ウイルス情報

ウイルス名

W97M/Cybernet@mm

種別 ウイルス
ファイルサイズ
最小定義ファイル
(最初に検出を確認したバージョン)
4080
対応定義ファイル
(現在必要とされるバージョン)
4080 (現在7634)
対応エンジン 4.0.50以降 (現在5600) 
エンジンバージョンの見分け方
別名 Cybernet, OF97/Cybernet-A, X97M/Cybernet@mm
情報掲載日 00/5/26
発見日(米国日付) 00/5/25
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法
これはWord/Exce 97/2000のマクロウイルスです。不審なEメールの添付ファイルの形で届きます。このウイルスは、アドレス帳の先頭50人にメールを送付するという、W97M/Melissaによく似た形で繁殖します。

AVERTは、現在のところ(注 ← 米国日付5/25の時点)、顧客からはこのウイルスの発生報告を受けていません。

なお、VirusScanのヒューリスティク機能(マクロ解析。/MANALYSE)を使った場合、このウイルスは"New W97M"として検出されます(4.0.70エンジン & 4071DAT以降 の組み合わせの場合)

このウイルスは、MAPI Eメール(Outlook)を介して到着します。Eメールの形式は以下の通りです。

件名' You've GOT Mail !!! '
本文'Please, saved the document after you read and don't show to anyone else. The document is also VIRUS FREE...so DISREGARD the virus protection warning !!!'
添付ファイルinfected .DOC

またOfficeのXLSTARTフォルダに'CYBERNET.XLS'というファイルが作成されます。これによりユーザーシステムで使用されたワークブックにウイルス感染が発生します。またXLSTARTフォルダにファイルが存在していた場合、それは削除されます。

このウイルスには以下の(実際には表示されない)コメント行が含まれています。

'W97M/CyberNET (C)2000 - Indonesia By AnomOke!
'I'm NOT Responsible For Any Damage That Posible Cause By My Virus...!!!'

もし感染ファイルがオープンされ、マクロの実行が可能になっていた場合、既存のマクロ警告設定が、レジストリ・インポート・ファイルを使って低められます。このファイルはc:ドライブのルートに"CyberNET.reg"というファイル名で作成され、REGEDIT.EXEを使ってインポートされます。

感染ワークブックまたはドキュメントがホストシステムでオープンされた場合、まずグローバルテンプレート'NORMAL.DOT'の削除が試みられ、その後、ウイルスコードを含んだテンプレートが新たに作成されます。

このウイルスが8月17日または12月25日に作動した場合、以下の発病ルーチンが動作します。

  • アクティブな文書の中に、任意のサイズ、色を持つ図形がランダムにオーバーレイされます。

  • AUTOEXEC.BATの中に、ハードドライブを再フォーマットするコマンドを付与する。

    CONFIG.SYSファイルに、AUTOEXEC.BATファイルの実行を中止/無視することができなくなるような命令が追加されます。

    上記のAUTOEXEC.BATおよびCONFIG.SYS改変は、Windows 9xクライアントでのみ発生します。(WIndows NTではAUTOEXEC.BATおよびCONFIG.SYSを使用しません)。

  • 以下のメッセージボックスが表示されます。

    '(C)2000 - CyberNET'
    'Assalamualaikum Li Kulli Muslim...Moslem Power Never End...'
    'Nothing Can Stop ≪ CyberNET ≫ Virus. Your System Has Already Infected !!!'
    'Now...I Am Outta Here...'

    [OK]

    ユーザーがOKボタンを押した場合、このウイルスはWindowsをexitしようとします。