製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:F
ウイルス情報
ウイルス情報

ウイルス名
W97M/Fool.k
種別ウイルス
ファイルサイズ
最小定義ファイル
(最初に検出を確認したバージョン)
4096
対応定義ファイル
(現在必要とされるバージョン)
4096 (現在7401)
対応エンジン (現在5600) 
エンジンバージョンの見分け方
別名W97M/Fool.bat, W97M/Fool.ini, W97M/Fool.src, W97M/Fool.vbs
情報掲載日00/09/21
発見日(米国日付)00/09/14
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法

セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
03/31RDN/Generic....
03/31StartPage-NY...
03/31PWS-Banker.g...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7401
 エンジン:5600
 
ウイルス検索
 




  • W97M/Fool.kは、Word 97を対象としている、ポリモアフィック型マクロウイルスです。

  • このウイルスには、Windows Scripting Hostコンポーネントが含まれます。

  • 感染文書には、"Init"というマクロが含まれます。

  • 感染ファイルを開くと、このウイルスはハードディスクに次の2つのファイルを落とし込みます。
    C:\WINDOWS\SYSTEM\INIT.VBS
    C:\WINDOWS\INIT.DRV

  • 次のラインがC:\AUTOEXEC.BATファイルの最後に追加されます。
    ECHO OFF
    CLS
    ECHO OAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA・
    ECHO o ***************************************** o
    ECHO o * FOV DJ * o
    ECHO o ***************************************** o
    ECHO o FOV DJ wishes to thank the user o
    ECHO o of this computer because you have o
    ECHO o helped to spread the good words of peace! o
    ECHO o ## FOV DJ ## o
    ECHO OAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA1/2
    CLS

  • 次の値がレジストリに書き込まれます。
    HKLM\Software\McAfee\Scan95\ DAT=Just for FUN by FOV
    HKLM\Software\McAfee\Scan95\ DATFile=No need Anti Virus
    HKLM\Software\McAfee\virusscan\ DAT=Don't Underestimate Me
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ init=C:\Windows\System\init.vbs

  • 何分経過したかにかかわらず、50秒を過ぎると、ウイルスのコピーがC:\MIRC\DOWNLOAD\IRC-Rules.docに書き込まれ、このファイルがmIRCを経由して配信されるように、C:\MIRC\SCRIPT.INIが改変されます。

  • このウイルスは、次のファイルを削除しようとします。
    C:\Program Files\AntiViral Toolkit Pro\*.*
    C:\Program Files\Command Software\F-PROT95\*.*
    C:\Program Files\FindVirus\*.*
    C:\Toolkit\FindVirus\*.*
    C:\Program Files\Quick Heal\*.*
    C:\Program Files\McAfee\VirusScan\*.*
    C:\Program Files\Norton AntiVirus\*.*
    C:\TBAVW95\*.*
    C:\VS95\*.*

  • このウイルスは、次のメッセージをランダムに表示します。
    "SkRiPsI is SuCK"

  • 1月、2月、3月、4月、5月、6月、12月になると、開いているWord文書の中身が消去されます。

  • 11月5日には、次のメッセージが表示されます。
    "Happynes to all of you"

  • [ヘルプ]→[バージョン情報]を選択すると、次のメッセージが表示されます。
    "Peace Words
    Welcome to my world
    Please enjoy your time
    BEFORE YOUR DIE"

  • [ツール]→[マクロ]を選択すると、次のメッセージが表示されます。
    "This message is displayed
    Macro Function is not active
    Never use IT"

  • [OK]をクリックすると、CD-ROMドライブの挿入口が開閉して、次のメッセージが表示されます。
    "Did you enjoy your time?
    Don't do it again OK!"

  • もう一度[OK]をクリックすると、この動作が15回繰り返されます (ドライブにCDが挿入されていない場合は自動的に行われます)

  • [ツール]→[オプション]をクリックすると、Wordのマクロウイルス保護機能がオフになります。

  • [ファイル]→[閉じる]を選択すると、次のような現象が起きます。

  • コンピュータの使用者として登録されている名前が、"FOV"に変更されます。

  • 次のメッセージが表示されます。
    "Please Turn-off your computer
    Don't Click bellow"

  • [OK]ボタンをクリックすると、次のファイルが削除されます。
    C:\windows\command\*.*
    C:\*.*
    C:\progra~1\*.*

  • 次のメッセージが表示されます。
    "You aren't obey my order
    May the God Bless You"