製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:E
ウイルス情報
ウイルス情報

ウイルス名
W97M/Evolution.b@mm
種別ウイルス
ファイルサイズ
最小定義ファイル
(最初に検出を確認したバージョン)
4064
対応定義ファイル
(現在必要とされるバージョン)
4064 (現在7593)
対応エンジン4.0.50以降 (現在5600) 
エンジンバージョンの見分け方
別名HTML/Devolve
情報掲載日00/02/28
発見日(米国日付)00/01/20
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法

セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
10/18Generic.dx!E...
10/18RDN/Download...
10/18RDN/Generic....
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7593
 エンジン:5600
 
ウイルス検索
 




これはWord 97/2000の文書とテンプレートに感染する、かなり大きなマクロウイルスです。このウイルスはSR-1以上にアップデートしたWord環境で感染します。Word 97/2000のマクロ警告機能をオフにします。このウイルスはランダムに選択した4つの発病をもち、MS Outlookの電子メールを使って広がります。さらにファイルを削除するという、日付によって動作する発病があります。

マクロ本体のサイズから考えて、このウイルスを検出・駆除するために、AVERTではv4.0.50以上のエンジンのご使用をおすすめしています。

このウイルスは2〜8文字でランダムに名前のついたモジュールで構成されています。また自らのコードをc:\windows\systemフォルダの一時ファイルにエクスポートし、感染プロセス中にこれを使ってソースファイルから新しい宿主にコードを移します。この一時ファイルのファイル名は、ランダムに選択された1〜5文字と1〜999の中の数字で構成されており、拡張子は.CPLです(例:"KYVR921.CPL")。

これはステルス型ウイルスであり、自らの存在を隠すためにマクロ表示コマンドを妨害します。このマクロウイルスにはポリモルフィック(多形)性があり、またサイズが非常に大きなものです。多形性とは自らのコードに簡単な変更を加えると同時に、ウイルスコードの行間にコメント行を挿入するというものです。

このウイルスは、電子メールでの拡散を可能にするためにまず、自らレジストリをチェックし、以下のキーが存在するかどうかを調べます。

"HKEY_CURRENT_USER\Software\Microsoft\Office\"
"W2KM/Revolution...W97M/Revolution"="by Error"

存在しなければ、MS Outlookで電子メールを作成し、それを使用可能な各アドレス帳に登録されている最大75のアドレスに送信します。この電子メールには感染ファイルが添付されており、フォーマットは以下からランダムに選択されます。

(ジョークのメッセージ)
件名="Jokes on Evolution"
本文="Controverial Jokes about Evolution inside!! They start out with...."

(ガンのメッセージ)
件名="New type of Cancer...Evolved??"
本文="Info on the new type of cancer, which can infect anyone, included in the attached
document :-)"

(アダルトのメッセージ)
件名="Free Adult Site Passwords!!"
本文="Free inside attached Document are over 50 Adult Verify Passwords!! Use for your
deepest desires!! Adults Only Please..."

電子メールを送信した後、レジストリが上記の値に改変されます。

このウイルスには、日付によって作動する発病が2つあります。
月にかかわらず5日に、"C:\windows\*.ini"を削除
月にかかわらず26日に"C:\windows\system\*.dll"を削除
さらにランダムに選択される発病が4つ(選択される確率はそれぞれ25%)あります。
#1 - "C:\windows\Control.ini"を改変して、スクリーンセーバを"3DText"の"Revolution"という言葉に設定します。
#2 - HTMLウイルスを作成し、.HTMファイルをすべて感染させます。IEブラウザのスタートページを"DEFAULT1.HTM"ファイルという形で落とし込まれたウイルスに設定します。
#3 - AUTOEXEC.BATを"All things will change..."というメッセージに改変します。
#4 - WindowsのロゴファイルとOS情報の削除を試行します。
以下の重要なファイルを削除します。
"C:\logo.sys"
"C:\windows\logo.sys"
"C:\windows\logos.sys"
"C:\windows\logow.sys"
"C:\io.sys"

マクロコード内のコメント(画面に表示されることはありません)
' W2KM/Revolution .a variant by Error
' aka W97M/Revolution .a variant
' Polymorphic/Stealth/Destructive Word 97/2000/SR-1 (およびそれ以降) Compatable Macro
Virus/Wyrm
' All Things Will Change...
' Polymorphic thanx to Random Arithmetic Polymorphic Engine (RAPE v2.0) by Error
' Add a little Melissa, some Groovie, and a whole lot of Evolution And you get one hell of a Revolution
' ----------------------------------------------