製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:E
ウイルス情報
ウイルス情報

ウイルス名
W97M/Este
種別ウイルス
ファイルサイズ
最小定義ファイル
(最初に検出を確認したバージョン)
4068
対応定義ファイル
(現在必要とされるバージョン)
4068 (現在7401)
対応エンジン4.0.25以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日00/03/14
発見日(米国日付)00/02/24
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法

セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
03/31RDN/Generic....
03/31StartPage-NY...
03/31PWS-Banker.g...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7401
 エンジン:5600
 
ウイルス検索
 




W97M/Esteは、Word97の文書とテンプレートに感染するクラスモジュールマクロウイルスです。このウイルスは、Word97内でマクロ警告通知機能を無効にします。また、W97M/Este は、SR1以上に更新されたシステムに感染します。このウイルスには、特定の日付になると起動する発病ルーチンがあります。

W97M/Esteは、"Document_Open"というサブルーチンを使用することによって、文書を開くというWordイベントをフックします。また、このウイルスは自己チェック方式を使用し、開いている文書内で特定の文字列を探してマクロコードを検索し、将来のホスト文書で自身を識別します。この方式は、最初にW97M/Markerウイルスによって使用されました。

このウイルスは、月曜日になると、ローカルマシン上でファイルのインデックスとして機能するファイルを作成します。ファイルの種類は、ウイルスによってランダムに選択されるため異なります。ファイルの種類が検索されて、"IOBuff#.vxd"というファイルにインデックス化されるのは、5回に1回の割合です。このファイル名の#は、ランダムに決定され、以下のようになります。

1 = "*.doc"
2 = "*.bat"
3 = "*.sys"
4 = すべてのファイル
5 = "*.ini"

インデックスファイルの作成方式により、"IOBuff#.vxd"ファイルが付加されるため、このファイルにファイル名の複製リストが含まれたり、ハードドライブのルート内にこのファイルのインスタンスがいくつか含まれたりする場合があります。このインデックスファイルは、不正な目的のために作成されます。このウイルスは、.vxdインデックスファイルが作成されるたびに検索を行い、以下のように動作します。

c:\IOBuff1.vxdが存在する場合は、このファイルにリストされている各文書を開いて、ハードドライブ上にあるすべての文書に感染します。

c:\IOBuff2.vxdが存在する場合は、このファイルにリストされている各.BATファイルを開いて、その内容を以下のデータで上書きします。

"REM ** This Bat File Has Violed By "
"REM ** Your PC Is Not Secure System"
"prompt F*** You!!$g"
"cls"
"command.com"

c:\IOBuff3.vxdが存在する場合は、リストされている各.SYSファイルを開いて、以下のデータで上書きします。

"REM Warning In the file (filename.sys)!!"
"REM This Sys File can only operate with"
"REM Operating Systems Powerfull and Secures"
"REM ."
"FILES = 1"
"BUFFERS = 1"

c:\IOBuff4.vxdが存在する場合は、リストされている各ファイルを開いて、以下のデータで置換します。

"*******************************"
" Warning!: The File: (filename)
" Is Damaged. I`m Sorry!"
"*******************************"
" "
"Reinstall Your System..."

この発病ルーチンは、最も大きなダメージを引き起こします。ウイルス作成者は、5つ目のファイル(c:\IOBuff5.vxd)で飽きたか、このファイルは変更または使用するほど重要ではないとみなしたようです。

追加の日付発病ルーチンは、任意の月の14日と28日に文書のプロパティを変更します。どちらかの日付になると、現行の感染文書プロパティは、以下のように変更されます。

Title = "Make The Love!! Not The War !!"
Author = "***< C & A V i r >***"
Keywords = "ALT + , ++, "

この他にもランダムに選択された発病ルーチンが数多くあり、以下のような設定の変更を行います。

オプションの有効または無効
"Check Grammar As You Type"
"Check Spelling As You Type"
"Show Grammatical Errors"
"Show Spelling Errors"

コマンドバーまたはメニューの設定
"Show Large Buttons"
"Display Vertical Scroll Bar"

文書オプション
"Line numbering by 3"

"c:\IOBuff#.vxd"という表示ファイルが存在します。このファイル名の#には、1〜6の数値が入ります。"C:\IODocs.dll"という表示ファイルが存在します。文書のプロパティは、上記のように変更され、ファイルも上記のように置換または削除されます。未感染システム上で感染文書を開くと、マクロ警告機能が無効になります。