ウイルス情報

ウイルス名 危険度

W97M/WMVG.c

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4072
対応定義ファイル
(現在必要とされるバージョン)
4072 (現在7659)
対応エンジン 5.1.00以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日 02/04/11
発見日(米国日付) 02/03/21
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法


概要

TOPへ戻る

ウイルスの特徴

  • この脅威は、W97M/Genericとして検出され、Word 97とWord 2000の文書に感染します。感染した文書を閉じると、ウイルス保護機能が無効になります。また、Wordのステータス バーも削除されます。Word 2000のセキュリティ レベルは「低」になり、ツール/マクロ/セキュリティ機能は無効になります。
  • W97M/WMVG.cは、自身のソースをC:\Windows\.sysに出力します(例: C:\Windows\Jane.sys)。このファイルには感染しません。このウイルスは、C:\Windows\Backup.vbsというVBSファイルを落とし込み、このスクリプトを使用して、Word環境に再感染します。
    次のレジストリ キーが改変されます。
    • "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run"
      "WMVG"
      "C:\Windows\Backup.vbs"
  • このスクリプト ファイルは、VBS/Sunflower.genとして検出されます。Backup.vbsは、C:\Windows\Backup.drvという別のファイルも落とし込みます。このファイルにはマクロ ソースが含まれるだけで、感染しません。
  • 任意の月の31日になると、次のメッセージが表示されます。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

  • 任意の月の31日になると、上記のメッセージが表示される。上記のレジストリ キーと、下記のファイルが存在する。
    • C:\Windows\.sys
    • C:\Windows\Backup.vbs
    • C:\Windows\Backup.drv

TOPへ戻る

感染方法

TOPへ戻る

駆除方法

■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

オフィスアプリケーションで、オプション設定を無効にする一般的なマクロウイルスです。例えば、Wordでマクロプロテクションの警告を無効にします。
マクロウイルスを駆除した後、以前設定したオプションが有効になっていることを確認してください。


AVERT推薦アップデート

TOPへ戻る