ウイルス情報

ウイルス名 危険度

W97M/Opey.bg

企業ユーザ: Low
個人ユーザ: Low
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4247
対応定義ファイル
(現在必要とされるバージョン)
4250 (現在7634)
対応エンジン 4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
別名 W97M.Hopel.A (NAV)
情報掲載日 03/02/28
発見日(米国日付) 03/02/05
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

・このウイルスは、W97M/Opey.bgとして検出されます。単一のモジュール“Pukka”(部分的に暗号化されています)で構成されており、「ツール/マクロ」、「ツール/Visual Basic Editor」およびマクロ警告機能を無効にします。ハードコード化されたディレクトリに“C:\WINDOWS\COMMAND\nt.txt”として自身を保存したり、autoexcec.batファイルを改変し、C:\WINDOWS\COMMAND\t.batファイルとC:\windows\command\tmp.batファイルをドロップ(作成)することもあります。

・2002年11月1日以降に「ツール/オプション/ユーザー情報」を以下のように改変します。

  • 名前 = PUKKA
  • 頭文字 =^^^
  • 住所 = PHILIPPINES
  • ・「ファイル/プロパティ/ファイルの概要」も以下のように改変します。

  • 作成者 = PUKKA
  • キーワード = HOPELOSJAVSI
  • ・印刷とページの設定のオプション、および「ツール/オプション」も改変します。

    ・「ヘルプ/バージョン情報」では、次のメッセージを表示します。

    ・W97M/Opey.bgには、さまざまな発病ルーチンがあります。任意の日に以下のレジストリを改変します。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion, "RegisteredOrganization" = "HOPELOSJAVSI"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion, "RegisteredOwner" = "PUK
  • KA"

    ・10月21日には、以下のレジストリを改変します。

  • HKEY_USERS\.Default\Control Panel\International, "s1159" = "PUKKA"
  • HKEY_USERS\.Default\Control Panel\International, "s2359" = "PUKKA"
  • HKEY_USERS\.Default\Control Panel\International, "s1159" = "AM"
  • HKEY_USERS\.Default\Control Panel\International, "s2359" = "PM"
  • ・W97M/Opey.bgは、発病する任意の日の曜日によっても異なる発病ルーチンを実行します。該当する曜日の以下の発病ルーチンの1つ以上を実行します。

    月曜日:

    • c:\windows\system\epson9.drvファイルを削除します。
    • 以下のようにファイル名を変更します。
      • c:\windows\system\netbeui.vxd → c:\windows\system\iuebten.vxd
      • c:\windows\command\command.com → c:\windows\command\dnammoc.com
      • c:\command.com → c:\dnammoc.com
      • c:\windows\system\mouse.drv → c:\windows\system\esuom.drv
    • 文書のパスワードを“013000”に設定します。
    • ・次のレジストリを改変します。
      • HKEY_USERS\.Default\Control Panel\International, "sDecimal"= "$

    火曜日:

    • 以下のようにファイル名を変更します。
      • c:\windows\system\cm8330.drv → c:\windows\system\0338mc.drv
      • c:\windows\system\cm8330.vxd → c:\windows\system\0338mc.vxd
      • c:\windows\system\vmm32.vxd → c:\windows\system\23mmv.vxd
    • ページ設定を変更します。
    • 次のレジストリを改変します。
      • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
        MS-DOSOptions\DOSSettings, "Config.Sys" = "DOS=SINGLE"

    水曜日:

    • 以下のようにファイル名を変更します。
      • c:\windows\system\sis597m.drv → c:\windows\system\m795sis.drv
      • c:\windows\system\sis597m.vxd → c:\windows\system\m795sis.vxd
      • c:\windows\explorer.exe → c:\windows\rerolpxe.exe
      • c:\windows\system\vmm32.vxd → c:\windows\system\23mmv.vxd
    • 文書のパスワードを“013000”に設定します。
    • ページ設定を変更します。
    • 文書内の文字を大文字に変換します。

    木曜日:

    • 以下のようにファイル名を変更します。
      • c:\windows\system\dplay.dll to c:\windows\system\yalpd.dll
      • c:\windows\system\dplayx.dll to c:\windows\system\xyalpd.dll
    • スクロールバーを削除します。
    • 文書内の“the”を“^o^”に書き換えます。
    • 文書のパスワードを“013000”に設定します。

    金曜日:

    • 以下のようにファイル名を変更します。
      • c:\windows\system\sage.dll → c:\windows\system\egas.dll
    • 印刷設定を変更します。
    • 「書式設定」および「標準」ツールバーを無効にします。

    土曜日:

    • 以下のようにファイル名を変更します。
      • c:\windows\system\comdlg32.dll → c:\windows\system\23gldmoc.dll

    日曜日:

    • 「書式設定」ツールバーを一部削除します。

    ・任意の日に印刷設定を一部改変します。また、以下のようにファイル名を変更します。

    • c:\windows\system\ndis.vxd → c:\windows\system\sidn.vxd
    • c:\windows\system\nwlink.vxd → c:\windows\system\knilwn.vxd
    • c:\windows\system\vredir.vxd → c:\windows\system\riderv.vxd

    TOPへ戻る

    以下の症状が見られる場合、このウイルスに感染している可能性があります。

    ・上記の発病ルーチンが実行されます。

    ・「ヘルプ/パージョン情報」で上記のメッセージが表示されます。

    TOPへ戻る

    感染方法

    ・感染した文書ファイルを開くとローカルシステムのWord環境に直接感染し、感染以降そのシステムで使用されるすべての文書ファイルに感染します。

    TOPへ戻る