ウイルス情報ウイルス情報| 種別 | ウイルス | | ファイルサイズ | 低 | 最小定義ファイル
(最初に検出を確認したバージョン) | 4064 | 対応定義ファイル
(現在必要とされるバージョン) | 4064 (現在7077) | | 対応エンジン | 4.0.50以降 (現在5.4.00)
エンジンバージョンの見分け方 | | 別名 | HTML/Devolve | | 情報掲載日 | 00/02/28 | | 発見日(米国日付) | 00/01/20 | | 駆除補足 | ウイルス駆除のヒント
| |
|
|
これはWord 97/2000の文書とテンプレートに感染する、かなり大きなマクロウイルスです。このウイルスはSR-1以上にアップデートしたWord環境で感染します。Word 97/2000のマクロ警告機能をオフにします。このウイルスはランダムに選択した4つの発病をもち、MS Outlookの電子メールを使って広がります。さらにファイルを削除するという、日付によって動作する発病があります。
マクロ本体のサイズから考えて、このウイルスを検出・駆除するために、AVERTではv4.0.50以上のエンジンのご使用をおすすめしています。
このウイルスは2〜8文字でランダムに名前のついたモジュールで構成されています。また自らのコードをc:\windows\systemフォルダの一時ファイルにエクスポートし、感染プロセス中にこれを使ってソースファイルから新しい宿主にコードを移します。この一時ファイルのファイル名は、ランダムに選択された1〜5文字と1〜999の中の数字で構成されており、拡張子は.CPLです(例:"KYVR921.CPL")。
これはステルス型ウイルスであり、自らの存在を隠すためにマクロ表示コマンドを妨害します。このマクロウイルスにはポリモルフィック(多形)性があり、またサイズが非常に大きなものです。多形性とは自らのコードに簡単な変更を加えると同時に、ウイルスコードの行間にコメント行を挿入するというものです。
このウイルスは、電子メールでの拡散を可能にするためにまず、自らレジストリをチェックし、以下のキーが存在するかどうかを調べます。
"HKEY_CURRENT_USER\Software\Microsoft\Office\"
"W2KM/Revolution...W97M/Revolution"="by Error"
存在しなければ、MS Outlookで電子メールを作成し、それを使用可能な各アドレス帳に登録されている最大75のアドレスに送信します。この電子メールには感染ファイルが添付されており、フォーマットは以下からランダムに選択されます。
(ジョークのメッセージ)
件名="Jokes on Evolution"
本文="Controverial Jokes about Evolution inside!! They start out with...."
(ガンのメッセージ)
件名="New type of Cancer...Evolved??"
本文="Info on the new type of cancer, which can infect anyone, included in the attached
document :-)"
(アダルトのメッセージ)
件名="Free Adult Site Passwords!!"
本文="Free inside attached Document are over 50 Adult Verify Passwords!! Use for your
deepest desires!! Adults Only Please..."
電子メールを送信した後、レジストリが上記の値に改変されます。
このウイルスには、日付によって作動する発病が2つあります。
月にかかわらず5日に、"C:\windows\*.ini"を削除
月にかかわらず26日に"C:\windows\system\*.dll"を削除
さらにランダムに選択される発病が4つ(選択される確率はそれぞれ25%)あります。
#1 - "C:\windows\Control.ini"を改変して、スクリーンセーバを"3DText"の"Revolution"という言葉に設定します。
#2 - HTMLウイルスを作成し、.HTMファイルをすべて感染させます。IEブラウザのスタートページを"DEFAULT1.HTM"ファイルという形で落とし込まれたウイルスに設定します。
#3 - AUTOEXEC.BATを"All things will change..."というメッセージに改変します。
#4 - WindowsのロゴファイルとOS情報の削除を試行します。
以下の重要なファイルを削除します。
"C:\logo.sys"
"C:\windows\logo.sys"
"C:\windows\logos.sys"
"C:\windows\logow.sys"
"C:\io.sys"
マクロコード内のコメント(画面に表示されることはありません)
' W2KM/Revolution .a variant by Error
' aka W97M/Revolution .a variant
' Polymorphic/Stealth/Destructive Word 97/2000/SR-1 (およびそれ以降) Compatable Macro
Virus/Wyrm
' All Things Will Change...
' Polymorphic thanx to Random Arithmetic Polymorphic Engine (RAPE v2.0) by Error
' Add a little Melissa, some Groovie, and a whole lot of Evolution And you get one hell of a
Revolution
' ----------------------------------------------
