindows再起動時にVBSが起動されるようになります。

  • HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Word\Security Level = 1
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion RegisteredOwner = 'Mae Koo V-Groups'
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion Version = "MKV-99"
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run MKV = 'C:\WINDOWS\SYSTEM\MKV2.vbs'