ウイルス情報

ウイルス名

W97M/Pri.B

危険度
対応定義ファイル 4001 (現在7659)
対応エンジン  (現在5600) 
エンジンバージョンの見分け方
別名 Macro.Word97.Psd.b
発見日(米国日付) 98/11/01


W97M/Pri.B ウイルスは、"In The Wild" として1999年3月、はじめてワイルドリストに登録された。Word 97 文書に感染し、Word 97 のマクロ警告機能を無効にする。ウイルス自体のコードを簡単に変更するというポリモルフィック性を有し、ThisDocument というモジュールで構成される。

このウイルスは、Word の NORMAL.DOT ファイル、新規作成文書、オープン/クローズをおこなった文書に感染する。さらに、次の操作では、Visual Basic エディタが起動しなくなる。

ポップダウン メニューから ツール→マクロ→Visual Basic Editor を選択
Alt+F11 ショートカット キー ポップダウン メニューから 表示→ツール バー→ Visual Basic を選択

自己検査として、W97M/Pri.B はそのモジュールの頭文字である"Pri" を検索する。"Pri"を発見すると、その文書は感染済みとみなすため、もともと"Pri"で始まるモジュールをもつ文書は、このウイルスに感染しない。例えば、

Private Sub Keepsafe()

End Sub

は、W97M/Pri.B には感染しない。このため、この方法は特に Pri の亜種への対策として用いられている。

このウイルスは、以下の点を除けば W97M/Pri.A に類似している。日の値(例:7月[14]日)が分(例:10:[14])の値と同じ時に、感染した文書がオープンまたはクローズされると、このウイルスは 0以上69以下のAutoShapes をその文書に追加する。図形のサイズ、色、位置、形は一定ではない(W97M/Pri.A では5角形)。

時間と日付が一致したとき(上記の例を参照)に未感染の文書を開くと、図形は追加されず、文書の感染のみがおこなわれる。その後、分の値が変わらないうち(日付と分の値が同じとき)にその文書を閉じると、図形が追加される。

W97M/Pri.B は次の文字列が含まれる(表示はされない)。

W97M/PSD.II …logically delicious! [c1998 ALT-F11 code hack]