McAfee for Small Businesses

ウイルス情報 ウイルス名 W97M/Combossa 危険度 低 対応定義ファイル 4049　（現在7080) 対応エンジン 　(現在5.4.00)　 エンジンバージョンの見分け方 別名 Combo, W97M/Combo, W97M/Combossa.a 亜種 亜種 発見日（米国日付） 99/10/13 概要 ウイルスの特徴 感染症状 感染方法 駆除方法

セキュリティ情報 最新ウイルス一覧へ >> 最新ウイルス 05/19 RDN/Generic ... 05/19 Generic Down... 05/19 RDN/Download... 定義ファイル・エンジンの ダウンロード!    定義ファイル：7080  エンジン：5.4.00   ウイルス検索

このウイルスは、Word 97を開くというシステムイベントを、サブルーチン"autoopen"でフックしこれによりコードを発動させる。その他"autonew" と "openfile"もフックされる。Word97 で同じ名前のメニュー アイテムを使用すると、マクロコードのルーチンが作動する。

感染した文書を開き、マクロ ウイルスが起動すると、次のレジストリ キーが作成される。

'HKEY_CURRENT_USER\Software\Microsoft\Office\Defination'
'Combo' = #

＃の最初の値は100で、ウイルス ルーチンによりカウントダウンが開始される。値が0になったとき、次のメッセージ ボックスが表示される。

'You Died!'
'Is the man the virus of the planet?'
Yes No

"YES"を選択すると、"Correct answer!"というメッセージが表示され、レジストリの値が100にリセットされる。

"NO"を選択すると、"You Died!"というメッセージが表示され、ユーザの AUTOEXEC.BAT が、危害を与えるインストラクション"echo s|deltree /y *.*>Combo.vir"とともに追加される。

Outlook を使用した電子メール ルーチンは、コンピュータにインストールされた MS Word の言語に翻訳した以下のプロパティで、メールを作成する。

件名："Ainda se lembra de mim? (Word97 の登録ユーザ名)"
本文："Por que nao me escreve mais? Ai vai o documento que me pediu, e nao me pergunte como consegui!...Abracos!"

件名："Do you Still remember me? (Word97 の登録ユーザ名)"
本文："Why doesn't write me more? Here be the document that asked me, and don't wonder as I got!... Hugs!"

この電子メールにはW97M/Combossa に感染したファイルが添付されている。

以下の症状があった場合は、本ウイルスに感染している恐れがある。

感染文書を開いた際のマクロ警告。グローバルテンプレートのサイズの増加。上記に挙げられているファイルの削除。上記のメッセージ ボックス。