ウイルス情報

ウイルス名

W97M/Melissa.y

危険度
対応定義ファイル 4002 (現在7656)
対応エンジン  (現在5600) 
エンジンバージョンの見分け方
別名 MelissAyman, W97M/Melissa.y, W97M/MelissAyman
発見日(米国日付) 99/10/25


このウイルスは Word 97/2000 の文書に感染する。Word 97 の SR-1 リリースで自己複製が可能。Word 97 のマクロ警告機能をオフにする。このウイルスは"MelissAyman"というモジュールで構成される。コードの変数を改変しない点、そして MS Outlook で感染ファイルを送信するという発病ルーチンを持つ点から、W97M/Melissa.a を真似たものといえる。

このウイルスは、Word で文書を開くというシステムイベントを、サブルーチン"Document_open"でフックし、これによりコードを発動させる。このウイルス コードには、以下のコメントが含まれる。

'WORD/MelissAyman written by Ayman, "Da Arabian F***er
'Works in Word 2000, Word 97 & your f***en ***!
'Worm? Macro Virus? Word 97 Virus? Word 2000 Virus? You Decide!
'This ain't a new Virus ... it's my new game, ***hole!

感染した文書を開き、このマクロウイルスが起動すると、このウイルスは次のレジストリが存在するかどうかを検査する。

"HKEY_CURRENT_USER\Software\Microsoft\Office\"
"MelissAyman?" = "... by Ayman"

このキーが検出されなければ、MAPI の電子メール アプリケーション MS Outlookを利用した、電子メールでの拡散という発病ルーチンが呼び出される。この電子メール ルーチンは、Outlookのアドレス帳に登録されたアドレスのうち上位10件に電子メールを送付するというものである。その電子メールの「件名」は"Price List 1999 - 2000 from (Word registered username)" 、本文は"have a look on this Document, The Price list for Winter Season ;-)" であり、感染した文書を添付して送信される。

メールの送信後、上記のキーでレジストリが改変される。またこのウイルスは相手を辱めるようなテキストを文書に挿入するという発病ルーチンを有する。感染した文書を日にちの値と分の値が同じ時に開くと、以下のテキストが文書に挿入される。

" ***k you & shave your mama p*****."

W97M/Melissa.a ウイルスと同様、レジストリを改変することで、Office2000のインストール時のマクロ保護レベルが最低のレベルに下げてしまう。

以下の症状があった場合は、本ウイルスに感染している恐れがある。
感染文書を開いた際のマクロ警告。グローバルテンプレートのサイズの増加。電子メールでの拡散(上記参照)。文書を開いた後のテキストの挿入(上記参照)。