ウイルス情報

ウイルス名

W97M/Ozwer.A

危険度
対応定義ファイル 4035 (現在7633)
対応エンジン  (現在5600) 
エンジンバージョンの見分け方
発見日(米国日付) 99/06/01


  • W97M/Ozwer.A ウイルスは、"In the Wild" として1999年9月に初めてワイルドリストに登録されました。

  • W97M/Ozwer.A は Word 97 の文書に感染します。ThisDocument と ozwer というモジュールで構成され、[ツール]→[マクロ] Userform に似た、oswf という名前の Userform を持ちます。このウイルスには、ポップダウン メニューで[ツール]→[マクロ]が選択されるとこの Userform を表示させるコードが含まれていますが、ウイルスがすでにポップダウン メニューの[ツール]→[マクロ]を無効にしてしまっているため、Userform が表示されることはありません。

  • W97M/Ozwer.A は Word 97 の SR-1 リリースで自己複製することはできません。また、Word97のSR-1リリースあるいは以降のリリースにアップグレードすれば繁殖を停止することができます。

  • Word 97 のマクロ警告機能をオフにします。このマクロ ウイルスは Word の NORMAL.DOT ファイルに感染します。

  • W97M/Ozwer.A は複数の文書に何度も感染します。またシステム イベント(AutoOpen、AutoClose、FormatFont、FilePrint、FileSaveAs、FileSave、FileClose、FileNew、EditCopy、EditPaste)をフックします。

  • W97M/Ozwer.A は[表示]→[ツールバー]、[ツール]→[マクロ]、[ツール]→[テンプレートとアドイン]、[ツール]→[ユーザ設定]を無効にします。

  • W97M/Ozwer.A に感染すると、次のような現象がおきます。

    1. Alt+F11 (Visual Basic Editor を起動させるためのショートカット) で、次のメッセージ ボックスが表示されます。

      一見、正規のメッセージ ボックスですが、その指示に従って操作すると、オープン/チェックした文書が感染してしまうので注意してください。

      上記のメッセージ ボックスは、使用中の MS-Word の言語の種類に応じて翻訳されます。例えばスペイン語の場合は以下のように表示されます。

    2. W97M/Ozwer.A は、アプリケーションの表題を次のように改変します。 ° Microsoft Word

    3. W97M/Ozwer.A は[ツール]→[オプション]を有効にします。[ツール]→[オプション]を選択すると、通常の場合、使用可能なオプションのタブが同時に表示されます。しかし、7つのうち1つしか表示されなくなります。表示されるオプション タブは、無作為に決定されてしまいます。

    4. このウイルスには、文書中の語句を無作為に入れ替えるコードが存在します。このルーチンは、ある文書が開かれた後、20分後に開始されます。また、このルーチンは WordBasic のマクロコードから上位変換されているように見えます。ロジックのエラーが原因で、このルーチンが故意にアクションを起こすことはできません。