ウイルス情報

ウイルス名

WM/NOMVIR.A;B

危険度
対応定義ファイル 4002 (現在7633)
対応エンジン  (現在5600) 
エンジンバージョンの見分け方
亜種 NOMVIR.B, WM/NOMVIR.A, WM/NOMVIR.B
発見日(米国日付) 97/04/01


Word Version6.x/7.x(Windows版、Macintosh版)で作動するマクロウイルスである。感染ファイルの構成マクロはAUTOEXEC, AUTONEW, AUTOOPEN, DATEISPEICHERN, DATEISPEICHERNUNTER, DATEIBEENDEN, EXTRASMAKRO, DATEIDOKVORLAGEN, FUCKIT, DATEIDRUCKENである。自動マクロ、システムマクロを使って発動するウイルスである。繁殖機能はドイツ語版のWordでのみ有効。ただし発病は他の言語のWordでも有効。マクロはいずれもWord標準機能「実行のみ可能」で暗号化されている。つまりユーザーはウイルスマクロを表示することも編集することもできない。

感染システムではFILE|TEMPLATEとTOOLS|MACROが隠蔽される。(注!これらのコマンドを使わないように。そのタイミングでウイルスが発動する)。

またWIN.INIの"INTL|lCOUNT="エントリが操作され、文書の印刷回数がカウントされる。またデバッグプロセス用に"COMPATIBILITY|NOMVIR ="エントリも操作される。

Word終了時には、6回に1回の確率で、FILE|SAVEASのパスワードが'gATes?'にセットされる(?はランダムに算出された文字)

文書保存時に、上記のカウンタが10または20に達していた場合は、C:\AUTOEXEC.BATとC:¥CONFIG.SYSを削除する。

偶数日の9PM以降に文書を保存した場合、以下の文字列が挿入される。'F*** Microsoft & Bill Gates'(訳省略)

毎月23日、12月25日、1月1日、および13日の金曜日には、Windows95のC:\WINDOWSディレクトリのUser.da0, Systemda0, User.dat,System.datを削除する。

亜種Bは一部破損している。