製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:C
ウイルス情報
ウイルス情報

ウイルス名
W97M/Cobra.f@mm
危険度
対応定義ファイル4049 (現在7544)
対応エンジン4.0.25以降 (現在5600) 
エンジンバージョンの見分け方
別名Cobra Version 1.0E, W97M/Cobra.f
発見日(米国日付)99/10/19
概要ウイルスの特徴感染症状感染方法駆除方法

セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
08/30FakeAV-M.bfr...
08/30Generic.tfr!...
08/30PWS-Mmorpg.g...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7544
 エンジン:5600
 
ウイルス検索
 




これは Word 97(およびそれ以降のバージョン)の文書とテンプレートに感染するウイルスである。Word 97 の SR-1 リリースで自己複製が可能。Word 97 のマクロ警告機能をオフにする。このウイルスは"BornCobra"というモジュールで構成される。MS Outlook 経由で感染ファイルを送信するという発病ルーチンをもつ W97M/Melissa.a を真似たものである。 W97M/Cobra の亜種の中でこの発病ルーチンを持つものは、W97M/Cobra.f が初めてである。

このウイルスはサブルーチン"autoopen"によって、文書を開くというシステム イベントをフックし、その結果、このコードを作動させる。その他のシステム イベントでは"autoclose"、"fileopen"、"fileclose"、"filenew"がフックされる。Word97 で同じメニュー アイテムの使用を試みると、このマクロ コードのルーチンが作動する。

autoexec のルーチンに格納されたコメントは
'Cobra Version 1.0E
である。

感染した文書を開き、マクロ ウイルスが作動すると、レジストリ キーの作成あるいは改変が行われる。

"HKEY_CURRENT_USER\Software\Microsoft\Office\" "Cobra" = "Cobra"

"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion"

"RegisteredOwner" = "Cobra"
"RegisteredOrganization = "DHK/BD"

Outlook を使用した電子メール ルーチンは、Outlook のアドレス帳の上位30のアドレスにメールを送信するというもので、件名が"Important Message From Microsoft Via (Word の登録ユーザ名)"、本文が"Important document;-"というメッセージを、感染した文書の添付ファイルとともに送信する。

感染した文書とグローバル テンプレートには、多大な被害を与える発病ルーチンが含まれている。ルーチンは"FileNew"という名称のシステム イベントで作成される。このルーチンでは、現在の日付が月の数値と一致しているかどうかを調べ、一致していれば、隠しタスクが "deltree /y c:\"のインストラクションと共に作動する。これは Windows 95/98 ファイルであるため、WinNT では作動しない。

このファイル削除ルーチンは、次の条件を満たしたときに実行される。

* 文書を新規作成し、なおかつ

* 日と月が一致したとき (例: 1月1日、2月2日、3月3日など)

以下の症状があった場合は、本ウイルスに感染している恐れがある。

  • 上記のファイル削除。
  • 感染文書を開いた際のマクロ警告。
  • グローバルテンプレートのサイズの増加。
  • 上記のメール送信。