ウイルス情報

ウイルス名

W97M/Class.B

種別 ウイルス
ファイルサイズ
最小定義ファイル
(最初に検出を確認したバージョン)
4002
対応定義ファイル
(現在必要とされるバージョン)
4002 (現在7659)
対応エンジン 4.0.25以降 (現在5600) 
エンジンバージョンの見分け方
別名 Class, Class.Poppy, Poppy, W97M/Class, WM97/Class.b
情報掲載日 98/11/24
発見日(米国日付) 98/10/15
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法


W97M/Class.BはWord 97ドキュメントに感染するウイルスです。このウイルスは、Word 97のSR-1以上のリリースで複製することが可能です。このウイルスはWord 97のマクロ警告の機能を停止させます。このウイルスは感染ルーチンの間に、ドキュメント、あるいはテンプレートの"ThisDocument"のストリーム、もしくはクラス・モジュールを使用しています。このウイルス・ファミリーは、もともと感染にクラス・モジュール・ストリームを使用しており、”W97M/Class.”という名前はそこから取られています。

このウイルスは、Word97でドキュメントを開いた場合のシステム・イベントを、サブルーチン”Autoopen”により、自らのコードを実行することによりフックします。”NORMAL.DOT”グローバル・テンプレートには、ドキュメントをクローズする”Autoclose”ルーチンが含まれています。

このウイルスは、ローカル・マシーンに、ウイルス・ソースを含む”c:\class.sys”というテンポラリー・ファイルを作成します。このウイルスは、VBAを使用して、Tempファイルから感線対象となる新しいドキュメントにコードをコピーします。この”.sys”ファイルは実行ファイルではありませんが、ASCIIフォーマットで書かれています。このファイルは”W97M/Class.src.b”として検知されますので、消去しても問題ありません。

このウイルスは、Office97の登録されたユーザー名とを表すシステム変数とマッピング・プリンター名を表す変数を用いて、VBAコードの各ラインにコメント文を挿入します。これはウイルス・コードに様々な形態をとらせて、容易に検知さないようにするものです。

従って、ユーザーは、侮辱的な内容のメッセージボックスがポップアップするまでこのウイルスに気がつくことはありません。このメッセージ・ボックスは5月から12月までの月の毎14日に、感染システムに表示されます。

このような症状が現れたときにはご注意下さい

  • 月の毎14日に感染ファイルでの作業中、以下のようなメッセージボックスが現われます。

    - VicodinES Loves You / Class.Poppy X

    I Think " (word97 reg. User name) " is a big stupid jerk!

  • ルート・ハードドライブの中に”C:\CLASS.SYS”というファイルがある場合

    駆除方法

    • Script、Batch、Macro、メモリ・レジデントではない場合:
      規定のエンジン、DATファイルを使って検知・駆除を行ってください。

    • PE、Trojan、Internet Worm、メモリ・レジデントの場合:
      規定のエンジン、DATファイルを使って検知・駆除を行ってください。 駆除には、MS-DOSモードで起動するか、ブート・ディスクを使用し、コマンド・ライン・スキャナをご使用下さい。
      SCANPM /ADL /CLEAN /ALL

    • Windows ME 情報
      Windows MEは、選択されたファイルを自動的に”C:\_Restore”にバックアップする、バックアップ・ユーティリティを利用しています。つまり、感染ファイルもこの機能によってバックアップ・ファイルとして保存されている可能性があります。ウイルス・スキャンはこれらのバックアップ・ファイルを消去する事ができません。以下の説明では、”C:\_Restore”フォルダから感染ファイルを消去する方法を述べています。

      1. デスクトップのマイ・コンピューターのアイコンを右クリック
      2. 「パフォーマンス」タブをクリック
      3. 「ファイルシステムボタンをクリック
      4. 「トラブル・シューティング」タブをクリック
      5. 「隠しシステム・リストア」のチェック・ボックスのチェックを外す
      6. 「適用」ボタンをクリック
      7. 「閉じる」ボタンをクリック
      8. 「閉じる」ボタンを再度クリック
      9. コンピューターの再起動を促されますので、「はい」をクリック
        注意:)リストア・ユーティリティはここで動作しなくなります。
      10. コンピューターをSafeモードで立ち上げます。
      11. 感染ファイルをすべて削除するために、ウイルススキャンの「スキャン」を実行します。または、”C:\_Restore”フォルダをブラウズして感染ファイルを消去して下さい。
      12. 指定したファイルが消去できたら、コンピューターを通常に再起動してください。
        注意:)リストア・ユーティリティを再び動作しないようにするには。1〜9までの手順を踏み、手順5では「隠しシステム・リストア」のチェック・ボックスをチェックします。感染ファイルは削除されていますので、システム・リストアは再び正常に動作します。