ウイルス情報

ウイルス名

W97M/Suppl

危険度
対応定義ファイル 4002 (現在7634)
対応エンジン  (現在5600) 
エンジンバージョンの見分け方
別名 W32/Suppl, W97M/Suppl
発見日(米国日付) 99/09/17


新種ウイルスW97M/Supplへの対応のお知らせ(99/9/20)

電子メールを自動的に送り付けるという感染形態を持ったウイルスが発見されました。発病時には、ディスク内のワード、エクセル、ZIPファイルなどがすべて消去されます。なお、このウイルスはまだ日本での被害報告はありません(弊社調べ)。


予防方法

下記のような内容の電子メールが届いた場合は、すぐに削除してください。添付ファイルを実行しないでください。


ウイルス情報

W97M/Supplは、インターネット・ウイルス・バイナリ・ファイルを含んだクラスモジュール・マクロによって交際されています。このウイルス・ファイルはトロイの木馬的な発病を有する追加EXEファイルです。

このウイルスは主に、"SUPPL.DOC"という添付ファイルを含んだ電子メールの形で繁殖します。内容は、W32/Ska(Happy99)に類似しており、WSOCK32.DLLローカルファイルを文書ファイル末尾の悪質ファイルで置き換えます。置き換えられたWSOCK32.DLLには、SMTPプロトコルを利用した電子メールに"SUPPL.DOC"を添付させるような命令が含まれます。このウイルスは、米ネットワーク アソシエイツのVirus Patrolというニューズグループ検査システムによりはじめて発見されました。"alt.sex.phone"などのわいせつニューズグループにて複数個の存在が確認されました。

"SUPPL.DOC"には、LZ32.DLLやKERNEL32.DLLなどのDLLファイル内のルーチンを利用するためのマクロコードが含まれています。感染文書がオープンされた場合、マクロ警告機能がオンになっていれば、警告が表示されます。マクロを有効化した場合、以下の操作が実行されます。

  • API関数を使ってWindowsディレクトリを取得する。

  • 以下4ファイルをWindowsディレクトリに書き込む。

    WININIT.INI143 バイト
    DLL.LZH6,712 バイト
    DLL.TMP16,384 バイト
    ANTHRAX.INI38,968 バイト

  • API関数を使って圧縮ファイルを解凍する。

DLL.TMPファイルは、WSOCK32.DLLの代替ファイルです。WININIT.INIには、現在のWSOCK32.DLLを置換するための命令が書かれています。置換の工程は、まずWSOCK32.DLLをWSOCK33.DLLにリネームし、続いてDLL.TMPをWSOCK32.DLLにリネームするというものです。なお、DLL.LZHは削除されます。Windows起動時に、WINIINIT.INIファイルが使われ、その過程で上記の操作が行われます。

SMTP電子メールクライアントを経由する電子メールメッセージには、すべて"SUPPL.DOC"添付ファイルが添付されることになります。インターネットウイルスの中には"Anthrax"という文字列が含まれていますが、ネットワーク アソシエイツでは、AnthraxというDOSウイルスが既に存在していることを考慮して、この名前をウイルス名としては採用しませんでした。


発病

ローカルマシンへの初回感染時より約163時間(6.79日)が経過すると、ウイルスによって書き換えられたWSOCK32.DLLは、ローカル・ドライブすべて(= 物理ドライブおよび割り当てドライブ)の中のすべてのファイルを検索し、.doc, .xls, .txt, .rtf, .dbf, .zip, .arj, .rar. という拡張子を持つファイルすべてをヌル消去します。


本ウイルスをワクチンを使わずに目視確認する方法

以下の事象が確認された場合、Supplウイルスに感染しています。

  • ディスク内にWSOCK33.DLL", "ANTHRAX.INI", "ANTHRAX.HST"といったファイルが存在する場合。
  • ある人にメールを送った際に、その人から「SUPPL.DOCという添付ファイルが付いていたがこれは何か?」と聞かれた場合。

検出方法

エンジンバージョン4以上の場合
最新のDATファイルとExtra.DATを組み合わせれば検出が可能です。

Extra.DATのダウンロード
DATファイルのダウンロード


  • 正式DATファイルでは4045で対応いたします
  • エンジンバージョンの見分け方

  • * *: Ver3 DATでは対応していません。


    対処方法
    • WSOCK32.DLLの復旧方法:
      1. MS-DOSモードでシステムを起動してください。
      2. \Windows\systemフォルダに移動してください。
      3. WSOCK33.DLLをWSOCK32.DLLにコピーしてください。
        WSOCK33.DLLがディスク内に存在していれば、このウイルスに攻撃(あるいは再攻撃)されることはありません。上記手順で復旧した後も、WSOCK33.DLLをシステム内に放置しておくことをお勧めします。

    • ウイルスが発病してファイルがヌル消去された場合は、削除ファイル復旧ソフトウエアなどを使えば、ファイルが復旧できることがあります。