ウイルス情報

ウイルス名 危険度

W97M/Sting.A

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4161
対応定義ファイル
(現在必要とされるバージョン)
4161 (現在7628)
対応エンジン 4.0.70以降 (現在5600) 
エンジンバージョンの見分け方
別名 W97M.Sting (NAV)
情報掲載日 01/09/27
発見日(米国日付) 01/09/18
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

TOPへ戻る

ウイルスの特徴

  • W97M/Sting.Aは、Word 97文書とテンプレート ファイルNormal.Dotに感染するウイルスです。

  • このウイルスは、次の28のマクロを含む、Stingerというモジュールで構成されています。

    AutoExec()
    StartUp()
    AutoOpen()
    StartUp()
    AutoExit()
    FileExit()
    FileNew()
    FileNewDefault()
    FileSave()
    FileSaveAs()
    FileSave()
    FilePrintDefault()
    FilePrint()
    FileOpen()
    DocClose()
    FileClose()
    ToolsMacro()
    ToolsCustomize()
    ToolsOptions()
    ViewVbCode()
    ChkFiles()
    RegistrCd()
    CdRgstrtn()
    MkLoadrFl()
    MkHsKrFl()
    MkAutoFl()
    VwMacCd()
    SvTmpPath()

  • 感染文書を開くと、ウイルスはNormal.dotが保存されているか確認します(保存されていないときは、保存します)。次に、変換確認プロンプト、ウイルス保護機能、および通常のテンプレート ファイルに対する保存プロンプトを無効にします。

  • AltCtrlShift RとAltCtrlShift Vのキーの組み合わせを解除し、ウイルスを起動するために、この2つを結びつけます。

  • AltCtrlShift R - "Macro Code Registration"というメッセージ ボックスが現れ、"Enter registration key"と表示されます。正しいパスワードを入力すると、"Macro code has been successfully registered. You need to restart your computer for the new setting to take efffect."と表示されます。

    AltCtrlShift V - 入力ボックス"Access Code"、"View Macro Code"を含みます。Visual Basicコードを表示するためには、"STING"というパスワードを入力する必要があります。

  • 文書を保存しようとすると、このウイルスはC:\windows\tempディレクトリに同じ文書を作成し、バッチファイル"C:\WINDOWS\COMMAND\ZZ.BAT"を使って未感染の文書(保存する文書)に感染文書をコピーします。感染文書は、未感染文書が保存されていたディレクトリにコピーされ、置換されます。次に、tempディレクトリに作成された感染.docファイルを消去します。

  • Wordを終了しようとすると、このウイルスは"C:\WINDOWS\COMMAND\AZ.Bat"を作成します。このファイルは、C:\WINDOWS\COMMAND\ÿ.ÿ を通常のテンプレート ファイルにコピーします。

  • windows\tempディレクトリ内の*.do?ファイルは、削除されます。

  • "C:\WINDOWS\COMMAND\XZ.bat"も作成されます。このファイルは、c:\windows\commandディレクトリに落とし込まれたファイルの属性を改変します。

  • AUTOEXEC.BATが編集され、パスは感染ファイルが保存されている"C:\WINDOWS\COMMAND\"に改変されます。

  • また、このウイルスはドラフト印刷、フィールドコード印刷、および隠し文字印刷を無効にします。

  • このウイルスは、[ツール|オプション]で、通常のテンプレート ファイルに対する保存プロンプトとウイルス保護のオプションを有効にして、一見正常なダイアログ ボックスを表示しますが、ダイアログ ボックスを閉じるときに、これらのオプションをもう一度無効にします。したがって、ユーザはウイルス保護機能とテンプレート ファイル保存プロンプトが有効になっていると誤解します。

  • また、このウイルスは、[ツール|マクロ]、[ツール|マクロ|Visual Basic Editor]、[ツール|ユーザー設定]を無効にします。

  • C:\Autoexec.batは、次のコードで改変されます。

    @ECHO OFF
    PROMPT $P$G
    SET PATH=C:\WINDOWS\;C\WINDOWS\COMMAND\

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

TOPへ戻る

感染方法

TOPへ戻る

駆除方法

TOPへ戻る