McAfee for Small Businesses

ウイルス情報 ウイルス名 W97M/ColdApe.H 危険度 低 対応定義ファイル 4018　（現在7084) 対応エンジン 　(現在5.4.00)　 エンジンバージョンの見分け方 発見日（米国日付） 99/03/01 概要 ウイルスの特徴 感染症状 感染方法 駆除方法

セキュリティ情報 最新ウイルス一覧へ >> 最新ウイルス 05/22 W32/Virut.ge... 05/22 W32/Duel!962... 05/22 W32/Duel!EC1... 定義ファイル・エンジンの ダウンロード!    定義ファイル：7084  エンジン：5.4.00   ウイルス検索

このウイルスは Word 97 の文書に感染し、Word 97 のマクロ警告機能をオフにする。Word の NORMAN.DOT ファイルに感染し、ThisDocument というモジュールで構成される。

W97M/ColdApe.H は、以下の点を除いて W97M/ColdApe.A に酷似している。

1. ColdApe の亜種 .H には感染の世代数を表すカウンタと'victim log" (MS-Word の登録名は、２次感染するごとに組み込まれる）が含まれている。

2. ColdApe の亜種 .H は、改変された A4.VBS ファイル(A4.VBS の説明は下記を参照のこと)を含む。ファイルの変更点は次の２点。
   • アドレス リストが avm@nym.alias.net から avm@redneck.efga.org に改変されている。
   • A4.VBS が送信する電子メール メッセージの本文中に、感染の世代数を表すカウンタが含まれる。

1. ColdApe の亜種 .H には、HAPPY.VBS スクリプト ファイルに書き込まれた、あるコードのセクションが欠落している。

2. ColdApe の亜種 .H には、システム イベント Document_New が含まれている。また、以前に感染した被害者を記述した文字列だけが含まれている。このシステム イベントは機能面への影響は与えないが、ウイルスに基本的なポリモルフィック性を与える。

HKEY_USERS\.Default\Software\
VB and VBA Program Settings\Office\8.0\AVM-DC="6"

この数値(上記の場合は６)は、曜日によって変化する可変値である。

さらに、WSH (Windows Scripting Host)がインストールされている場合、このウイルスが"A4.VBS"と"HAPPY.VBS" (どちらも Visual Basic スクリプト ファイル)を落とし込み、それを気づかれることなく起動する。

HAPPY.VBS 自体が他のものに寄生するという性質をもつ visual basic スクリプト ウイルスであり、次の文字列を含む。

‘ Nick "The Love Monkey" Virus Package by ALT-F4 and ALT-F11 for the Alternative Virus Mafia

この"スクリプト ウイルス"は自らを他の visual basic スクリプト ファイルに付着させる。

A4.VBS は次の文字列を含む visual basic スクリプトである。

Dear Nicky... my name is and I want to make hot monkey love with you. You anti-virus stud!

これはウイルスではなく、ColdApe の発病ルーチンの一部である。このスクリプトは、感染を受けた被害者の IP アドレス、感染の世代数をあらわすカウンタ、上記のテキストを本文に記載した電子メールをavm@redneck.efga.org とウイルス対策研究員の Nick FitzGerald 氏に送信する。