製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:C
ウイルス情報
ウイルス情報

ウイルス名
W97M/Class.B
種別ウイルス
ファイルサイズ
最小定義ファイル
(最初に検出を確認したバージョン)
4002
対応定義ファイル
(現在必要とされるバージョン)
4002 (現在7600)
対応エンジン4.0.25以降 (現在5600) 
エンジンバージョンの見分け方
別名Class, Class.Poppy, Poppy, W97M/Class, WM97/Class.b
情報掲載日98/11/24
発見日(米国日付)98/10/15
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法

セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
10/22Generic Down...
10/22Generic Down...
10/22FakeAV-M.bfr...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7600
 エンジン:5600
 
ウイルス検索
 




W97M/Class.BはWord 97ドキュメントに感染するウイルスです。このウイルスは、Word 97のSR-1以上のリリースで複製することが可能です。このウイルスはWord 97のマクロ警告の機能を停止させます。このウイルスは感染ルーチンの間に、ドキュメント、あるいはテンプレートの"ThisDocument"のストリーム、もしくはクラス・モジュールを使用しています。このウイルス・ファミリーは、もともと感染にクラス・モジュール・ストリームを使用しており、”W97M/Class.”という名前はそこから取られています。

このウイルスは、Word97でドキュメントを開いた場合のシステム・イベントを、サブルーチン”Autoopen”により、自らのコードを実行することによりフックします。”NORMAL.DOT”グローバル・テンプレートには、ドキュメントをクローズする”Autoclose”ルーチンが含まれています。

このウイルスは、ローカル・マシーンに、ウイルス・ソースを含む”c:\class.sys”というテンポラリー・ファイルを作成します。このウイルスは、VBAを使用して、Tempファイルから感線対象となる新しいドキュメントにコードをコピーします。この”.sys”ファイルは実行ファイルではありませんが、ASCIIフォーマットで書かれています。このファイルは”W97M/Class.src.b”として検知されますので、消去しても問題ありません。

このウイルスは、Office97の登録されたユーザー名とを表すシステム変数とマッピング・プリンター名を表す変数を用いて、VBAコードの各ラインにコメント文を挿入します。これはウイルス・コードに様々な形態をとらせて、容易に検知さないようにするものです。

従って、ユーザーは、侮辱的な内容のメッセージボックスがポップアップするまでこのウイルスに気がつくことはありません。このメッセージ・ボックスは5月から12月までの月の毎14日に、感染システムに表示されます。

このような症状が現れたときにはご注意下さい

  • 月の毎14日に感染ファイルでの作業中、以下のようなメッセージボックスが現われます。

    - VicodinES Loves You / Class.Poppy X

    I Think " (word97 reg. User name) " is a big stupid jerk!

  • ルート・ハードドライブの中に”C:\CLASS.SYS”というファイルがある場合

    駆除方法

    • Script、Batch、Macro、メモリ・レジデントではない場合:
      規定のエンジン、DATファイルを使って検知・駆除を行ってください。

    • PE、Trojan、Internet Worm、メモリ・レジデントの場合:
      規定のエンジン、DATファイルを使って検知・駆除を行ってください。 駆除には、MS-DOSモードで起動するか、ブート・ディスクを使用し、コマンド・ライン・スキャナをご使用下さい。
      SCANPM /ADL /CLEAN /ALL

    • Windows ME 情報
      Windows MEは、選択されたファイルを自動的に”C:\_Restore”にバックアップする、バックアップ・ユーティリティを利用しています。つまり、感染ファイルもこの機能によってバックアップ・ファイルとして保存されている可能性があります。ウイルス・スキャンはこれらのバックアップ・ファイルを消去する事ができません。以下の説明では、”C:\_Restore”フォルダから感染ファイルを消去する方法を述べています。

      1. デスクトップのマイ・コンピューターのアイコンを右クリック
      2. 「パフォーマンス」タブをクリック
      3. 「ファイルシステムボタンをクリック
      4. 「トラブル・シューティング」タブをクリック
      5. 「隠しシステム・リストア」のチェック・ボックスのチェックを外す
      6. 「適用」ボタンをクリック
      7. 「閉じる」ボタンをクリック
      8. 「閉じる」ボタンを再度クリック
      9. コンピューターの再起動を促されますので、「はい」をクリック
        注意:)リストア・ユーティリティはここで動作しなくなります。
      10. コンピューターをSafeモードで立ち上げます。
      11. 感染ファイルをすべて削除するために、ウイルススキャンの「スキャン」を実行します。または、”C:\_Restore”フォルダをブラウズして感染ファイルを消去して下さい。
      12. 指定したファイルが消去できたら、コンピューターを通常に再起動してください。
        注意:)リストア・ユーティリティを再び動作しないようにするには。1〜9までの手順を踏み、手順5では「隠しシステム・リストア」のチェック・ボックスをチェックします。感染ファイルは削除されていますので、システム・リストアは再び正常に動作します。