ウイルス情報

ウイルス名

O97M/Shiver

危険度
対応定義ファイル 4002 (現在7628)
対応エンジン  (現在5600) 
エンジンバージョンの見分け方
発見日(米国日付) 98/11/01


新種ウイルスW97/X97M Shiverへの対応のお知らせ(98/09/03)

Excel、Word 往復感染型マクロウイルス

 

  • 米ネットワーク アソシエイツは、ExcelとWordの両方に往復感染することのできるShiverウイルスを発見いたしました。

  • このウイルスは日本での感染報告はまだありません。

  • ネットワーク アソシエイツ ウイルス研究チーム AVERTでは、Shiverを検出可能なβ ウイルスデータファイルを作成、ホームページにアップロードいたしました。

ウイルス情報

    W97/X97Mは、Word97およびExcel97で作成されたWord文書およびExcel文書の両方に感染が可能な、初のマクロウイルスである。Excel、Word両用ウイルスとしては、これまでにもTeocatl(別名:Strange Days)、Crossなどがあったが、その試みはいずれも失敗に終わった。これらのウイルスは、WordあるいはExcelに感染することは可能だったが、その後、Word → Excel、Excel → Word という感染を果たすことはできなかった。しかしShiverは、Word → Excel(or Word)、Excel → Word (or Excel)というクロス感染を行うことができる。この「往復感染」は、ネットワーク アソシエイツ社のウイルス研究チーム、AVERTによってはじめて発見された。

    Shiverは、AutoOpen文書マクロを利用して、WordのNormal.DOTに感染し、さらに"C:\SHIVER.SYS"というファイルを作成する。ここにはWinWordおよびExcelのためのVBAコードすべてが格納されている。Shiverは、Word終了時に、"C:\SHIVER.SYS"を"\XLSTART\PERSONAL.XLS"へインポートするExcelマクロを作成する。そして、Windows 95のDDEメカニズムを使ってExcelを呼び出すことにより、このマクロを実行し、さらにオリジナルのPersonal.XLSを削除する。この時点でExcelはShiverに感染したことになる。これ以後、Excel内でオープンされたスプレッドシートは、すべてShiverに感染することになる。

    感染がExcelで生じた場合、Shiverは、まずPersonal.XLSに感染する。そしてExcel終了時には、SendKeysメカニズムを使って、Wordのグローバル・テンプレートに感染する(既に感染済みでない場合のみ)。なおShiverは、自己感染チェックとして、Windowsレジストリを改変する。すなわち"HKEY_CURRENT_USER\Software\VB and VBA Program Settings\Office\8.0"、 "Shiver [DDE]" = "ALT-F11" or "NoNoNo" という形でキーを追加する。

    ExcelからWordへの感染が生じる場合、まずVisualBasicエディタへの"C:\SHIVER.SYS"というタイピングが発生し、すべてのオープン・ウインドウがクローズされ、WordのNORMAL.DOTが汚染され、さらにすべてのドキュメントがオープンされる。つまり、Shiverは、目視確認がきわめて容易なウイルスである。なおExcel、WordにShiverが感染した場合、両アプリケーションのマクロ表示機能は共に無効化される。

    Shiverには2つの発病ルーチンがあり、一つはExcel用、一つはWord用である。

    Shiver感染ドキュメントがオープンされた場合、ShiverがWindowsレジストリを書き換えることがある。改変されるキーは"HKEY_CLASS_ROOT\Word.Documet.8\shell\open\ddeexec" および "HKEY_CLASS_ROOT\Excel.Sheet.8\shell\open\ddeexec"である。この改変が、Explorerを使ってWord/Excel文書スプレッドシートにアクセスしている最中に生じた場合、文書はオープンできないことになる。

    Shiver感染Excelスプレッドシートがオープンされた場合、スプレッドシート左上から無秩序に選ばれた30個のセルに、コメントが付与されることがある。また"Shiver [DDE] by ALT-F11"というメッセージが表示されることがある。つまり、データの消失は発生しないものの、スプレッドシートの可読性が著しく損なわれることになる。