ウイルス情報

ウイルス名

W97M/Jany.a

危険度
対応定義ファイル 4045 (現在7634)
対応エンジン  (現在5600) 
エンジンバージョンの見分け方
発見日(米国日付) 99/11/14


新種ウイルス W97M/Jany.aについて(99/12/24)

新種ウイルスW97M/Jany.aについてお知らせいたします。このウイルスは、毎月1日、2日にメッセージボックスを表示します。12/31日には2000年を揶揄するメッセージを表示します。なおこのウイルスは現在のところ日本での被害報告はありません(弊社調べ)


ウイルス情報

W97M/Jany.aは Word 97 の文書に感染するウイルスです。Word 97 の SR-1 リリースでも自己複製が可能です。Word 97 のマクロ警告機能をオフにします。このウイルスは"Jany_2000"というモジュールで構成されています。mIRC と Pirch を実行し、改変されたスクリプトを使ってインターネットに接続した後、チャンネルにログインし、その際、ウイルス感染文書を送信します。このウイルスはまた、特定の日にメッセージ ボックスを表示させます。また、Visual Basic のソースコードを一時ファイルC:\JANY2000.DLLにエクスポートし、事後の感染ルーチンを発動させる際にそのファイルを使用します。。感染ルーチンではそのコードが文書やグローバル テンプレートにインポートされます。

このウイルスは、Word 97をオープンするというシステムイベントを、サブルーチン"autoopen"でフックし、これによりコードを発動させます。この他"autoclose"と"autonew"がフックされます。Word97 でそうしたメニュー アイテムを使おうとした場合、このマクロ コードのルーチンが作動します。またマクロコードの表示を試みた場合、"No code too see!" (タイプミス)と書かれたメッセージ ボックスが表示されます。 ウイルスの内部のコメントが表示されることはありません。

'V_Name = [JANY2000]
'Author = [Del_Armg0]
'Date = [14nov99]
'Type = [W97MacroVirus/Mirc_Pirch_Worm/NoDestructor!/AndAlwaysForAGirl;)]
'GreetZ = [Jany, Secret aka Stram ! ;), Phage, all_on_#vxtrader&vx-vtc, Fa, Elsa, Soph&Franck, &marie42_]
'Disclaim=[JE L'AIME TOUTE ENTIERE... SIMPLEMENT]

グローバル テンプレートへの感染が完了すると、その時点でアクティブな文書が別の名前("Jany_is_cute.doc"、"Jany_is_Sweet.doc"、"Jany2000.doc"、"PASSWORDS.doc")で C:\WINDOWS に保存されます。

また、"c:\mirc\script.ini"、c:\pirch32\events.ini"、"c:\pirch98\events.ini"というスクリプト ファイルがローカルマシンに書き込まれます。

mIRC のチャンネルにログオンすると、"C:\WINDOWS\Jany_is_cute.doc"と"C:\WINDOWS\Jany_is_Sweet.doc"の2つがそのチャンネルの全ユーザに"Jany2000 HI!!! Une Jany Virtuelle, c deja ca!!! ;)"というメッセージとともに送信されます。

Pirch チャンネルにログオンすると、"C:\WINDOWS\Jany2000.doc"と"C:\WINDOWS\PASSWORDS.DOC"の2つがそのチャンネルの全ユーザに"A Del_Armg0 Ripped! Script 4 Jany"というメッセージとともに送信されます。

以下に、ウイルスにより表示されるメッセージ ボックスを示します。なお、31日に発せられる警告はデマであり、コンピュータへのダメージは発生しません。

  • 毎月1日

    "Lorsque tout me ravit, J'ignore"
    "Si quelque chose me seduit."
    "Elle eblouit comme l'Aurore"
    "Et console comme la Nuit;"

  • 毎月2日

    "Et l'harmonie est trop exquise,"
    "Qui gouverne tout son beau corps,"
    "Pour que l'impuissante analyse"
    "En note les nombreux accords."

  • 毎月31日

    "U're going now to be Destroyed ! Sorry, but if u ShutDown, u won't restart, believe me ! ; )"
    "But U can Do one Thing... if u're able to save 25 .doc in 1 minutes, i leave u alone... almost... C u :) hehehe ... Del_ !"

  • 毎月14日

    "Pire que tout l'Amour-Propre et la Fierte,... Mais l'Amour reste Pur, Sage & Eternel... La Vie n'en est pas moins dure... 1000BaiserS a toi... & Happy St Valentin a vous toutes que j'Aime tant",
    "Fa_luv_U"

  • 毎月15日

    "Et l'harmonie est trop exquise Qui gouverne tout son beau corps, Pour que l'impuissante analyse En note les nombreux accords."

  • 11月8日

    。 "Lorsque tout me ravit, J'ignore"
    "Si quelque chose me seduit."
    "Elle eblouit comme l'Aurore"
    "Et console comme la Nuit;"

  • 12月31日

    "WAAA!!! YEAR2000 Tomorrow!!! Great no?? I Guess yes!!! Et je te souhaite que ces annees 2000 soient fastes, heureuses, et pleines de surprises cools ; ) Bises!!!"

以下の症状があった場合は、本ウイルスに感染している恐れがある。

  • 感染文書を開いた際のマクロ警告。
  • グローバルテンプレートのサイズの増加。
  • .ini ファイルの作成あるいは改変(上記参照)。メッセージ ボックスの表示(上記参照)。

対処方法

エンジンバージョン4以上の場合
v.4.0.25以降のエンジンに、最新のDATファイルを組み合わせれば検出と駆除が可能です。

注:

エンジンバージョンv.4.0.25以降:

  • VirusScan 3x 4.0.2b
  • VirusScan 9x 4.0.3
  • VirusScan NT 4.0.3b
  • Netshield NT 4.0.3b
  • NetShield for NetWare 4.1.0
  • Groupshield Exchange 4.0.3
  • Groupshield Notes 4.0.2
  • WebShield SMTP 4.0.3.1
  • WebShieldX Proxy 4.0.3
  • 検出、駆除が可能

    エンジンバージョンの見分け方

    DATファイルのダウンロード

    * Ver3 DATでは対応していません。