製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:C
ウイルス情報
ウイルス名危険度
W97M/Class.bx
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4010
対応定義ファイル
(現在必要とされるバージョン)
4010 (現在7507)
対応エンジン4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
別名W97M/Diva.A
情報掲載日99/10/05
発見日(米国日付)99/02/01
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
07/21Generic.tfr!...
07/21RDN/Generic ...
07/21Downloader.g...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7507
 エンジン:5600
 
ウイルス検索
 




W97M/Diva.A ウイルスは、1999年5月にスウェーデンで初めて報告された。

W97M/Diva.A は、ThisDocumentと不定の名前を持つ UserForm で構成される。UserForm の名前は登録者名のイニシャルに基づいて付けられる。一方、ThisDocument の中のソースコードには、既存の AutoOpen 機能を書き換えたものが組み込まれているが、感染時にこれが AutoClose に置き換えられる。このようにして、このマクロ ウイルスは AutoClose と同時に文書に感染する。さらに、このマクロ ウイルスは Word の NORMAL.DOT ファイルに感染する。

前述したように、ThisDocument というモジュールには AutoOpen というマクロを書き換えたものが組み込まれており、後から AutoClose に置き換えられる。AutoClose で UserForm が呼び出される。Userform は Ms-Word のマクロ警告機能をオフにし、警告プロンプト(save and conversion) を無効にし、その文書がすでに感染しているかどうかを調べる。感染していない場合は感染させ、すでに感染している場合は、UserForm モジュールが終了する。

W97M/Diva.A はソースコードにコメントを1行おきに挿入するため、ポリモルフィック ウイルスであるともいえる。各コメント行は、登録者の名前、日時とアクティブなプリンタのコメント、作業中の文書の名前で構成される。

感染ルーチンの作動中に、いくつかの現象が起こる。

W97M/Diva.A はまず C:\KERNEL.SYS と C:\KERNEL2.SYS ファイルを作成する。この2つのファイルは、このマクロ ウイルスのソースコードを含む。C:\KERNEL.SYS には ThisDocument の中の AutoOpen マクロが含まれ、C:\KERNEL2.SYS には UserForm の中のソースが含まれる。どちらのファイルも感染ルーチンの作動中に文書に取り込まれる。

さらに、W97M/Diva.A はポップダウン メニュー[ツール]→[マクロ]→[Visual Basic Editor]と[ツール]→[マクロ]を無効にする。また[ツールバー]→[Visual Basic]のツール ボタンも無効にする。ポップダウン メニューの[ツール]→[テンプレートとアドイン]も削除する。

UserForm の終了と同時に、AutoClose が再び入力される。この時点で日付のチェックがおこなわれる。

駆除方法TOPへ戻る
  • スクリプト、バッチ、マクロ、非メモリ常駐型:
    検出・駆除には現在のエンジンと定義ファイルを使用してください。

  • PE、トロイの木馬、インターネットワーム、メモリ常駐型:
    検出には対応したエンジンと定義ファイルを使用してください。駆除には、MS-DOS モードまたは、起動ディスクを使用して起動し、command line scanner:SCANPM /ADL /CLEAN /ALL を使用してください。

SCANPM /ADL /CLEAN /ALL

 Additional Windows ME/XP removal considerations

AVERT推薦アップデート