ウイルス情報

ウイルス名 危険度

W97M/Ethan.b

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
対応定義ファイル
(現在必要とされるバージョン)
4015 (現在7633)
対応エンジン 4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
発見日(米国日付) 99/01/01
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法


W97M/Ethan.bウイルスは、1999年8月に初めて"In The Wild(一般普及ウイルス)"としてWildListに掲載された。

このウイルスは、Word 97文書に感染する。ThisDocumentというモジュールで構成されている。また、Word 97のマクロ警告機能をオフにして、WordのNORMAL.DOTファイルに感染する。

W97M/Ethan.Bは、文書プロパティの作成者を"EW/LN/CB"に、タイトルを"Ethan Frome"に、また、キーワードを"Ethan"に変更する。これらの変更について、VirusScanでは、変更前の状態を知る手段がないため、クリーニング時に元に戻ることはない。元に戻すには、当該の文書を開いてから[ファイル]と[プロパティ]を順に選択する。

このウイルスは、C:\ETHAN.___を作成し、C:\CLASS.SYSを削除する。C:\EHTAN.___は、隠し属性またはシステム属性によってマーク付けされた、W97M/Ethan.BウイルスのVisual Basicソースコードである。

このウイルスは、自己診断として、ThisDocument内の最初のマクロの名前に"Private Sub Document_Close()"を探す。"Private Sub Document_Close()"が最初のマクロとしてすでに存在する文書は、このウイルスに免疫がある。

このウイルスが、すでに"Private Sub Document_Close()"というマクロ(最初のマクロとしてではなく)を持つ文書に感染しようとする場合に、その文書を閉じると、MS Visual Basicの警告メッセージ"Compile Error: Ambiguous name detected: Document_Close"が表示される。新しい[ウイルス] Document_Closeマクロは、既存のマクロコードのいずれにも、その先頭に付加されるので(これによって、オリジナルのDocument_Closeは無効になる)、このエラーが発生しても、ウイルスの自己複製は阻止できない。

  • スクリプト、バッチ、マクロ、非メモリ常駐型:
    検出・駆除には現在のエンジンと定義ファイルを使用してください。

  • PE、トロイの木馬、インターネットワーム、メモリ常駐型:
    検出には対応したエンジンと定義ファイルを使用してください。駆除には、MS-DOS モードまたは、起動ディスクを使用して起動し、command line scanner:SCANPM /ADL /CLEAN /ALL を使用してください。

SCANPM /ADL /CLEAN /ALL

 Additional Windows ME/XP removal considerations

AVERT推薦アップデート