ウイルス情報

ウイルス名

W97M/Heathen.A

危険度
対応定義ファイル 4031 (現在7634)
対応エンジン 4.0.25以降 (現在5600) 
エンジンバージョンの見分け方
別名 Heathen, W97M.Heathen.12288.A, Win32.Heathen
発見日(米国日付) 99/06/08


新種ウイルスW97M/Heathen.A への対応のお知らせ(99/06/24)


W97M/Heathen.Aという悪質な新種ウイルスが発見されました。このウイルスはWord97に感染すると同時にエクスプローラのファイルも改変します。この場合、エクスプローラが起動するたびにWordファイルにウイルスが感染します。つまりWordを起動しなくても、エクスプローラを起動するだけでWordが汚染されます。なお、このウイルスはまだ日本では報告されていません(弊社調べ)。

ウイルス情報

    Word97とPE実行ファイルに感染するウイルスです。alt.binaries.sex.bondageおよびcomp.os.ms-windows.apps.misc というニューズグループで発見されました。このウイルスはAUTO_OPENマクロを使用し、感染文書をオープンした時に発動します。このウイルスのWord 97の部分では、32ビットコードが実行され、これにより、HEATHEN.VDL (DLL) および HEATHEN.VDO (OLE2 VBA holder)がC:\WINDOWSに作成されます。さらにEXPLORER.EXE(エクスプローラ)が、前述のHEATHEN.VDLを実行するように改変されます。

    これ以後エクスプローラを起動すると、Wordファイル(.DOCまたは.DOT)にウイルスが感染します。また、感染Wordファイルの中の、ウイルスVBAプロジェクト(NewMacros)にはパスワード保護がかかっています。

対処方法

    注:
    このウイルスを完全に駆除するには、感染Word文書からのウイルス駆除のほかに、以下の作業が必要です。
    1. 改変されたExplorer.exeを、WindowsのインストールCD-ROMに入っているバックアップファイルなどで上書きする。

    2. WindowsディレクトリからHEATHEN.VDL とHEATHEN.VDO を削除する。