W97M/Lenni | ウイルス情報

Home → セキュリティ情報 → ウイルス情報：L

ウイルス情報

ウイルス名
W97M/Lenni
種別ウイルス
ファイルサイズ低
最小定義ファイル
(最初に検出を確認したバージョン) 4068
対応定義ファイル
(現在必要とされるバージョン) 4068　（現在7080)
対応エンジン 4.0.25以降　(現在5.4.00)　
エンジンバージョンの見分け方
情報掲載日 00/03/14
発見日（米国日付） 00/02/24
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法


	最新ウイルス

W97M/Lenniは、クラスモジュールマクロウイルスで、この発病ルーチンは特定の日になると起動して、ハードドライブをフォーマットします。このウイルスは、Word97の文書とテンプレートに感染します。また、SR1またはそれ以上に更新されたWord97環境にも感染します。

W97M/Lenniは、通常"ThisDocument"という最初のVisual Basic Project文書ストリーム内に存在しますが、この名前を使ってバイパスするには、プロジェクト参照機能を使用します。あとで"ThisDocument"は、感染文書内で"Millenium"に変更されます。

このウイルスは、自身のソースコードを"c:\config.win"のようなC:ドライブにあるファイル内に保存します。次に、ソースコードをホスト文書に転送します。config.winファイルは非表示ファイルで、ソースコードはオフセットアルゴリズムによって暗号化されます。

このウイルスは、ステルステクニックを使用しているため、Visual Basic Editorの手動チェック機能では検出されないようになっています。感染文書には、エディタへのコールを遮断するサブルーチンが存在し、以下の情報といっしょに、偽のエラーメッセージを表示します。

"Microsoft Word"
"Microsoft Visual Basic Error in components MsVbRun32.dll."

このウイルスには、2000年中に発病ルーチンが起動する日がいくつか設定されています。日付が以下のいずれかになると、"format c: /u"命令のシェル実行が行われます。

1月1日
1月10日
1月20日
4月1日
8月4日
10月31日

この後に、次のメッセージといっしょにメッセージボックスが表示されます。

"-= MILLENNIUM VIRUS =-"
"Alert..!! Your Pc have a serious problem with the Year 2000"

c:\config.win"ファイルが存在します。未感染システム上で感染文書を開くと、マクロ警告機能は無効になります。極端な場合、前述の日付になると、このウイルスはシステムをフォーマットします。システムがフォーマットされた場合は、完全なシステム回復を行わなければなりません。

McAfee for Small Businesses