O97M.Tristateは、一般に出回っているMicrosoft Office 97マクロウイルスです。O97M.Tristateの感染報告は最近になって、スキャンと配信システムを通じて寄せられました。亜種A、B、Cは、マクロコード内のコメント部分に若干の相違があるだけで動作内容は同じです。

別名: O97M.Tristate.A, O97M.Tristate.B, O97M.Tristate.C, Macro.Office.Triplicate.C, O97M.Triplicate.C

種別: ワーム

感染サイズ: 1つのVBA5モジュール（および MS PowerPoint 感染時は1つのオートシェイプ）

被害状況 感染台数: 50-999 報告件数: 3-9 地域感染度: 中 対処レベル: 高 駆除: 普通

危険性評価グラフ 被害状況: 中 ダメージ: 低 感染力: 低

O97M.Tristateは、 Microsoft Word 97文書、 Microsoft Excel 97 ワークシート、Microsoft PowerPointスライドに感染するウイルスで、発病のタイミングは各アプリケーションにより異なります。

Word 97文書に感染している場合
このウイルスは、新規のVisual Basic Application(VBA)モジュールは追加しませんが、ThisDocumentというデフォルトのVBAモジュールにウイルスコードを挿入します。 感染しているWord文書を閉じると、以下の感染動作を行います。

• Excelに伝染する
  Excelのスタートアップディレクトリ（通常はXLSTART)に「Book 1」という名前のファイルが存在しない場合、このウイルスはExcelのマクロウイルス保護機能（[ツール]-[オプション]-[全般]）を無効にし、Excelのスタートアップディレクトリ内に、ウイルスを含むワークブックを「Book 1」というファイル名で作成します。
  
  
• PowerPointに伝染する
  PowerPointの標準テンプレートであるBlank Presentation.POTファイル（通常はTEMPLATESディレクトリ内にある）にTriplicateモジュールが存在しない場合、このウイルスはPowerPointのマクロウイルス保護機能（（[ツール]-[オプション]-[全般]）を無効にします。その後、TriplicateというウイルスモジュールをBlank Presentation.POTに追加し、スライド全体を覆うオートシェイプ オブジェクトを挿入します。 このウイルスモジュールはオートシェイプ オブジェクトにリンクされます。
  
  
• Word文書を閉じるときに再感染する（必要に応じて）
  ThisDocumentモジュールにウイルスコードが含まれていないWord文書を閉じると、ThisDocumentモジュールの内容をウイルスコードで置き換えます。
  

Excel 97ワークシートに感染している場合
このウイルスは、新規のVisual Basic Application(VBA)モジュールは追加しませんが、ThisWorkbookというデフォルトのVBAモジュールにウイルスコードを挿入します。 このウイルスは、感染しているワークブックを非アクティブにしたときに（すなわち、別のワークブックに切り替えて作業したり、新規のワークブックを作成した場合）に発病します。

• Wordに伝染する
  Excelのスタートアップディレクトリ（通常はXLSTART)に「Book 1」という名前のファイルが存在しない場合、このウイルスはExcelのマクロウイルス保護機能（[ツール]-[オプション]-[全般]）を無効にします。その後、Wordの標準テンプレート（通常はNORMAL.DOT)のThisDocumentモジュールの内容をウイルスコードで置き換えます。
  
  
• PowerPointに伝染する
  Excelのスタートアップディレクトリ（通常はXLSTART)に「Book 1」という名前のファイルが存在せず、かつ、PowerPointのBlank Presentation.POTテンプレートファイル（通常はTEMPLATESディレクトリ内にある）にTriplicateモジュールが存在しない場合、 このウイルスはBlank Presentation.POT にTriplicateというウイルスモジュールを追加し、 スライド全体を覆うオートシェイプ オブジェクトを挿入します。 このウイルスモジュールはオートシェイプ オブジェクトにリンクされます。
  
  
• Excelワークシートを閉じるときに再感染する（必要に応じて）
  作業中のワークシート内のThisWorkbookモジュールの内容が期待していたものと異なる場合、ThisWorkbookモジュールにウイルスコードを挿入します。
  

PowerPoint 97のプレゼンテーションに感染している場合
PowerPointのスライドに感染した場合、このウイルスはTriplicateという新規のVisual Basic Application(VBA)モジュールを追加します。その後、ユーザが感染しているスライドをスライドショービューでクリックすると、1/7の確率で発病機能が活性化します。

• Wordに伝染する
  Excelのスタートアップディレクトリ（通常はXLSTART)に「Book 1」という名前のファイルが存在しない場合、このウイルスはExcelとPowerPointのマクロウイルス保護機能（[ツール]-[オプション]-[全般]）を無効にします。その後、Wordの標準テンプレート（通常はNORMAL.DOT)のThisDocumentモジュールの内容をウイルスコードで置き換えます。
  
  
• Excelに伝染する
  Excelのスタートアップディレクトリ（通常はXLSTART)に「Book 1」という名前のファイルが存在しない場合、このウイルスはExcelのマクロウイルス保護機能（[ツール]-[オプション]-[全般]）を無効にし、Excelのスタートアップディレクトリ内に、ウイルスを含むワークブックを「Book 1」というファイル名で作成します。
  
  
• PowerPointのテンプレートに再感染する（必要に応じて）
  Excelのスタートアップディレクトリ（通常はXLSTART)に「Book 1」という名前のファイルが存在せず、かつ、PowerPointのBlank Presentation.POTテンプレートファイル（通常はTEMPLATESディレクトリ内にある）にTriplicateモジュールが存在しない場合、 このウイルスはBlank Presentation.POT にTriplicateというウイルスモジュールを追加し、 スライド全体を覆うオートシェイプ オブジェクトを挿入します。 このウイルスモジュールはオートシェイプ オブジェクトにリンクされます。
  

PowerPointに感染する場合、このウイルスはPowerPointのスライドには直接感染せず、Blank Presentation.POTというテンプレートファイルに感染します。 いったん、このテンプレートに感染すると、このBlank Presentationテンプレートをベースにして新規に作成される全てのPowerPointスライドに、ウイルスモジュールとオートシェイプ が含まれるようになります。

Norton AntiVirusのユーザは、LiveUpdateや、下記のWebページから最新のウイルス定義ファイルをダウンロードし、インストールすることによりこのウイルスに対応することができます。

http://www.symantec.com/region/jp/sarcj/download.html

Word文書修復時の注意：
このウイルスに感染しているWord文書／テンプレートでは、ThisDocument内に感染前に書き込まれていたVBAコードがウイルスコードに置き換わっています。Norton AntiVirusは、ThisDocumentモジュールからウイルスコードを削除することはできますが、上書きされたVBAコードを元の状態に戻すことはできません。

PowerPoint のBlank Presentationテンプレートファイルの修復：
ウイルススキャンを実行し、Blank Presentation.POTを修復してください。このファイルは通常、Microsoft OfficeのTEMPLATESディレクトリ内にあります。このファイルのスキャンと修復を行うには、Norton AntiVirusの設定ダイアログで、[すべてのファイル]オプションを有効にしておく必要があります。