製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:M
ウイルス情報
ウイルス情報

ウイルス名
W97M/Melissa@MM
危険度
対応定義ファイル4117 (現在7600)
対応エンジン4.0.70以降 (現在5600) 
エンジンバージョンの見分け方
別名Anniv.doc, List.doc, Macro.Word97.Melissa, Melissa, Melissa-W, Melissa.a, Mid/Melissa-X, W2001MAC/Melissa.W-mm, W97M.Melissa.w, W97M/Mailissa, W97M/Melissa.a@MM, W97M_MELISSA.A
亜種W97M/Melissa.o, W97M/Melissa.gen@MM
発見日(米国日付)97/03/26
概要ウイルスの特徴感染症状感染方法駆除方法

セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
10/22Generic Down...
10/22Generic Down...
10/22FakeAV-M.bfr...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7600
 エンジン:5600
 
ウイルス検索
 




情報のアップデート(2001/1/22)
MAC版Office形式のMeliisaウイルスにつき、Extra.datを更新しました。

前回のExtra.datとの違い:

1/19分:検出のみ可能
今回1/22分:検出および駆除が可能

ダウンロードはこちら

(注:ファイル名は、EXTRA001018.zipから、EXTRA010122.zipへ変更しました)

MAC版Office形式のMeliisaウイルスについて(2001/1/19)
W97M/Melissa@MMは従来、Windows形式のOfficeファイル形式で蔓延していましたが、最近になってAVERTにWord9 / Office2001 for Macの形式の被害報告が複数件、寄せられるようになりました。

  • このファイル形式は、Mac Office2001に特有の物です。

  • しかしそのファイルを母体にしてOffice98 for Windows (または for Mac)あるいはOffice2000 for Windows へのウイルス感染が起こることがあります。

  • ですので、社内システムでMAC版Officeを使っている皆様、あるいは自社使用システムはWindows Officeだが、メールを通じてMAC版ファイル形式のOfficeファイルをやりとりする機会のある皆様は、特に注意が必要です。

  • この形式のMelissaウイルスに対応するには、DAT4117とエンジン4070が必要です。

  • DAT4117は、2001/1/25にリリースする予定です。

  • それまでの間にこのウイルスに対応するための差分ファイルExtra.datの方も用意しております。

    ダウンロードはこちら


種別ウイルス
ファイルサイズ
最小定義ファイル
(最初に検出を確認したバージョン)
対応定義ファイル
(現在必要とされるバージョン)
4021 (現在7600)
対応エンジン4.0.25以降 (現在5600) 
エンジンバージョンの見分け方
亜種Anniv.docList.doc, Macro.Word97.Melissa, Melissa, Melissa.a, W2001MAC/Melissa.W-mm, W97M/Mailissa, W97M/Melissa.a@MM, W97M_MELISSA.A
情報掲載日99/03/29
発見日(米国日付)99/03/29
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
10/22Generic Down...
10/22Generic Down...
10/22FakeAV-M.bfr...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7600
 エンジン:5600
 
ウイルス検索
 


 

Melissaは、Word97 クラス・モジュール・マクロウイルスです。Word2000マクロウイルスへの上位コンバートもありえます。このウイルスは、NAIのDr Solomon's VirusPatorolのalt.sexニューズグループに対する調査を通じ、3/26に初めて発見されました。本ウイルスは、世界各地に急速に広まり、多くのユーザーに被害を広げています。

Melissaに感染したOutlookユーザーからメールを受け取り、添付ファイルをオープンした場合、受信者はMelissaに感染します。Melissaに感染したユーザーは自分が感染したことを明示的に知ることはありません。また送信者側も、ウイルス感染文書が送信されたことを、明示的に知ることはありません。ただし、マクロ・セキュリティ機能が有効になっている場合には、ユーザーは警告を受けます。この警告は、文書のオープン時に、表示されます。

Melissa感染文書がオープンされると、このウイルスは、レジストリの設定を調査して、システムがMelissaに感染済みかどうかをテストします。

まだ感染が発生していない場合、Melissaは、レジストリに以下のエントリを作成します。

HKEY_CURRENT_USER\Software\Microsoft\Office\"Melissa?" = "... by Kwyjibo"

(このキーが存在していた場合、ウイルス感染は発生しますが、eメール・プロセスは実行されません。AVERTは、このキーを削除しないことを勧めます)。

(あるいは、本ウイルスの本起動を防ぐために、このレジストリキーを意図的に作成する、という手段も一考に価いします)。

本ウイルスは、Visual Basic命令を使ってOutlookオブジェクトを作成し、さらにOutlook Global Address Bookからメンバ・リストを読み取ります。Eメール・メッセージが作成され、最初の50メンバにそのメールを一度に送付します。このメッセージは以下のタイトルを有します。

"Important Message From - <ユーザー名>"
([ユーザー名] からの重要なお知らせ)

メッセージ本文は以下のようになります。

"Here is that document you asked for ... don’t show anyone else ;-)".
(頼まれていた文書です。他の人には見せないでくださいね :-) )

さらにアクティブな感染文書がEメールに添付され、送信されます。添付される文書は、よくあるファイル名のList.DOCというものですが、実際には、送受信されうる文書はこれだけではありません。一度システムが感染すると、オープンされるすべて文書が感染します。

どんな文書が送信された場合でも、Melissa未感染ユーザーが感染文書を受信した場合、本ウイルスに感染してしまい、プロセスが続行されることになります。

このウイルスには発病ルーチンがあります。その時の「日」と「分」が同一値の場合、感染文書がオープンされ、現在カーソル位置に以下の文章が挿入されます。

" Twenty-two points, plus triple-word-score, plus fifty points for using all my letters. Game's over. I'm outta here."

このウイルスは、レジストリ値を検査し、Office2000のセキュリティレベルが低くなっているかどうか、すなわちレジストリ値HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Word\Security\"Level"がNull値(値なし)になっていないかどうかを調べます。Nullの場合は、MACRO | SECURITYメニュー・オプションが無効化されます。そうでない場合は、Word97のメニューオプションTOOLS/MACROが無効化されます。

本ウイルスのコメント部分には、以下の文字列が見受けられます。

'WORD/Melissa written by Kwyjibo

'Works in both Word 2000 and Word 97

'Worm? Macro Virus? Word 97 Virus? Word 2000 Virus? You Decide!

'Word -> Email | Word 97 <--> Word 2000 ... it's a new age!

駆除方法TOPへ戻る
  • スクリプト、バッチ、マクロ、非メモリ常駐型:
    検出・駆除には現在のエンジンと定義ファイルを使用してください。

  • PE、トロイの木馬、インターネットワーム、メモリ常駐型:
    検出には対応したエンジンと定義ファイルを使用してください。駆除には、MS-DOS モードまたは、起動ディスクを使用して起動し、command line scanner:SCANPM /ADL /CLEAN /ALL を使用してください。

SCANPM /ADL /CLEAN /ALL

 Additional Windows ME/XP removal considerations

AVERT推薦アップデート