McAfee for Small Businesses

ウイルス名 危険度 W97M/Class.bx 企業ユーザ: 低 個人ユーザ: 低 種別 ウイルス 最小定義ファイル (最初に検出を確認したバージョン) 4010 対応定義ファイル (現在必要とされるバージョン) 4010　（現在7109) 対応エンジン 4.1.60以降　(現在5.4.00)　 エンジンバージョンの見分け方 別名 W97M/Diva.A 情報掲載日 99/10/05 発見日（米国日付） 99/02/01 駆除補足 ウイルス駆除のヒント 概要 ウイルスの特徴 感染症状 感染方法 駆除方法

セキュリティ情報 最新ウイルス一覧へ >> 最新ウイルス 06/17 RDN/Sdbot.bf... 06/17 VBS/LoveLett... 06/17 Generic Qhos... 定義ファイル・エンジンの ダウンロード!    定義ファイル：7109  エンジン：5.4.00   ウイルス検索

W97M/Diva.A は、ThisDocumentと不定の名前を持つ UserForm で構成される。UserForm の名前は登録者名のイニシャルに基づいて付けられる。一方、ThisDocument の中のソースコードには、既存の AutoOpen 機能を書き換えたものが組み込まれているが、感染時にこれが AutoClose に置き換えられる。このようにして、このマクロ ウイルスは AutoClose と同時に文書に感染する。さらに、このマクロ ウイルスは Word の NORMAL.DOT ファイルに感染する。

前述したように、ThisDocument というモジュールには AutoOpen というマクロを書き換えたものが組み込まれており、後から AutoClose に置き換えられる。AutoClose で UserForm が呼び出される。Userform は Ms-Word のマクロ警告機能をオフにし、警告プロンプト(save and conversion) を無効にし、その文書がすでに感染しているかどうかを調べる。感染していない場合は感染させ、すでに感染している場合は、UserForm モジュールが終了する。

W97M/Diva.A はソースコードにコメントを1行おきに挿入するため、ポリモルフィック ウイルスであるともいえる。各コメント行は、登録者の名前、日時とアクティブなプリンタのコメント、作業中の文書の名前で構成される。

感染ルーチンの作動中に、いくつかの現象が起こる。

W97M/Diva.A はまず C:\KERNEL.SYS と C:\KERNEL2.SYS ファイルを作成する。この２つのファイルは、このマクロ ウイルスのソースコードを含む。C:\KERNEL.SYS には ThisDocument の中の AutoOpen マクロが含まれ、C:\KERNEL2.SYS には UserForm の中のソースが含まれる。どちらのファイルも感染ルーチンの作動中に文書に取り込まれる。

さらに、W97M/Diva.A はポップダウン メニュー[ツール]→[マクロ]→[Visual Basic Editor]と[ツール]→[マクロ]を無効にする。また[ツールバー]→[Visual Basic]のツール ボタンも無効にする。ポップダウン メニューの[ツール]→[テンプレートとアドイン]も削除する。

UserForm の終了と同時に、AutoClose が再び入力される。この時点で日付のチェックがおこなわれる。