ウイルス情報

ウイルス名

W97M/Marker.ae

危険度
対応定義ファイル 4040 (現在7634)
対応エンジン 4.0.25以降 (現在5600) 
エンジンバージョンの見分け方
別名 W97M/Marker.ac
発見日(米国日付) 99/08/01


W97M/Marker.AE ウイルスは、1999年9月に"In The Wild" として初めてワイルド リストに登録された。

W97M/Marker.C や W97M/Marker.D ("Marker" の亜種としてワイルド リストに登録されている)とは、かなり異なったウイルスである。

W97M/Marker.AE は、以下の点を除いては、W97/Marker.O とまったく同一のウイルスである。

  1. W97M/Marker.AE では CommandButton11_Click() がトリガとなり、これが実行されると、アクティブな文書の19ページから46ページが印刷される。

  2. W97M/Marker.AE では CommandButton12_Click() がトリガとなり、これが実行されると、アクティブな文書の47ページから87ページが印刷される。

  3. W97M/Marker.AE ではMain_Click() がトリガとなり、これが実行されると、アクティブな文書の1ページから18ページが印刷される。

W97M/Marker.AE は Word 97 の文書に感染する。Word 97 のマクロ警告機能をオフにする。このウイルスはThisDocument というモジュールで構成される。 W97M/Marker.AE は MS-Word の NORMAL.DOT ファイルに感染する。W97M/Marker.AE に感染すると、文書のプロパティのうち、タイトルを"Are You suprised ? [sic]"に、サブタイトルを "Birthday"に、作成者を"LSK"に、分類を"You are Infected"に、キーワードを"Birthday"に、コメントを"Shankar's Birthday falls on the 25th July. Don't Forget to wish him"に改変する。

たとえ VirusScan でウイルスの駆除をおこなったとしても、改変前の状態がわからないため、改変された箇所はもとに戻らない。もとに戻すには、その文書を開き、[ファイル] → [プロパティ]を選択する。 W97M/Marker.AE には、そのコードの中に次の文字列を含む(しかし画面上には一切表示されない)。

":-D you are marked!"

文書を閉じる際に、「月」が7月で、「日」が23日以上の場合(つまり7月23日から31日の場合)、以下のメッセージ ボックスを表示する。

-Microsoft WordX

Did You Wish Shankar on his Birthday ?


OK

感染した文書をオープンした際も、上記と同じメッセージ ボックスが表示される。しかし以下の画面はその文書を閉じる時にのみ表示される。

ユーザーが"Yes"をクリックすると、以下のメッセージが表示される。

-Microsoft WordX

Thank You! I Love You. You are wonderfull.


OK

"No"をクリックすると、以下のメッセージが表示される。

-Microsoft WordX

You are Heart Less.You Will Be Punished For This


OK

新規文書の作成時に、ある動画が画面上に現れる。この動画は、ブロック体で大きく"Happy Birthday Shankar"と書かれたものであるが、フォント サイズが非常に大きい(72pt)ため、低解像度の画面には "Happy"しか表示されず、後の部分は画面をスクロールしなければ表示されない。このメッセージは、火花が散ったような背景に、緑色の文字で書かれている。