製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:C
ウイルス情報
ウイルス情報

ウイルス名
W97M/Combossa
危険度
対応定義ファイル4049 (現在7514)
対応エンジン (現在5600) 
エンジンバージョンの見分け方
別名Combo, W97M/Combo, W97M/Combossa.a
亜種亜種
発見日(米国日付)99/10/13
概要ウイルスの特徴感染症状感染方法駆除方法

セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
07/28RDN/Download...
07/28Generic.dx!0...
07/28Generic Down...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7514
 エンジン:5600
 
ウイルス検索
 




これは、Word 97 の文書とテンプレートに感染するウイルスである。Word 97 のSR-1 リリースで自己複製可能。Word 97 のマクロ警告機能をオフにする。このウイルスは"Combo"というモジュールで構成される。W97M/Melissa.a を真似たものであり、MS Word の言語に応じて MS Outlook で感染ファイルを送信するという発病ルーチンをもつ(元のメッセージは英語で書かれているため、ウイルス コードが"Portugues (ブラジル)"と同じ Word のシステム変数を検索すると、その言語でのメッセージを作成する)。

このウイルスは、Word 97を開くというシステムイベントを、サブルーチン"autoopen"でフックしこれによりコードを発動させる。その他"autonew" と "openfile"もフックされる。Word97 で同じ名前のメニュー アイテムを使用すると、マクロコードのルーチンが作動する。

感染した文書を開き、マクロ ウイルスが起動すると、次のレジストリ キーが作成される。

'HKEY_CURRENT_USER\Software\Microsoft\Office\Defination'
'Combo' = #

#の最初の値は100で、ウイルス ルーチンによりカウントダウンが開始される。値が0になったとき、次のメッセージ ボックスが表示される。

'You Died!'
'Is the man the virus of the planet?'
Yes No

"YES"を選択すると、"Correct answer!"というメッセージが表示され、レジストリの値が100にリセットされる。

"NO"を選択すると、"You Died!"というメッセージが表示され、ユーザの AUTOEXEC.BAT が、危害を与えるインストラクション"echo s|deltree /y *.*>Combo.vir"とともに追加される。

Outlook を使用した電子メール ルーチンは、コンピュータにインストールされた MS Word の言語に翻訳した以下のプロパティで、メールを作成する。

件名:"Ainda se lembra de mim? (Word97 の登録ユーザ名)"
本文:"Por que nao me escreve mais? Ai vai o documento que me pediu, e nao me pergunte como consegui!...Abracos!"

件名:"Do you Still remember me? (Word97 の登録ユーザ名)"
本文:"Why doesn't write me more? Here be the document that asked me, and don't wonder as I got!... Hugs!"

この電子メールにはW97M/Combossa に感染したファイルが添付されている。

以下の症状があった場合は、本ウイルスに感染している恐れがある。

感染文書を開いた際のマクロ警告。グローバルテンプレートのサイズの増加。上記に挙げられているファイルの削除。上記のメッセージ ボックス。

駆除方法TOPへ戻る
  • スクリプト、バッチ、マクロ、非メモリ常駐型:
    検出・駆除には現在のエンジンと定義ファイルを使用してください。

  • PE、トロイの木馬、インターネットワーム、メモリ常駐型:
    検出には対応したエンジンと定義ファイルを使用してください。駆除には、MS-DOS モードまたは、起動ディスクを使用して起動し、command line scanner:SCANPM /ADL /CLEAN /ALL を使用してください。

SCANPM /ADL /CLEAN /ALL

 Additional Windows ME/XP removal considerations

AVERT推薦アップデート