ウイルス情報

ウイルス名 危険度

W97M/Killpar

企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4116
対応定義ファイル
(現在必要とされるバージョン)
4116 (現在7628)
対応エンジン 5.1.00以降 (現在5600) 
エンジンバージョンの見分け方
別名 Macro.Word97.Norver (AVP)
W97M/Killboot.A
W97M_OPEY.AV (Trend)
WM97/Killboot-A (Sophos)
情報掲載日 03/01/08
発見日(米国日付) 02/12/31
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

TOPへ戻る

ウイルスの特徴

・W97M/Killparは、以下のメディアの注目を集めたため、危険度を“低〔要注意〕”にしました。

http://www.smh.com.au/articles/2003/01/02/1041196723788.html.

・W97M/Killparは、定義ファイル4116以降を使用するとW97M/Genericとして検出されます。

・感染ドキュメントが閉じられると、ウイルスはアクティブドキュメントとNORMAL.DOTドキュメントテンプレートに感染します。また、Wordのセキュリティ設定を以下のように改変します。

  • コンピュータに損害を与える可能性のあるマクロへの警告機能を無効にする。
  • セキュリティ設定を行うメニューオプションを無効にする。

・W97M/Killparは、破壊的なトロイの木馬と改変されたAUTOEXEC.BATファイルを落とし込みます。

Autoexec.bat(112バイト)

・W97M/Killparは、新しいAUTOEXEC.BATファイルを落とし込みます(既存のAUTOEXEC.BATファイルを上書きします)。新しいAUTOEXEC.BATファイルは、落とし込んだトロイの木馬(C:\SETVER.EXE)の実行と削除、AUTOEXEC.BATファイルの削除を指示しているだけです。このAutoexec.batファイルは、定義ファイル4241以降を使用するとKillpar.c.batとして検出されます。

Setver.exe (1,085バイト)

・この破壊的なトロイの木馬は、C:\SETVER.EXEというファイル名で落とし込まれ、定義ファイル4241以降を使用するとKillpar.cとして検出されます。

・Setver.exeはターゲットマシンのマスタブートレコード(MBR)を上書きし、再起動するとMBRは“0”で上書きされます。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・上記のウイルスが落とし込んだファイルが存在する。

・再起動できない。

TOPへ戻る

感染方法

・感染ドキュメントが閉じられると、W97M/Killparはアクティブドキュメントとグローバルテンプレート(NORMAL.DOT)に感染する。したがって、一度NORMAL.DOTが感染すると、ドキュメントを閉じると感染するようになる。

・また、破壊的なトロイの木馬(C:\SETVER.EXEファイル、1,085バイト)を落とし込み、このトロイの木馬の実行を指示するようにAUTOEXEC.BATファイルを上書きする。

TOPへ戻る

駆除方法

■指定のエンジンとウイルス定義ファイルを使用して、検出して下さい。検出されたすべてのファイルを削除してください。

Windows ME/XPでの駆除についての補足

TOPへ戻る