ウイルス情報

ウイルス名

W97M/Ethan.q

危険度
対応定義ファイル 4043 (現在7633)
対応エンジン 4.0.25以降 (現在5600) 
エンジンバージョンの見分け方
発見日(米国日付) 99/01/01


W97M/Ethan.Q ウイルスは、"In The Wild"として1999年9月に初めて、ワイルドリストに登録された。W97M/Ethan.q は、以下の点を除けば、実質的には W97M/Ethan.a と同一である。

  1. W97M/Ethan.q は、C:\ETHAN.___ ではなくC:\MWENCEK.___ファイルを作成する。

  2. W97M/Ethan.q は、文書プロパティのうち、“タイトル”を EW/LN/CB ではなく、Mark L. Wencek に改変する。

  3. W97M/Ethan.q は、文書プロパティのうち、“作成者”を EW/LN/CB ではなく、Mark L. Wencek に改変する。

  4. W97M/Ethan.q は、文書プロパティのうち、“キーワード”を Ethan Frome ではなく、CHASE に改変する。

このウイルスは、Word 97 の文書に感染する。ThisDocument というモジュールで構成される。W97M/Ethan.q は、Word 97 のマクロ警告機能をオフにし、Word の NORMAL.DOT ファイルに感染する。

W97M/Ethan.q は、文書プロパティのうち、作成者を"Mark L. Wencek"に、タイトルを"Mark L. Wencek"に、キーワードを"CHASE"にそれぞれ改変する。これらの変更点は、ウイルスを駆除しても、VirusScan では改変前の名前がわからないため、元にもどすことはできない。もとに戻すには、その文書を開き、[ファイル]→[プロパティ]を選択して修正する。

このウイルスは、C:\MWENCEK.___ を作成し、C:\CLASS.SYS を削除する。 C:\MWENCEK.___ には、隠し/システム属性が付けられている。これはW97M/Ethan.q のVisual Basic のソースコードである。