ウイルス情報

ウイルス名

W97M/Marker.ee

種別 ウイルス
ファイルサイズ
最小定義ファイル
(最初に検出を確認したバージョン)
4083
対応定義ファイル
(現在必要とされるバージョン)
4083 (現在7634)
対応エンジン 4.0.70以降 (現在5600) 
エンジンバージョンの見分け方
別名 Surveyor
情報掲載日 00/07/13
発見日(米国日付) 00/06/12
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法


W97M/Marker.eeは、Word97/2000の文書に感染するクラスモジュールマクロウイルスです。このウイルスには、ダメージを引き起こす発病ルーチンはありませんが、メッセージボックスを表示する、日付起動型の発病ルーチンがあります。W97M/Marker.eeは、ホストシステム上でマクロ警告機能の設定レベルを下げます。

このウイルスは、ウイルスのソースコードを含む一時ファイルをC:ドライブのルートに書き込み、そのファイルを新しいホスト文書に転送します。

8月15日になると、次のメッセージが表示されます。

'Independence Day'
'Today is Independence day.' 'Vandhay Matharam!'
[OK]

このウイルスは、ユーザ情報をファイルに書き込み、FTPを介してそのファイルをFTPアカウントに送信します。収集される情報は、次のとおりです。

'Name: [UserName]'
'Address: [UserAddress]'
'Date & Time: [dddd, d mmm yyyy hh:mm:ss AMPM]'
'Processor Type: [ProcessorType]'
'Free Disk Space: [FreeDiskSpace]'

情報は、'システム変数'、または予約されている変数名を使用できる値を使って収集されます。

この情報は、'su7892.sys'などのランダムなファイル名で、C:ドライブのルートにあるファイルに保存されます。スクリプトファイルは、'netacc.vxd'という名前で作成され、 ftpアカウント情報(ウイルス作成者など)が含まれます。このウイルスは、シェルプロセスを実行して、情報ファイルをftpアカウントに送信します。アカウント名は'surveyor'で、home.fiberia.comにあります。

ウイルスコードのソースには、次のコメントが存在します。
' Surveyor, Developed by:
' An MCA Student
' School Of Technology And Applied Sciences
' Mahatham Gandhi University Regional Center
' Edappally, Kochi 24
' 16th March 2000

C:ドライブのルートに'netacc.vxd'ファイルが存在します。8月15日になると、上記のようなメッセージボックスが表示されます。マクロ警告オプションが有効な状態で感染文書を開くと、マクロ警告が機能します。