McAfee for Small Businesses

ウイルス情報 ウイルス名 W97M/Cobra.f@mm 危険度 低 対応定義ファイル 4049　（現在7083) 対応エンジン 4.0.25以降　(現在5.4.00)　 エンジンバージョンの見分け方 別名 Cobra Version 1.0E, W97M/Cobra.f 発見日（米国日付） 99/10/19 概要 ウイルスの特徴 感染症状 感染方法 駆除方法

セキュリティ情報 最新ウイルス一覧へ >> 最新ウイルス 05/21 RDN/Generic ... 05/21 RDN/Generic ... 05/21 RDN/Generic.... 定義ファイル・エンジンの ダウンロード!    定義ファイル：7083  エンジン：5.4.00   ウイルス検索

このウイルスはサブルーチン"autoopen"によって、文書を開くというシステム イベントをフックし、その結果、このコードを作動させる。その他のシステム イベントでは"autoclose"、"fileopen"、"fileclose"、"filenew"がフックされる。Word97 で同じメニュー アイテムの使用を試みると、このマクロ コードのルーチンが作動する。

autoexec のルーチンに格納されたコメントは
'Cobra Version 1.0E
である。

感染した文書を開き、マクロ ウイルスが作動すると、レジストリ キーの作成あるいは改変が行われる。

"HKEY_CURRENT_USER\Software\Microsoft\Office\" "Cobra" = "Cobra"

"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion"

"RegisteredOwner" = "Cobra"
"RegisteredOrganization = "DHK/BD"

Outlook を使用した電子メール ルーチンは、Outlook のアドレス帳の上位30のアドレスにメールを送信するというもので、件名が"Important Message From Microsoft Via (Word の登録ユーザ名)"、本文が"Important document;-"というメッセージを、感染した文書の添付ファイルとともに送信する。

感染した文書とグローバル テンプレートには、多大な被害を与える発病ルーチンが含まれている。ルーチンは"FileNew"という名称のシステム イベントで作成される。このルーチンでは、現在の日付が月の数値と一致しているかどうかを調べ、一致していれば、隠しタスクが "deltree /y c:\"のインストラクションと共に作動する。これは Windows 95/98 ファイルであるため、WinNT では作動しない。

このファイル削除ルーチンは、次の条件を満たしたときに実行される。

* 文書を新規作成し、なおかつ

* 日と月が一致したとき (例: 1月1日、2月2日、3月3日など)

以下の症状があった場合は、本ウイルスに感染している恐れがある。

• 上記のファイル削除。
• 感染文書を開いた際のマクロ警告。
• グローバルテンプレートのサイズの増加。
• 上記のメール送信。