ウイルス情報

ウイルス名

W97M/Pri.A

危険度
対応定義ファイル 4009 (現在7634)
対応エンジン  (現在5600) 
エンジンバージョンの見分け方
発見日(米国日付) 98/11/01


W97M/Pri.Aは、ワイルドリストに"In The Wild(一般普及ウイルス)"として1999年6月に最初に掲載されたウイルスである。

このウイルスは、Word 97文書に感染し、Word 97のマクロ警告機能をオフにする。ポリモルフィック性を有しており、独自のコードに簡単な変更を加える。W97M/Pri.Aは、ThisDocumentというモジュールで構成されている。

WordのNORMAL.DOTファイル、新規文書、および開かれた文書や閉じられた文書に感染する。また、ポップダウンメニューの「ツール→マクロ→Visual Basic Editor」、Alt+F11ショートカットキー、またはポップダウンメニューの「ビュー→ツールバー→Visual Basic」によるVisual Basicエディタの使用を禁止する。

W97M/Pri.Aは、自己検査として、最初の3文字が"Pri"になっているモジュールを探す。"Pri"が見つかると、その文書がすでに感染していると見なす。したがって、もともと"Pri"で始まっているモジュールを含む文書には感染しない。たとえば、

Private Sub Keepsafe
End Sub

というモジュールがあれば、W97M/Pri.Aの感染を妨ぐことができる。このように、この手法をこの特定のPri亜種に対する予防接種として使用することができる。

感染文書が開かれたときや、閉じられたときに、日付のうち「日」の値(たとえば7月 [14]日)が時刻のうち「分」の値(たとえば10:[14])と同一の場合、このウイルスは文書に20個の五角形を追加する。これらの五角形は、任意のサイズ、色、位置、および形から成る。

まだ感染していない文書が開かれたときに、分値と日値が(上記の例のように)一致している場合は、五角形は追加されず、その文書が感染するだけとなる。その後、分値が変らないうちに(日と分の値が同一のまま)感染した文書が閉じられると、五角形が追加される。

W97M/Pri.Aには、次の文字列が含まれている(表示されることはない)。

"W97M/PSD ...porn star dreams? [(c)1998 ALT-F11 code hack]"