ウイルス情報

ウイルス名

W97M/Lenni

種別 ウイルス
ファイルサイズ
最小定義ファイル
(最初に検出を確認したバージョン)
4068
対応定義ファイル
(現在必要とされるバージョン)
4068 (現在7659)
対応エンジン 4.0.25以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日 00/03/14
発見日(米国日付) 00/02/24
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法


W97M/Lenniは、クラスモジュールマクロウイルスで、この発病ルーチンは特定の日になると起動して、ハードドライブをフォーマットします。このウイルスは、Word97の文書とテンプレートに感染します。また、SR1またはそれ以上に更新されたWord97環境にも感染します。

W97M/Lenniは、通常"ThisDocument"という最初のVisual Basic Project文書ストリーム内に存在しますが、この名前を使ってバイパスするには、プロジェクト参照機能を使用します。あとで"ThisDocument"は、感染文書内で"Millenium"に変更されます。

このウイルスは、自身のソースコードを"c:\config.win"のようなC:ドライブにあるファイル内に保存します。次に、ソースコードをホスト文書に転送します。config.winファイルは非表示ファイルで、ソースコードはオフセットアルゴリズムによって暗号化されます。

このウイルスは、ステルステクニックを使用しているため、Visual Basic Editorの手動チェック機能では検出されないようになっています。感染文書には、エディタへのコールを遮断するサブルーチンが存在し、以下の情報といっしょに、偽のエラーメッセージを表示します。

"Microsoft Word"
"Microsoft Visual Basic Error in components MsVbRun32.dll."

このウイルスには、2000年中に発病ルーチンが起動する日がいくつか設定されています。日付が以下のいずれかになると、"format c: /u"命令のシェル実行が行われます。

1月1日
1月10日
1月20日
4月1日
8月4日
10月31日

この後に、次のメッセージといっしょにメッセージボックスが表示されます。

"-= MILLENNIUM VIRUS =-"
"Alert..!! Your Pc have a serious problem with the Year 2000"

c:\config.win"ファイルが存在します。未感染システム上で感染文書を開くと、マクロ警告機能は無効になります。極端な場合、前述の日付になると、このウイルスはシステムをフォーマットします。システムがフォーマットされた場合は、完全なシステム回復を行わなければなりません。