ウイルス情報

ウイルス名

W97M/ColdApe.B

危険度
対応定義ファイル 4018 (現在7659)
対応エンジン  (現在5600) 
エンジンバージョンの見分け方
発見日(米国日付) 99/03/01


このウイルスは、"In the Wild"として1999年3月に初めてワイルドリストに登録された。このウイルスは Word 97 の文書に感染する。Word 97 のマクロ警告機能をオフにする。 このマクロウイルスは、Word の NORMAL.DOT ファイルに感染する。W97M/ColdApe.B はThisDocument というモジュールで構成される。

このウイルスは、以下の点を除けば W97M/ColdApe.A に類似している。

  1. ColdApe の亜種 .B には、感染の世代数を表すカウンタと’victim log"(MS-Word の登録名は、2次感染するごとに組み込まれる)が含まれている。

  2. ColdApe の亜種 .B は、改変された A4.VBS ファイル(A4.VBS の説明は下記を参照のこと)を含む。 ファイルの変更点は次の2点。

    • アドレス リストが avm@nym.alias.net から avm@redneck.efga.org に改変されている。
    • A4.VBS が送信する電子メール メッセージの本文中に、感染の世代数を表すカウンタが含まれる。
自己検査として、このウイルスは"'AVM"という文字列を検索する。1行目に''AVM"の文字列が存在するマクロをもつ文書(および NORMAL.DOT)は、ColdApe のこの亜種には感染しない。以下はその例。

Sub KeepSafe()

‘AVM

End Sub

しかし、マクロの名前が "AutoClose()" の場合、このような“保護された”文書を終了すると同時に、以下のエラーが発生する。

-Microsoft Visual Basic XX

Compile error:

Member already exists in a object module from which this object module derives


OK

このエラーは単なる通知であり、害は与えない。文書は依然“保護されている”。

W97M/ColdApe.B はWindows のレジストリに以下を追加する。

HKEY_USERS\.Default\Software\VB and VBA Program Settings\Office\8.0\AVM- DC="6"

この数値(この場合は6)は曜日に基づいて変わる可変値である。

さらに、WSH (Windows Scripting Host)がインストールされていれば、 "A4.VBS"と"HAPPY.VBS" (どちらもVisual Basic スクリプト ファイル)を落とし込み、ユーザが気づかないうちにそれらを起動する。

HAPPY.VBS そのものが、寄生的な visual basic スクリプト ウイルスであり、以下の文字列を含んでいる。

‘ Nick "The Love Monkey" Virus Package by ALT-F4 and ALT-F11 for the Alternative Virus Mafia

この“スクリプト ウイルス”は、みずからを別の visual basic スクリプト ファイルに付着させる。

A4.VBS は以下の文字列を含む visual basic スクリプトである。

Dear Nicky... my name is and I want to make hot monkey love with you. You anti-virus stud!

これはウイルスではなく、ColdApe の発病ルーチンの一部である。このスクリプトが、被害者の IP アドレスと上記のテキストを電子メールで、avm@redneck.efga.org とウイルス対策研究員の Nick FitzGerald 氏に送信する。