製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:C
ウイルス情報
ウイルス情報

ウイルス名
W97M/Class.ed
危険度
対応定義ファイル4051 (現在7576)
対応エンジン (現在5600) 
エンジンバージョンの見分け方
別名W97M/Class.ec, WM97/Class-ED
発見日(米国日付)99/12/29
概要ウイルスの特徴感染症状感染方法駆除方法

セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
09/28RDN/Generic ...
09/28RDN/PWS-Bank...
09/28RDN/Spybot.b...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7576
 エンジン:5600
 
ウイルス検索
 




これはWord 97の文書に感染するウイルスである。Word 97のSR-1リリースでの自己複製が可能。Word 97のマクロ警告機能をオフにする。このウイルスは、文書とテンプレートへの感染時に"ThisDocument"ストリームを使用する。このウイルスはW97/Classファミリーを基に作られており、コードの1行おきに挿入したコメント行を使用して、さまざまなポリモルフィック性を有している。"SYSTEM.SYS"という名前の一時ファイルをc:ドライブのルートディレクトリに作成し、ウイルスの感染ルーチンのインポートとエクスポートにこのファイルを使用する。 このファイルにこのウイルスのソースコードが存在する。

このウイルスは、サブルーチン"autoopen"でWord97を開くというシステムイベントをフックし、このウイルス コードを作動させる。この他、"toolsmacro"と"viewvbcode"のシステムイベントがフックされる。Word97 で同じメニュー アイテムの使用を試みると、このマクロ コードのルーチンが作動する。

このウイルスは、W97M/Classのほかの亜種にみられるような、レジストリの改変はおこなわない。

月に関係なく15日に、Word97の以下のメニューが削除される。
[ファイル]→[ページ設定]
[ファイル]→[印刷プレビュー]
[ファイル]→[印刷]
[ファイル]→[終了]
[ファイル]→[新規作成]
[ファイル]→[開く]
[ファイル]→[閉じる]

メニューオプションで、[ツール]→[マクロ]→[マクロ]、あるいは[ツール]→[マクロ]→[Visual Basic Editor]を選択すると、次のメッセージが表示される。"This program has performed an illegal operation and will shut down."

以下の症状があった場合は、本ウイルスに感染している恐れがある。 感染文書を開いた際のマクロ警告。グローバルテンプレートのサイズの増加。CのルートディレクトリへのSYSTEM.SYSファイルの作成。15日にWord97からメニューアイテムの削除(上記参照)。