ウイルス情報

ウイルス名

W97M/Melissa.au@mm

種別 ウイルス
ファイルサイズ
最小定義ファイル
(最初に検出を確認したバージョン)
4073
対応定義ファイル
(現在必要とされるバージョン)
4073 (現在7628)
対応エンジン 4.0.25以降 (現在5600) 
エンジンバージョンの見分け方
別名 Elecciones2000, W97M/Elecciones2000
情報掲載日 00/04/14
発見日(米国日付) 00/03/28
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法


これは Word97/2000 の文書とテンプレートに感染する、クラスモジュール型のマクロウイルスです。このウイルスは最初の VB プロジェクトの名前を"ThisDocument"から"Abril9_1"に変更します。また、マクロ警告機能をオフにします。このウイルスは、感染文書を開くというWord イベントをフックすることにより動作します。一度、グローバル テンプレート NORMAL.DOT が感染すると、文書を閉じるというイベントが感染ルーチンを実行します。またこのウイルスは、感染した文書を MS Outlook で他のユーザに送信します。

このウイルスは、4月9日(2000年)に予定されている、ペルーの大統領選挙との関係があります。

このウイルスには 感染した文書を送信するという Eメール ルーチンがあります。そしてレジストリに以下の値があるかどうかを検査します。

"HKEY_CURRENT_USER\Software\Microsoft\Office\"
"Elecciones2000" = "Pacocha :-P"

この値が上記と同じでない場合、そして MAPI アプリケーションが Outlook である場合、添付された感染文書で、あるメッセージが作成されます。その Eメールには以下のような特徴があります。

1月から4月まで、毎月1日から9日の間に、感染したユーザから受け取ったメッセージには、
"Elecciones 2000: ultima encuesta Apoyo!"
というタイトルの付いた、感染ファイルが添付されています。

それ以外の期間では、感染ファイルのタイトルが、
"Urgente: Confirmar!"
になります。

"Apoyo"とは、ペルーにある調査会社の名前です。このウイルスには以下の文字列が含まれていますが、画面に表示されることはありません。
'21 Enero VIRUS ELECTORAL 1.7 Pacocha
'La_Huaca_100

またこのウイルスには、4月から12月までの毎月9日に動作するように設定された、被害をもたらす発病があります。すべてのドライブに保存された全ファイルは、C ドライブからZ ドライブまですべてのサブフォルダから次々と削除されます。