製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:M
ウイルス情報
ウイルス情報

ウイルス名
W97M/Melissa.W
これはWord 97の文書に感染するウイルスである。Word 97のSR-1リリースで自己複製が可能。Word 97のマクロ警告機能をオフにする。このウイルスは感染ルーチンの作動中に、文書あるいはテンプレートの"ThisDocument"ストリーム(別名クラス モジュール)を使用する。これはW97M/Melissa.aウイルスを真似たものであり、MS Outlookで感染したファイルを送信するという発病ルーチンをもつ。このウイルスにはもう1つの発病ルーチンが存在する。これは日付で発動するもので、12月25日にハードドライブ(Windows 9xシステム)を初期化する。

このウイルスは、Word 97を開くというシステムイベントを、サブルーチン"Document_Open"でフックし、これによりコードを発動させる。この他フックされるシステム イベントは、感染後にグローバル テンプレートでサブルーチン"Document_Close"による、文書の終了である。

このウイルスは、あるレジストリ キーが存在するかどうかをチェックし、ローカル システムがすでに感染しているかどうかを自己検証する。以下がそのキーである。

"HKEY_CURRENT_USER\Software\Microsoft\Office\" "CyberNET"="(C)1999 - Indonesia by AnomOke!"

このキーが検出されなければ、このウイルス コードはVBAインストラクションを用いてMS Outlookの電子メール メッセージを作成する。そのメッセージは、件名:"Message From (Office97 ユーザ名)"、本文:"This document is very Important and you've GOT to read this !!!"というものである。使用できるすべてのアドレス帳の上位50のアドレスを受信者として選択し、その後感染した文書を添付したメッセージを送信する。最後に、そのウイルス コードが上記のレジストリ キーを作成する。

このキーが存在すれば、電子メールの送信が繰り返されることはない。

日付が12月25日(年は関係ない)であれば、このウイルスは悪質な発病ルーチンを作動し、既存のC:\AUTOEXEC.BATファイルを以下のインストラクションで上書きする。
"@echo off"
"@echo Vine...Vide...Vice...Moslem Power Never End..."
"@echo Your Computer Have Just Been Terminated By
-= CyberNET =- Virus !!!"
"ctty nul"
"format c: /autotest /q /u"

AUTOEXEC.BATはWindows NTでは使用されないため、この発病ルーチンがそのオペレーティング システムで発動することはない。次回コンピュータを再起動すると、AUTOEXEC.BATファイルが起動し、ハード ドライブの自動フォーマットを無条件におこなう。

また、Word97に以下のメッセージ ボックスが表示される。

(C) 1999 - CyberNET
Vine... Vide... Vice...Moslem Power Never End...
You Dare Rise Against Me... The Human Era is
Over, The CyberNET Era Has Come!!!
[OK]

ダイアログ ボックスのOKをクリックすると、数、色、サイズ、形それぞれが無作為のオブジェクトが、その文書を上から覆うように埋め尽くす。このように、文書の上をオブジェクトが覆うものは他にW97M/Priウイルスがある。

以下の症状があった場合は、本ウイルスに感染している恐れがある。 感染文書を開いた際のマクロ警告。グローバルテンプレートのサイズの増加。メッセージの表示(上記参照)。電子メールの送信(上記参照)。