製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:M
ウイルス情報
ウイルス情報

ウイルス名
W97M/Melissa.i@mm
危険度
対応定義ファイル4023 (現在7401)
対応エンジン4.0.25以降 (現在5600) 
エンジンバージョンの見分け方
別名Empirical
発見日(米国日付)99/04/20
概要ウイルスの特徴感染症状感染方法駆除方法

セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
03/31RDN/Generic....
03/31StartPage-NY...
03/31PWS-Banker.g...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7401
 エンジン:5600
 
ウイルス検索
 




W97M/Melissa.Iは、Word 97のクラスモジュールに感染するマクロウイルスであり、Word 2000マクロウイルスに上位変換することもできる。

このウイルスは、感染した他のユーザからOutlookを通じてシステムに感染することができる。これは、最も一般的な感染方法であると思われる。ユーザは、感染していることに気づかず、送信者も感染文書を送信したことに気づかない。マクロセキュリティの設定が有効である場合は、感染文書に対する警告をユーザが受けられるようにすることもできる。この警告は、感染文書を開くときにユーザに表示される。

Wordで感染文書が閉じられると、このウイルスはレジストリ内の設定をチェックして、そのシステムが感染しているかどうかを確かめる。

まだ感染していない場合は、レジストリに次のエントリを作成する。

HKEY_CURRENT_USER\Software\Microsoft\Office\"Profiles" =
"Empirical"

(このキーが存在する場合、電子メールプロセスは実行せず、ウイルスに感染したままとなる。AVERTでは、このキーを削除しないように勧めている。)

(予防メッセージとして、このレジストリキーを作成し、ウイルスが発動しないようにすることができる。)

また、このウイルスは、Visual Basic命令を使用してOutlookオブジェクトを作成し、Outlookグローバルアドレス帳からメンバー一覧を読み取る。次に、電子メールメッセージを作成し、プログラムによって、すべてのアドレス帳にある最初の50の宛先に対して一度に1通づつ送信する。このメッセージは、次の件名で作成される。

"Cheap Software"

メッセージの本文は、次のとおりである。

"The attached document contains a list of web sites
where you can obtain Cheap Software"

ウイルスの作成者は、件名と本文を8通りの組み合わせで変化させるつもりでいたが、バグのため、生成される件名と本文は一定している。

アクティブな感染文書が添付された電子メールが送信される。いったんシステムが感染すると、作成した文書や開いた文書もすべて感染する。どのような文書でも送信が可能であるため、感染文書を受け取ったユーザは、それまで感染していなくても、その文書によって感染する恐れがあり、このプロセスは延々と続く。

このウイルスには、発病ルーチンがある。時間値が分値に等しい ときに(60分の1の確率)感染文書が開かれると、現在のカーソル位置に次のテキストが挿入される。

"All empires fall, you just have to know where to push."

また、レジストリキーはリセットされるので、次にウイルスがアクティブ化したときに、別の電子メール(もう1通)を送信する試みがなされる。

このウイルスは、レジストリの値をチェックして、Office2000に低レベルのセキュリティがないかを調べる。これは、値HKEY_CURRENT_USER\Software\Microsoft\
Office\9.0\Word\Security\"Level"がヌルではない場合に行われる。

また、このウイルスは、"MACRO/SECURITY"メニューオプションを無効にする。

それ以外の場合は、Word97のメニューオプション"TOOLS/MACRO"が無効になっている。