製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:O
ウイルス情報
ウイルス名危険度
W97M/Opey.bg
企業ユーザ: Low
個人ユーザ: Low
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4247
対応定義ファイル
(現在必要とされるバージョン)
4250 (現在7565)
対応エンジン4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
別名W97M.Hopel.A (NAV)
情報掲載日03/02/28
発見日(米国日付)03/02/05
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
09/17RDN/BackDoor...
09/17DNSChanger.b...
09/17RDN/Generic....
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7565
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

・このウイルスは、W97M/Opey.bgとして検出されます。単一のモジュール“Pukka”(部分的に暗号化されています)で構成されており、「ツール/マクロ」、「ツール/Visual Basic Editor」およびマクロ警告機能を無効にします。ハードコード化されたディレクトリに“C:\WINDOWS\COMMAND\nt.txt”として自身を保存したり、autoexcec.batファイルを改変し、C:\WINDOWS\COMMAND\t.batファイルとC:\windows\command\tmp.batファイルをドロップ(作成)することもあります。

・2002年11月1日以降に「ツール/オプション/ユーザー情報」を以下のように改変します。

  • 名前 = PUKKA
  • 頭文字 =^^^
  • 住所 = PHILIPPINES
  • ・「ファイル/プロパティ/ファイルの概要」も以下のように改変します。

  • 作成者 = PUKKA
  • キーワード = HOPELOSJAVSI
  • ・印刷とページの設定のオプション、および「ツール/オプション」も改変します。

    ・「ヘルプ/バージョン情報」では、次のメッセージを表示します。

    ・W97M/Opey.bgには、さまざまな発病ルーチンがあります。任意の日に以下のレジストリを改変します。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion, "RegisteredOrganization" = "HOPELOSJAVSI"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion, "RegisteredOwner" = "PUK
  • KA"

    ・10月21日には、以下のレジストリを改変します。

  • HKEY_USERS\.Default\Control Panel\International, "s1159" = "PUKKA"
  • HKEY_USERS\.Default\Control Panel\International, "s2359" = "PUKKA"
  • HKEY_USERS\.Default\Control Panel\International, "s1159" = "AM"
  • HKEY_USERS\.Default\Control Panel\International, "s2359" = "PM"
  • ・W97M/Opey.bgは、発病する任意の日の曜日によっても異なる発病ルーチンを実行します。該当する曜日の以下の発病ルーチンの1つ以上を実行します。

    月曜日:

    • c:\windows\system\epson9.drvファイルを削除します。
    • 以下のようにファイル名を変更します。
      • c:\windows\system\netbeui.vxd → c:\windows\system\iuebten.vxd
      • c:\windows\command\command.com → c:\windows\command\dnammoc.com
      • c:\command.com → c:\dnammoc.com
      • c:\windows\system\mouse.drv → c:\windows\system\esuom.drv
    • 文書のパスワードを“013000”に設定します。
    • ・次のレジストリを改変します。
      • HKEY_USERS\.Default\Control Panel\International, "sDecimal"= "$

    火曜日:

    • 以下のようにファイル名を変更します。
      • c:\windows\system\cm8330.drv → c:\windows\system\0338mc.drv
      • c:\windows\system\cm8330.vxd → c:\windows\system\0338mc.vxd
      • c:\windows\system\vmm32.vxd → c:\windows\system\23mmv.vxd
    • ページ設定を変更します。
    • 次のレジストリを改変します。
      • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
        MS-DOSOptions\DOSSettings, "Config.Sys" = "DOS=SINGLE"

    水曜日:

    • 以下のようにファイル名を変更します。
      • c:\windows\system\sis597m.drv → c:\windows\system\m795sis.drv
      • c:\windows\system\sis597m.vxd → c:\windows\system\m795sis.vxd
      • c:\windows\explorer.exe → c:\windows\rerolpxe.exe
      • c:\windows\system\vmm32.vxd → c:\windows\system\23mmv.vxd
    • 文書のパスワードを“013000”に設定します。
    • ページ設定を変更します。
    • 文書内の文字を大文字に変換します。

    木曜日:

    • 以下のようにファイル名を変更します。
      • c:\windows\system\dplay.dll to c:\windows\system\yalpd.dll
      • c:\windows\system\dplayx.dll to c:\windows\system\xyalpd.dll
    • スクロールバーを削除します。
    • 文書内の“the”を“^o^”に書き換えます。
    • 文書のパスワードを“013000”に設定します。

    金曜日:

    • 以下のようにファイル名を変更します。
      • c:\windows\system\sage.dll → c:\windows\system\egas.dll
    • 印刷設定を変更します。
    • 「書式設定」および「標準」ツールバーを無効にします。

    土曜日:

    • 以下のようにファイル名を変更します。
      • c:\windows\system\comdlg32.dll → c:\windows\system\23gldmoc.dll

    日曜日:

    • 「書式設定」ツールバーを一部削除します。

    ・任意の日に印刷設定を一部改変します。また、以下のようにファイル名を変更します。

    • c:\windows\system\ndis.vxd → c:\windows\system\sidn.vxd
    • c:\windows\system\nwlink.vxd → c:\windows\system\knilwn.vxd
    • c:\windows\system\vredir.vxd → c:\windows\system\riderv.vxd

    以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

    ・上記の発病ルーチンが実行されます。

    ・「ヘルプ/パージョン情報」で上記のメッセージが表示されます。

    感染方法TOPへ戻る

    ・感染した文書ファイルを開くとローカルシステムのWord環境に直接感染し、感染以降そのシステムで使用されるすべての文書ファイルに感染します。