ウイルス情報

ウイルス名

W97M/ColdApe.A

危険度
対応定義ファイル 4018 (現在7656)
対応エンジン  (現在5600) 
エンジンバージョンの見分け方
発見日(米国日付) 99/03/01


このウイルスは "In the Wild" として1998年12月に、初めてワイルドリストに登録された。

このウイルスは、Word 97 の文書に感染し、Word 97 のマクロ警告機能をオフにする。このマクロウイルスは Word の NORMAL.DOT ファイルに感染する。W97M/ColdApe.A は、ThisDocument というモジュールで構成される。

このウイルスは、自己検査として"AVM"という文字列を検索する。一行目に"AVM"の文字列が存在する文書(および NORMAL.DOT)は、ColdApe の亜種には感染しない。以下はその例。

    Sub KeepSafe()

    'AVM

    End Sub

W97M/ColdApe.A は、Windows のレジストリに以下を追加する。

HKEY_USERS\.Default\Software\VB and VBA Program
Settings\Office\8.0\AVM-DC="6" この値 (ここでは6)は、曜日に基づいた可変値である。

さらに、WSH (Windows Scripting Host) がインストールされていれば、"A4.VBS" と"HAPPY.VBS" (どちらも Visual Basic スクリプト ファイル)を落とし込み、ユーザが気づかないうちにそれらを起動する。

HAPPY.VBS はそれ自体が、寄生的な visual basic スクリプト ウイルスであり、以下の文字列を含んでいる。

' Nick "The Love Monkey" Virus Package by ALT-F4 and
ALT-F11 for the Alternative Virus Mafia

この“スクリプト ウイルス”は、自らを別の visual basic スクリプト ファイルに付着させる。

A4.VBS は以下の文字列を含む visual basic スクリプトである。

Dear Nicky... my name is and I want to make hot monkey love with you. You anti-virus stud!

これはウイルスではなく、ColdApe の発病ルーチンの一部である。このスクリプトが、被害者の IP アドレスと上記のテキストをavm@nym.alias.net とウイルス対策研究員の Nick FitzGerald 氏に電子メール送信する。