製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:S
ウイルス情報
ウイルス情報

ウイルス名
O97M/Shiver
危険度
対応定義ファイル4002 (現在7544)
対応エンジン (現在5600) 
エンジンバージョンの見分け方
発見日(米国日付)98/11/01
概要ウイルスの特徴感染症状感染方法駆除方法

セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
08/27RDN/PWS-Mmor...
08/27RDN/PWS-Mmor...
08/27RDN/PWS-Mmor...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7544
 エンジン:5600
 
ウイルス検索
 




新種ウイルスW97/X97M Shiverへの対応のお知らせ(98/09/03)

Excel、Word 往復感染型マクロウイルス

 

  • 米ネットワーク アソシエイツは、ExcelとWordの両方に往復感染することのできるShiverウイルスを発見いたしました。

  • このウイルスは日本での感染報告はまだありません。

  • ネットワーク アソシエイツ ウイルス研究チーム AVERTでは、Shiverを検出可能なβ ウイルスデータファイルを作成、ホームページにアップロードいたしました。

ウイルス情報

    W97/X97Mは、Word97およびExcel97で作成されたWord文書およびExcel文書の両方に感染が可能な、初のマクロウイルスである。Excel、Word両用ウイルスとしては、これまでにもTeocatl(別名:Strange Days)、Crossなどがあったが、その試みはいずれも失敗に終わった。これらのウイルスは、WordあるいはExcelに感染することは可能だったが、その後、Word → Excel、Excel → Word という感染を果たすことはできなかった。しかしShiverは、Word → Excel(or Word)、Excel → Word (or Excel)というクロス感染を行うことができる。この「往復感染」は、ネットワーク アソシエイツ社のウイルス研究チーム、AVERTによってはじめて発見された。

    Shiverは、AutoOpen文書マクロを利用して、WordのNormal.DOTに感染し、さらに"C:\SHIVER.SYS"というファイルを作成する。ここにはWinWordおよびExcelのためのVBAコードすべてが格納されている。Shiverは、Word終了時に、"C:\SHIVER.SYS"を"\XLSTART\PERSONAL.XLS"へインポートするExcelマクロを作成する。そして、Windows 95のDDEメカニズムを使ってExcelを呼び出すことにより、このマクロを実行し、さらにオリジナルのPersonal.XLSを削除する。この時点でExcelはShiverに感染したことになる。これ以後、Excel内でオープンされたスプレッドシートは、すべてShiverに感染することになる。

    感染がExcelで生じた場合、Shiverは、まずPersonal.XLSに感染する。そしてExcel終了時には、SendKeysメカニズムを使って、Wordのグローバル・テンプレートに感染する(既に感染済みでない場合のみ)。なおShiverは、自己感染チェックとして、Windowsレジストリを改変する。すなわち"HKEY_CURRENT_USER\Software\VB and VBA Program Settings\Office\8.0"、 "Shiver [DDE]" = "ALT-F11" or "NoNoNo" という形でキーを追加する。

    ExcelからWordへの感染が生じる場合、まずVisualBasicエディタへの"C:\SHIVER.SYS"というタイピングが発生し、すべてのオープン・ウインドウがクローズされ、WordのNORMAL.DOTが汚染され、さらにすべてのドキュメントがオープンされる。つまり、Shiverは、目視確認がきわめて容易なウイルスである。なおExcel、WordにShiverが感染した場合、両アプリケーションのマクロ表示機能は共に無効化される。

    Shiverには2つの発病ルーチンがあり、一つはExcel用、一つはWord用である。

    Shiver感染ドキュメントがオープンされた場合、ShiverがWindowsレジストリを書き換えることがある。改変されるキーは"HKEY_CLASS_ROOT\Word.Documet.8\shell\open\ddeexec" および "HKEY_CLASS_ROOT\Excel.Sheet.8\shell\open\ddeexec"である。この改変が、Explorerを使ってWord/Excel文書スプレッドシートにアクセスしている最中に生じた場合、文書はオープンできないことになる。

    Shiver感染Excelスプレッドシートがオープンされた場合、スプレッドシート左上から無秩序に選ばれた30個のセルに、コメントが付与されることがある。また"Shiver [DDE] by ALT-F11"というメッセージが表示されることがある。つまり、データの消失は発生しないものの、スプレッドシートの可読性が著しく損なわれることになる。