ウイルス情報

ウイルス名

W97M/Melissa.ak@mm

種別 ウイルス
ファイルサイズ
最小定義ファイル
(最初に検出を確認したバージョン)
4062
対応定義ファイル
(現在必要とされるバージョン)
4062 (現在7628)
対応エンジン 4.0.25以降 (現在5600) 
エンジンバージョンの見分け方
別名 WM97/Melissa-AK
亜種 W97M/Melissa.a
情報掲載日 00/02/07
発見日(米国日付) 00/01/20
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法


* 注意:この解説の作成時点で、AVERT-USAは3件の被害報告を受けています。*

これはWord 97の文書に感染するウイルスです。Word 97のSR-1以上のリリースで自己複製が可能です。Word 97のマクロ警告機能をオフにします。このウイルスは、クラスモジュールストリーム内の単体モジュールで構成されています。クラスモジュールストリームは、"ThisDocument"から"SymbytesVer7"に名前が変わります。このウイルスは、原型のW97M/Melissa.aからカットアンドペーストしたもので、変更点はほとんどありません。主な違いは、レジストリキー、件名、電子メールの本文です。

このウイルスは、v4.0.25以上のエンジンと最新のDATファイルを使い、ヒューリスティックスキャンによって"W97M/Melissa.gen"の亜種として検出されます。

このウイルスはレジストリの中の設定を検査し、そのシステムがすでに感染しているかどうかをテストします。また、レジストリの値を検査することにより、Office2000のセキュリティレベルが低いかどうかを検査します。

HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Word\Security\"Level" の値が有効である場合、"MACRO/SECURITY"メニューオプションを無効にしてください。無効にしなければ、Word97のメニューオプション"TOOLS/MACRO"が無効になってしまいます。

このウイルスはVisual Basicのインストラクションを使用して、Outlookオブジェクトを作成し、アドレス帳の中から上位50のアドレスを読み込みます。以下のフォーマットで作成された電子メールは、この上位50名に送信されます。

件名:"Impotent Massage From " Application.UserName
本文: "Hear iz dat document you aksed for ... don't show no one else ;-)"

アクティブな感染文書が添付された状態で、電子メールが送信されます。

このウイルスは、
HKEY_CURRENT_USER\Software\Microsoft\Office\
"SymbytesVer7?" = "... by Kwyjibo"
のレジストリにエントリを作成します。

このマクロウイルスの内部には以下のコメントがありますが、画面に表示されることはありません。
'WORD/SymbytesVer7 written by "The Mahatma"
'Works in both Word 2000 and Word 97
'Worm? Macro Virus? Word 97 Virus? Word 2000 Virus? You Decide!
'Word -> Email | Word 97 <--> Word 2000 ... it's a new age!

日にちが分の値と同じになると、以下のテキストが、開いている文書のカーソルの位置に挿入されます。
"Symbytes Ver. 7.x mucking about..The Mahatma."