ウイルス情報ウイルス情報| 種別 | ウイルス | | ファイルサイズ | 低 | 最小定義ファイル
(最初に検出を確認したバージョン) | 4080 | 対応定義ファイル
(現在必要とされるバージョン) | 4080 (現在7080) | | 対応エンジン | 4.0.50以降 (現在5.4.00)
エンジンバージョンの見分け方 | | 別名 | Cybernet, OF97/Cybernet-A, X97M/Cybernet@mm | | 情報掲載日 | 00/5/26 | | 発見日(米国日付) | 00/5/25 | | 駆除補足 | ウイルス駆除のヒント
| |
|
|
これはWord/Exce 97/2000のマクロウイルスです。不審なEメールの添付ファイルの形で届きます。このウイルスは、アドレス帳の先頭50人にメールを送付するという、W97M/Melissaによく似た形で繁殖します。
|
AVERTは、現在のところ(注 ← 米国日付5/25の時点)、顧客からはこのウイルスの発生報告を受けていません。
なお、VirusScanのヒューリスティク機能(マクロ解析。/MANALYSE)を使った場合、このウイルスは"New W97M"として検出されます(4.0.70エンジン & 4071DAT以降 の組み合わせの場合)
|
このウイルスは、MAPI Eメール(Outlook)を介して到着します。Eメールの形式は以下の通りです。
| 件名 | ' You've GOT Mail !!! ' |
| 本文 | 'Please, saved the document after you read and don't show to anyone else. The document is also VIRUS FREE...so DISREGARD the virus protection warning !!!' |
| 添付ファイル | infected .DOC |
またOfficeのXLSTARTフォルダに'CYBERNET.XLS'というファイルが作成されます。これによりユーザーシステムで使用されたワークブックにウイルス感染が発生します。またXLSTARTフォルダにファイルが存在していた場合、それは削除されます。
このウイルスには以下の(実際には表示されない)コメント行が含まれています。
'W97M/CyberNET (C)2000 - Indonesia By AnomOke!
'I'm NOT Responsible For Any Damage That Posible Cause By My Virus...!!!'
もし感染ファイルがオープンされ、マクロの実行が可能になっていた場合、既存のマクロ警告設定が、レジストリ・インポート・ファイルを使って低められます。このファイルはc:ドライブのルートに"CyberNET.reg"というファイル名で作成され、REGEDIT.EXEを使ってインポートされます。
感染ワークブックまたはドキュメントがホストシステムでオープンされた場合、まずグローバルテンプレート'NORMAL.DOT'の削除が試みられ、その後、ウイルスコードを含んだテンプレートが新たに作成されます。
このウイルスが8月17日または12月25日に作動した場合、以下の発病ルーチンが動作します。
- アクティブな文書の中に、任意のサイズ、色を持つ図形がランダムにオーバーレイされます。
- AUTOEXEC.BATの中に、ハードドライブを再フォーマットするコマンドを付与する。
CONFIG.SYSファイルに、AUTOEXEC.BATファイルの実行を中止/無視することができなくなるような命令が追加されます。
上記のAUTOEXEC.BATおよびCONFIG.SYS改変は、Windows 9xクライアントでのみ発生します。(WIndows NTではAUTOEXEC.BATおよびCONFIG.SYSを使用しません)。
- 以下のメッセージボックスが表示されます。
'(C)2000 - CyberNET'
'Assalamualaikum Li Kulli Muslim...Moslem Power Never End...'
'Nothing Can Stop ≪ CyberNET ≫ Virus. Your System Has Already Infected !!!'
'Now...I Am Outta Here...'
[OK]
ユーザーがOKボタンを押した場合、このウイルスはWindowsをexitしようとします。
