ウイルス情報

ウイルス名

W97M/Mck.e

危険度
対応定義ファイル 4054 (現在7628)
対応エンジン  (現在5600) 
エンジンバージョンの見分け方
発見日(米国日付) 99/11/12


これは Word 97 の文書に感染するウイルスである。Word 97 の SR-1 リリースでは自己複製できない。Word 97 のマクロ警告機能をオフにする。このウイルスは"Halimaw"というモジュールで構成される。ウイルス作成キットを使用して作成されたウイルスであり、ポリモルフィック性をもつ。

このウイルスは、Word 97を開くというシステムイベントを、サブルーチン"autoexec"でフックし、これによりコードを発動させる。この他、"autoopen"、"autonew"、"filesave"、"filesaveas"、"fileclose"のシステムイベントがフックされる。Word97 で同じメニュー アイテムの使用を試みると、このマクロ コードのルーチンが作動する。

分の値が1から30までの間に、感染した文書を開き、マクロ ウイルスを動作させると、発病ルーチンが"SELECTALL/CUT"を用いて文書全体のテキストを削除する。つまり、文書はまだ"クリップボード"に存在するため、メニューの[編集]→[貼り付け] あるいは CTRL-V で元に戻すことが可能。

文書のプロパティが以下の値に改変される。
作成者 = "Lucky Warrior"
キーワード = "W97M/Halimaw"
コメント = "Anti Government Corrupt Officials"

このウイルスは20日に、MS-DOS のシェルに"deltree"コマンドを発行することでファイルとフォルダの削除を試みる。

以下の症状があった場合は、本ウイルスに感染している恐れがある。 感染文書を開いた際のマクロ警告。グローバルテンプレートのサイズの増加。文書全体の“削除”(上記参照)。