ウイルス情報

ウイルス名 危険度

W97M/Trugbar.a

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4072
対応定義ファイル
(現在必要とされるバージョン)
4072 (現在7656)
対応エンジン 4.2.40以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日 04/02/25
発見日(米国日付) 04/02/20
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

・このウイルスは、W97M/Genericとして検出され、Trugという1つのモジュールが組み込まれています。W97M/Trugbar.aは、Wordのマクロ警告機能を無効にし、毎月2日または18日にレジストリキーを書き換えます。

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run", "SystemSetting? = "C:\Windows\TRUG.vbs"

・また、コマンドバーを無効にする可能性があり、この場合、Visual Basic Editorは以下のメッセージを表示します。

・毎月27日に、既存のc:\autoexec.batファイルを削除し、CドライブおよびDドライブをフォーマットするように改変したファイルに置き換えます。このファイルはVBS/Trugbarとして検出されます。毎月2日または18日に、W97M/Trugbar.aはハードコード化されたc:\Windows\SystemディレクトリにTRUG.vbsファイルを落とし込みます。TRUG.vbsファイルはvxd、drv、inf、cab、zip、dat、com、exe、dllファイルをすべて上書きし、.vbsの拡張子を追加しようとしますが、VBScriptコードにバグがあるために、実行されません。TRUG.vbsファイルはVBS/Trugbarとして検出されます。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・ハードコーディングされたc:\Windows\SystemディレクトリにTrug.vbsファイルが存在する。

・autoexec.batファイルが書き換えられている。

TOPへ戻る

感染方法

・感染した文書を開くと、ローカルにインストールされているWordに直接感染し、さらにその後開かれるすべての文書に感染します。

TOPへ戻る

駆除方法

■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

Windows ME/XPでの駆除についての補足

AVERT推薦アップデート

TOPへ戻る