ウイルス情報

ウイルス名

W97M/Caligula.a

危険度
対応定義ファイル 4012 (現在7628)
対応エンジン  (現在5600) 
エンジンバージョンの見分け方
別名 Caligula
発見日(米国日付) 98/03/01


新たに発見されたWord97のマクロウイルスで、ファイルへのエクスポート/ファイルからのインポートにより感染する。ウイルスコードの寄生先ファイルは"c:\io.vxd"である。

このウイルスはCALIGULAというモジュール名でAUTOCLOSEマクロを使用する。

またこのウイルスは感染した文書やテンプレートを以下のプロパティを使い改変する。

作成者: "Opic"
タイトル: "WM97/Caligula Infection"
サブタイトル: "A Study In Espionage Enabled Viruses."
コメント: "The Best Security Is Knowing The Other Guy Hasn't Got Any."
キーワード: " | Caligula | Opic | CodeBreakers | "

マクロ警告機能を無効にし、normal.dotおよび変更実行確認の保存を促す。

ツール → マクロ → Visual Basic Editorを無効にする。

メニューアイテムのツール → マクロ、ツール → ユーザー設定、表示 → ツールバーを無効にする。

毎月31日に、以下のようなメッセージボックスを表示する。

ユーザー名が"Caligula"でない場合、PGP Secure Keyringの検索、送信ルーチンを実行する−レジストリから読み出されたユーザー名。

"HKEY_CURRENT_USER\Software\Microsoft\MS Setup
(ACME)\User Info"

レジストリエントリを使用してPGP Secure Keyringを検索し、PGPインストールパスを入手する。

キーが存在しない場合には、終了するか、PGPパス内の"Secring.skr"を検索する。

ファイルが見つかると、"c:\cdbrk.vxd" として書かれたスクリプトファイルおよび隠しプロセス内のftp.exeを使用しそのファイルをウイルス作成者のftpサイトに、アップロードする。

コンピュータユーザ名は"Caligula"と設定される。

Caligulaは、ファイルを盗み送信するウイルスの最新種である。最近発見されたこの種のウイルスには、AOLのパスワードと最近開いたウェブサイトを盗むPicture.exe* がある。PGP暗号化ユーザが強力なパスフレーズを使用する限り、この種のウイルスによる深刻なセキュリティリスクは生じない。

この新種ウイルスは、ユーザが強力なパスフレーズを使用すべきであることを再認識させるものであり、ネットワークアソシエイツでは、文字、数字、記号、句読点を組み合わせたパスフレーズの使用を奨励している。強力なパスフレーズの条件に関する詳細についてはPGPヘルプファイルおよびドキュメンテーションファイルを参照のこと。

例: ",THx1lb<V+" などの強力なパスフレーズの解読はほとんど不可能(3.8 X 108年)であるが、"dogie" などの弱いパスフレーズは40分ほどで解読されてしまう。