ウイルス情報ウイルス情報| 危険度 | 低 | | 対応定義ファイル | 4117 (現在7084) | | 対応エンジン | 4.0.70以降 (現在5.4.00)
エンジンバージョンの見分け方 | | 別名 | Anniv.doc, List.doc, Macro.Word97.Melissa, Melissa, Melissa-W, Melissa.a, Mid/Melissa-X, W2001MAC/Melissa.W-mm, W97M.Melissa.w, W97M/Mailissa, W97M/Melissa.a@MM, W97M_MELISSA.A | | 亜種 | W97M/Melissa.o, W97M/Melissa.gen@MM | | 発見日(米国日付) | 97/03/26 | |
|
|
| 情報のアップデート(2001/1/22) | |
MAC版Office形式のMeliisaウイルスにつき、Extra.datを更新しました。
前回のExtra.datとの違い:
1/19分:検出のみ可能
今回1/22分:検出および駆除が可能
ダウンロードはこちら
(注:ファイル名は、EXTRA001018.zipから、EXTRA010122.zipへ変更しました)
|
| MAC版Office形式のMeliisaウイルスについて(2001/1/19) | |
W97M/Melissa@MMは従来、Windows形式のOfficeファイル形式で蔓延していましたが、最近になってAVERTにWord9 / Office2001 for Macの形式の被害報告が複数件、寄せられるようになりました。
- このファイル形式は、Mac Office2001に特有の物です。
- しかしそのファイルを母体にしてOffice98 for Windows (または for Mac)あるいはOffice2000 for Windows へのウイルス感染が起こることがあります。
- ですので、社内システムでMAC版Officeを使っている皆様、あるいは自社使用システムはWindows Officeだが、メールを通じてMAC版ファイル形式のOfficeファイルをやりとりする機会のある皆様は、特に注意が必要です。
- この形式のMelissaウイルスに対応するには、DAT4117とエンジン4070が必要です。
- DAT4117は、2001/1/25にリリースする予定です。
- それまでの間にこのウイルスに対応するための差分ファイルExtra.datの方も用意しております。
ダウンロードはこちら
|
| 種別 | ウイルス | | ファイルサイズ | 低 | 最小定義ファイル
(最初に検出を確認したバージョン) | | 対応定義ファイル
(現在必要とされるバージョン) | 4021 (現在7084) | | 対応エンジン | 4.0.25以降 (現在5.4.00)
エンジンバージョンの見分け方 | | 亜種 | Anniv.docList.doc, Macro.Word97.Melissa, Melissa, Melissa.a, W2001MAC/Melissa.W-mm, W97M/Mailissa, W97M/Melissa.a@MM, W97M_MELISSA.A | | 情報掲載日 | 99/03/29 | | 発見日(米国日付) | 99/03/29 | | 駆除補足 | ウイルス駆除のヒント
| |
|
|
Melissaは、Word97 クラス・モジュール・マクロウイルスです。Word2000マクロウイルスへの上位コンバートもありえます。このウイルスは、NAIのDr Solomon's VirusPatorolのalt.sexニューズグループに対する調査を通じ、3/26に初めて発見されました。本ウイルスは、世界各地に急速に広まり、多くのユーザーに被害を広げています。
Melissaに感染したOutlookユーザーからメールを受け取り、添付ファイルをオープンした場合、受信者はMelissaに感染します。Melissaに感染したユーザーは自分が感染したことを明示的に知ることはありません。また送信者側も、ウイルス感染文書が送信されたことを、明示的に知ることはありません。ただし、マクロ・セキュリティ機能が有効になっている場合には、ユーザーは警告を受けます。この警告は、文書のオープン時に、表示されます。
Melissa感染文書がオープンされると、このウイルスは、レジストリの設定を調査して、システムがMelissaに感染済みかどうかをテストします。
まだ感染が発生していない場合、Melissaは、レジストリに以下のエントリを作成します。
HKEY_CURRENT_USER\Software\Microsoft\Office\"Melissa?" = "... by Kwyjibo"
(このキーが存在していた場合、ウイルス感染は発生しますが、eメール・プロセスは実行されません。AVERTは、このキーを削除しないことを勧めます)。
(あるいは、本ウイルスの本起動を防ぐために、このレジストリキーを意図的に作成する、という手段も一考に価いします)。
本ウイルスは、Visual Basic命令を使ってOutlookオブジェクトを作成し、さらにOutlook Global Address Bookからメンバ・リストを読み取ります。Eメール・メッセージが作成され、最初の50メンバにそのメールを一度に送付します。このメッセージは以下のタイトルを有します。
"Important Message From - <ユーザー名>"
([ユーザー名] からの重要なお知らせ)
メッセージ本文は以下のようになります。
"Here is that document you asked for ... don’t show anyone else ;-)".
(頼まれていた文書です。他の人には見せないでくださいね :-) )
さらにアクティブな感染文書がEメールに添付され、送信されます。添付される文書は、よくあるファイル名のList.DOCというものですが、実際には、送受信されうる文書はこれだけではありません。一度システムが感染すると、オープンされるすべて文書が感染します。
どんな文書が送信された場合でも、Melissa未感染ユーザーが感染文書を受信した場合、本ウイルスに感染してしまい、プロセスが続行されることになります。
このウイルスには発病ルーチンがあります。その時の「日」と「分」が同一値の場合、感染文書がオープンされ、現在カーソル位置に以下の文章が挿入されます。
" Twenty-two points, plus triple-word-score, plus fifty points for using all my letters. Game's over. I'm outta here."
このウイルスは、レジストリ値を検査し、Office2000のセキュリティレベルが低くなっているかどうか、すなわちレジストリ値HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Word\Security\"Level"がNull値(値なし)になっていないかどうかを調べます。Nullの場合は、MACRO | SECURITYメニュー・オプションが無効化されます。そうでない場合は、Word97のメニューオプションTOOLS/MACROが無効化されます。
本ウイルスのコメント部分には、以下の文字列が見受けられます。
'WORD/Melissa written by Kwyjibo
'Works in both Word 2000 and Word 97
'Worm? Macro Virus? Word 97 Virus? Word 2000 Virus? You Decide!
'Word -> Email | Word 97 <--> Word 2000 ... it's a new age!
| 
