McAfee for Small Businesses

ウイルス名 危険度 W97M/Killpar 企業ユーザ: 低[要注意] 個人ユーザ: 低[要注意] 種別 ウイルス 最小定義ファイル (最初に検出を確認したバージョン) 4116 対応定義ファイル (現在必要とされるバージョン) 4116　（現在7077) 対応エンジン 5.1.00以降　(現在5.4.00)　 エンジンバージョンの見分け方 別名 Macro.Word97.Norver (AVP) W97M/Killboot.A W97M_OPEY.AV (Trend) WM97/Killboot-A (Sophos) 情報掲載日 03/01/08 発見日（米国日付） 02/12/31 駆除補足 ウイルス駆除のヒント 概要 ウイルスの特徴 感染症状 感染方法 駆除方法

セキュリティ情報 最新ウイルス一覧へ >> 最新ウイルス 05/15 ZeroAccess!5... 05/15 VBS/LoveLett... 05/15 RDN/Generic ... 定義ファイル・エンジンの ダウンロード!    定義ファイル：7077  エンジン：5.4.00   ウイルス検索

ウイルスの特徴 TOPに戻る ・W97M/Killparは、以下のメディアの注目を集めたため、危険度を“低〔要注意〕”にしました。 http://www.smh.com.au/articles/2003/01/02/1041196723788.html. ・W97M/Killparは、定義ファイル4116以降を使用するとW97M/Genericとして検出されます。 ・感染ドキュメントが閉じられると、ウイルスはアクティブドキュメントとNORMAL.DOTドキュメントテンプレートに感染します。また、Wordのセキュリティ設定を以下のように改変します。 コンピュータに損害を与える可能性のあるマクロへの警告機能を無効にする。 セキュリティ設定を行うメニューオプションを無効にする。 ・W97M/Killparは、破壊的なトロイの木馬と改変されたAUTOEXEC.BATファイルを落とし込みます。 Autoexec.bat（112バイト） ・W97M/Killparは、新しいAUTOEXEC.BATファイルを落とし込みます（既存のAUTOEXEC.BATファイルを上書きします）。新しいAUTOEXEC.BATファイルは、落とし込んだトロイの木馬（C:\SETVER.EXE）の実行と削除、AUTOEXEC.BATファイルの削除を指示しているだけです。このAutoexec.batファイルは、定義ファイル4241以降を使用するとKillpar.c.batとして検出されます。 Setver.exe （1,085バイト） ・この破壊的なトロイの木馬は、C:\SETVER.EXEというファイル名で落とし込まれ、定義ファイル4241以降を使用するとKillpar.cとして検出されます。 ・Setver.exeはターゲットマシンのマスタブートレコード(MBR)を上書きし、再起動するとMBRは“0”で上書きされます。 以下の症状が見られる場合、このウイルスに感染している可能性があります。 TOPへ戻る ・上記のウイルスが落とし込んだファイルが存在する。 ・再起動できない。 感染方法 TOPへ戻る ・感染ドキュメントが閉じられると、W97M/Killparはアクティブドキュメントとグローバルテンプレート（NORMAL.DOT）に感染する。したがって、一度NORMAL.DOTが感染すると、ドキュメントを閉じると感染するようになる。 ・また、破壊的なトロイの木馬（C:\SETVER.EXEファイル、1,085バイト）を落とし込み、このトロイの木馬の実行を指示するようにAUTOEXEC.BATファイルを上書きする。 駆除方法 TOPへ戻る ■指定のエンジンとウイルス定義ファイルを使用して、検出して下さい。検出されたすべてのファイルを削除してください。 Windows ME/XPでの駆除についての補足