ウイルス情報

ウイルス名 危険度

W97M/Vale

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4060
対応定義ファイル
(現在必要とされるバージョン)
4060 (現在7634)
対応エンジン 5.1.00以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日 2012/10/15
発見日(米国日付) 1999/12/30
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

・W97M/Valeはウイルスです。ウイルスは繰り返し自己複製するプログラムで、感染システムがウイルスを他のシステムに拡散して、ウイルスをさらに繁殖させます。多くのウイルスには破壊的なペイロードが組み込まれていますが、通常はシステムからシステムに拡散する以外には何も行いません。

TOPへ戻る

ウイルスの特徴

・W97M/ValeはWord 97の文書に感染するウイルスです。Word 97 SR-1以降のリリースでは自身を複製できません。レジストリの改変により、Word 97/2000のマクロ警告機能をオフにします。W97M/Valeは「Money」という名前のひとつのモジュールで構成されています。Outlookの電子メールにより拡散するためのコードが組み込まれていますが、故意か偶然か、このコードは回避され、実行されません。W97M/Valeには、各アプリケーションの構成ファイル(INI)の改変により、mIRC、Pirchで拡散する方法が組み込まれています。

・W97M/Valeには、日付によって異なるメッセージボックスを表示するペイロードが組み込まれています。表示されるすべてのメッセージボックスは、ブラジル政府に関する政治的な声明に言及しており、ポルトガル語で書かれています。5月9日、9月25日、12月25日、1月1日には、比較的長いメッセージボックスが表示されます。

・感染した文書は、MONEY.DOC、DINHEIRO.DOCの2つの異なるファイルとして、C:\WINDOWSフォルダに保存されます。その後、これらのファイルはインターネット接続時にmIRC、Pirchのスクリプトを介して送信されます。mIRCの構成ファイルは改変され、感染ユーザと同じチャネルに参加しているユーザに送信されます。

・「FileTemplates」メニューを使って、Word内でコードを閲覧しようとすると、以下の偽のエラーメッセージにより、阻止されます。

"Lamento voce nao possue nivel para esta operacao. Por Favor leia o Manual de instrucoes para maiores detalhes."

・メッセージのおおよその意味は以下の通りです。

「この操作を実行することはできません。詳細については、操作説明書をお読みください。」

・また、ALT+F11キーを使ってコードを閲覧しようとすると、上記とは別のエラーメッセージが表示されます。

"Este programa executou uma instrucao ilegal por favor feche o Windows e reinicie."

・メッセージのおおよその意味は「このプログラムは不正な命令を実行しました。Windowsを閉じて再起動してください」となります。

・W97M/Valeは、「Autoopen」サブルーチンにより、Word 97で文章を開くシステムイベントにフックし、自身のコードを実行します。また、Word内の「新規作成」アイコンを使って、新規文書を作成するシステムイベントにもフックし、自身のコードを実行します。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・mIRCまたはPirchのSCRIPT.INIまたはEVENTS.INIの改変、上記のメッセージが見られます。

TOPへ戻る

感染方法

・感染した文書を開くと、ローカルのWord環境に直接感染し、以降使われるすべての文書に感染します。

TOPへ戻る

駆除方法

■スクリプト型、バッチ型、マクロ型および非メモリ常駐型

・現行のエンジンとウイルス定義ファイルを使って検出・駆除して下さい。

■PE型、トロイの木馬、ワームおよびメモリ常駐型

・指定のエンジンとウイルス定義ファイルを使って検出できます。駆除するには、MS-DOSを起動するか、起動ディスクからコマンドラインスキャナーを使用して下さい:SCANPM /ADL /CLEAN /ALL

Windows ME/XPでの駆除についての補足

P2Pクライアント、IRC、Eメールまたはファイル共有できるメディアから受信したファイルアイコンはウイルスの可能性がありますので、ご注意下さい。

  • スクリプト、バッチ、マクロ、非メモリ常駐型:
    検出・駆除には現在のエンジンと定義ファイルを使用してください。

  • PE、トロイの木馬、インターネットワーム、メモリ常駐型:
    検出には対応したエンジンと定義ファイルを使用してください。駆除には、MS-DOS モードまたは、起動ディスクを使用して起動し、command line scanner:SCANPM /ADL /CLEAN /ALL を使用してください。

SCANPM /ADL /CLEAN /ALL

 Additional Windows ME/XP removal considerations

AVERT推薦アップデート

TOPへ戻る