ウイルス情報

ウイルス名

W97M/Melissa.i@mm

危険度
対応定義ファイル 4023 (現在7628)
対応エンジン 4.0.25以降 (現在5600) 
エンジンバージョンの見分け方
別名 Empirical
発見日(米国日付) 99/04/20


W97M/Melissa.Iは、Word 97のクラスモジュールに感染するマクロウイルスであり、Word 2000マクロウイルスに上位変換することもできる。

このウイルスは、感染した他のユーザからOutlookを通じてシステムに感染することができる。これは、最も一般的な感染方法であると思われる。ユーザは、感染していることに気づかず、送信者も感染文書を送信したことに気づかない。マクロセキュリティの設定が有効である場合は、感染文書に対する警告をユーザが受けられるようにすることもできる。この警告は、感染文書を開くときにユーザに表示される。

Wordで感染文書が閉じられると、このウイルスはレジストリ内の設定をチェックして、そのシステムが感染しているかどうかを確かめる。

まだ感染していない場合は、レジストリに次のエントリを作成する。

HKEY_CURRENT_USER\Software\Microsoft\Office\"Profiles" =
"Empirical"

(このキーが存在する場合、電子メールプロセスは実行せず、ウイルスに感染したままとなる。AVERTでは、このキーを削除しないように勧めている。)

(予防メッセージとして、このレジストリキーを作成し、ウイルスが発動しないようにすることができる。)

また、このウイルスは、Visual Basic命令を使用してOutlookオブジェクトを作成し、Outlookグローバルアドレス帳からメンバー一覧を読み取る。次に、電子メールメッセージを作成し、プログラムによって、すべてのアドレス帳にある最初の50の宛先に対して一度に1通づつ送信する。このメッセージは、次の件名で作成される。

"Cheap Software"

メッセージの本文は、次のとおりである。

"The attached document contains a list of web sites
where you can obtain Cheap Software"

ウイルスの作成者は、件名と本文を8通りの組み合わせで変化させるつもりでいたが、バグのため、生成される件名と本文は一定している。

アクティブな感染文書が添付された電子メールが送信される。いったんシステムが感染すると、作成した文書や開いた文書もすべて感染する。どのような文書でも送信が可能であるため、感染文書を受け取ったユーザは、それまで感染していなくても、その文書によって感染する恐れがあり、このプロセスは延々と続く。

このウイルスには、発病ルーチンがある。時間値が分値に等しい ときに(60分の1の確率)感染文書が開かれると、現在のカーソル位置に次のテキストが挿入される。

"All empires fall, you just have to know where to push."

また、レジストリキーはリセットされるので、次にウイルスがアクティブ化したときに、別の電子メール(もう1通)を送信する試みがなされる。

このウイルスは、レジストリの値をチェックして、Office2000に低レベルのセキュリティがないかを調べる。これは、値HKEY_CURRENT_USER\Software\Microsoft\
Office\9.0\Word\Security\"Level"がヌルではない場合に行われる。

また、このウイルスは、"MACRO/SECURITY"メニューオプションを無効にする。

それ以外の場合は、Word97のメニューオプション"TOOLS/MACRO"が無効になっている。