ウイルス情報

ウイルス名

W97M/Nono.A

危険度
対応定義ファイル 4002 (現在7634)
対応エンジン 4.0.25以降 (現在5600) 
エンジンバージョンの見分け方
別名 Hard.Poppy, Nono.a
発見日(米国日付) 98/12/08


新種ウイルスW97M/Nono.Aへの対応のお知らせ(99/02/16)


W97M/Nono.AというWordマクロウイルスが発見され、日本でもすでに被害報告が上がっています。本ページより対応プログラムをダウンロードすれば、検出と駆除が可能です。

ウイルス情報

    W97M/Nono.Aは、1999年2月に初めて"In The Wild(一般普及ウイルス)"としてWildListに掲載された。

    このウイルスは、Word 97文書に感染し、Word 97のマクロウイルス警告機能をオフにする。さらに、WordのNORMAL.DOTファイルに感染する。

    このウイルスは、名前が変わる単純なモジュールで構成されている。このモジュールの名前は、登録ユーザのイニシャルに基いている。また、W97M/Nono.Aは、C:ドライブのルートディレクトリにファイルを作成するが、このファイルも、登録ユーザのイニシャルに基いており、中には、ウイルスのソースコードが収めらている。さらに、ファイルC:\FALSE.BATも作成する。これは、感染したNORMAL.DOTファイルをMS-Office...Startupディレクトリにコピーする単純なバッチファイルである。最後に、W97M/Nono.Aは、ファイルC:\V1.BASを作成することもある。特に、このファイルには、次の文字列が含まれている。

    Attribute VB_Name = "v1"

    システム構成、使用されるWordの特定バージョン(Word 95、Word 97、Word 97-SR1)、および日付のうちの「日」の値と「時刻」の値によって、W97M/Nono.Aは、次のメッセージボックスを表示することがある。

    -Hard.PoppyXX

    Run Animation


    OK

    ユーザが「Yes」を選択すると、アニメーションが実行される。 このアニメーションは、MS-Wordのステータスバーにおける文字列VicodenESのマーキータイプの表示である。

    このアニメーションは通常、MS-Wordのクラッシュを招き、保存していないデータが失われることがある。Wordを終了するには、Ctrl+Alt+Delを1度押し、次に、VicodenES /TNN /CB - "(ここで、filename.docは開いているファイルの名前)というラベルの付いたタスクを選択してから、「終了」を1度クリックする。コンピュータがこの処置に応答するまで、しばらく時間がかかることがあるので、気長に待つ。再び、「待機」または「終了」を選択するように尋ねられたら、「終了」をもう一度クリックする。

エンジン・バージョンの見分け方