ウイルス情報

ウイルス名 危険度

W97M/Class.bx

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4010
対応定義ファイル
(現在必要とされるバージョン)
4010 (現在7633)
対応エンジン 4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
別名 W97M/Diva.A
情報掲載日 99/10/05
発見日(米国日付) 99/02/01
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法


W97M/Diva.A ウイルスは、1999年5月にスウェーデンで初めて報告された。

W97M/Diva.A は、ThisDocumentと不定の名前を持つ UserForm で構成される。UserForm の名前は登録者名のイニシャルに基づいて付けられる。一方、ThisDocument の中のソースコードには、既存の AutoOpen 機能を書き換えたものが組み込まれているが、感染時にこれが AutoClose に置き換えられる。このようにして、このマクロ ウイルスは AutoClose と同時に文書に感染する。さらに、このマクロ ウイルスは Word の NORMAL.DOT ファイルに感染する。

前述したように、ThisDocument というモジュールには AutoOpen というマクロを書き換えたものが組み込まれており、後から AutoClose に置き換えられる。AutoClose で UserForm が呼び出される。Userform は Ms-Word のマクロ警告機能をオフにし、警告プロンプト(save and conversion) を無効にし、その文書がすでに感染しているかどうかを調べる。感染していない場合は感染させ、すでに感染している場合は、UserForm モジュールが終了する。

W97M/Diva.A はソースコードにコメントを1行おきに挿入するため、ポリモルフィック ウイルスであるともいえる。各コメント行は、登録者の名前、日時とアクティブなプリンタのコメント、作業中の文書の名前で構成される。

感染ルーチンの作動中に、いくつかの現象が起こる。

W97M/Diva.A はまず C:\KERNEL.SYS と C:\KERNEL2.SYS ファイルを作成する。この2つのファイルは、このマクロ ウイルスのソースコードを含む。C:\KERNEL.SYS には ThisDocument の中の AutoOpen マクロが含まれ、C:\KERNEL2.SYS には UserForm の中のソースが含まれる。どちらのファイルも感染ルーチンの作動中に文書に取り込まれる。

さらに、W97M/Diva.A はポップダウン メニュー[ツール]→[マクロ]→[Visual Basic Editor]と[ツール]→[マクロ]を無効にする。また[ツールバー]→[Visual Basic]のツール ボタンも無効にする。ポップダウン メニューの[ツール]→[テンプレートとアドイン]も削除する。

UserForm の終了と同時に、AutoClose が再び入力される。この時点で日付のチェックがおこなわれる。

駆除方法

  • スクリプト、バッチ、マクロ、非メモリ常駐型:
    検出・駆除には現在のエンジンと定義ファイルを使用してください。

  • PE、トロイの木馬、インターネットワーム、メモリ常駐型:
    検出には対応したエンジンと定義ファイルを使用してください。駆除には、MS-DOS モードまたは、起動ディスクを使用して起動し、command line scanner:SCANPM /ADL /CLEAN /ALL を使用してください。

SCANPM /ADL /CLEAN /ALL

 Additional Windows ME/XP removal considerations

AVERT推薦アップデート

TOPへ戻る