ウイルス情報

ウイルス名

W97M/Zerg

  • これは Word 97 文書に感染するウイルスです。Word 97 の SR-1 リリースでは自己複製しません。Word 97のマクロ警告機能をオフにします。

  • このウイルスは"Zerg"というモジュールで構成されます。MS Outlook を使用して感染ファイルを送信するという点では、W97M/Melissa.a ウイルスに似てますが、コードにバグがあるため、この発病ルーチンが実行されることはありません。

  • このウイルスは、Word 97を開くというシステムイベントを、サブルーチン"autoexec"でフックし、これによってコードを発動させます。このほかに、システムイベント"toolsmacro"、"viewvbcode"、"autoopen"、"fileopen"、"fileprint"、 "filesaveas"がフックされます。Word97 で同じメニュー アイテムの使用を試みると、このマクロ コードのルーチンが作動します。

  • autoexec ルーチン内のコメントは以下の通りとなります。

    ' The ZeRg WM97 Virus (c) 1999 ElectroMagnetic Defication
    ' First Attempt At Macro Viruses For Word 97
    ' If You Are Reading This, Then You Are Smarter Than The Average Idiot.
    ' I Should Have Made This To Just Send The E-Mail And Toast The Drive, But I Decided Not To.
    ' Greetings To [AV Vendors listed here with expletive remarks]
    ' Thank You For Purchasing Microsoft Office 97

  • 感染した文書を開いて、マクロ ウイルスが起動すると、レジストリ キーが作成されます。

    "HKEY_CURRENT_USER\Software\Microsoft\Office\"

    "ZeRg" = "(c) 1999 Electro Magnetic Defication"

  • 日付の値が時間の値と同じであれば、その時点でアクティブになっている文書と、その時間内に開かれた文書がすべて"ZeRg1.0"というパスワードで保護された状態で保存されます。

  • この Outlook を使った電子メール ルーチン(作動することはない)は、アドレス帳に登録されているアドレスのうち、上から100の受信者に電子メールを送信するというものです。電子メールの件名は"Please Read The Attached Document."、本文は"Important Information Is Enclosed"であるが、これが送信されることはありません。

  • このウイルスには、以下のファイルを削除するという、重大な発病ルーチンもあります。

    カレントディレクトリ内の全てのファイル(*.*)
    c:\*.*
    c:\zerg.mta
    c:\windows\*.*
    c:\windows\*.exe
    c:\windows\*.com
    c:\windows\system\*.dll
    c:\windows\system\*.*
    c:\windows\command\*.exe
    c:\windows\command\*.*
    c:\My Documents\*.*
    c:\winnt\*.exe
    c:\winnt\*.*
    c:\winnt\system\*.*
    c:\winnt\system\*.dll
    c:\winnt\system32\*.*
    c:\winnt\system32\*.dll
    c:\winnt\system32\drivers\*.*
    c:\winnt\system32\win.com
    c:\winnt\system32\drivers\*.sys

    このファイル削除ルーチンは、2つの条件下で実行されます。

    • 日付の値が分の値と一致したとき(例:10月20日の毎時20分)に、感染した文書を開く、あるいは Word97 の感染したセッションを起動した場合

    • メニュー アイテム[ツール]→[マクロ]→[VISUAL BASIC EDITOR]を使用したとき

    ファイル削除ルーチンの後、ユーザを侮辱するようなメッセージ ボックスが表示される。

    "Hello " (registered Word97 username) " You Stupid ****! Your Computer Has Been ****ed By ZeRg 1.0"

    感染文書を開いた際のマクロ警告。グローバルテンプレートのサイズの増加。ファイル削除(上記を参照)。メッセージボックスの表示(上記を参照)。