製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:PQ
ウイルス情報
ウイルス情報

ウイルス名
W97M/Pri.q@MM
種別ウイルス
ファイルサイズ
最小定義ファイル
(最初に検出を確認したバージョン)
対応定義ファイル
(現在必要とされるバージョン)
4054 (現在7607)
対応エンジン4.0.50以降 (現在5600) 
エンジンバージョンの見分け方
別名Macro.Word97.Melissa.w, O97M.CyberNet.A, W97M/Prilissa, W97M_PRILISSA, WM97/Melissa-AG
情報掲載日99/11/17
発見日(米国日付)99/11/17
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法

セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
10/29RDN/Generic....
10/29Generic.bfr!...
10/29Generic Drop...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7607
 エンジン:5600
 
ウイルス検索
 




このウイルスは、12月25日(クリスマス)に発病し、ハードディスクを無条件フォーマットします(Windows 9xの場合)。


ウイルス情報

PrillisaはWord97に感染するマクロウイルスです。Word 97のSR-1リリースでも自己複製が可能です。またWord97のマクロ警告機能をオフにします。このウイルスは、感染ルーチンの中で、ドキュメントまたはテンプレートのThisDocumentストリーム、またはクラスモジュールを使用します。これはW97M/Melissaウイルスを真似たウイルスであり、MS Outlookを介してウイルス文書を送付するという発病機能を有しています。また、

1):12/25に発病し、ハードディスクを再フォーマットする(Windows 9xシステムの場合、)

2): アクティブ文書にランダムな図形を上書きする、

という発病もあります。この図形上書き機能は、W97M/Priウイルスを真似た物です。こうした性質を考慮し、本ウイルスの名前は、W97M/MelissaとW97M/Priを結合させたW97M/Prilissaというものになりました。

このウイルスはWord 97での文書オープン・システム・イベントをフックします。フックされるのは"Document_Open"というサブルーチンです。この時、ウイルスコードが発動します。また感染後には、グローバル・テンプレートの中の"Document_Close" により、文書のクローズがフックされます。

このウイルスは、あるレジストリ・キーの有無を調べることにより、ローカル・システムに感染済みかどうかを調べます。そのキーは以下のものです。

"HKEY_CURRENT_USER\Software\Microsoft\Office\" "CyberNET"="(C)1999 - Indonesia by AnomOke!"

このキーが発見されなかった場合、Prilissaは、VBA命令を使って、MS-Outlook 電子メール・メッセージを作成します。この時、件名は、"Message From [ Office 97のユーザー名 ] "となります。またメール本文は"This document is very Important and you've GOT to read this !!!"となります。使用可能なアドレスブックすべての中から、最初の50アドレスが、このメールの宛先として使われます。このメールは、ウイルス感染ファイルが添付されます。以上を完了した後、Prilissaは上記のレジストリ・キーを作成します。

なお、このキーが存在していた場合、上記のEメール送付は、行われません。

年が何年であるかに関わらず、日付が12月25日であった場合、このウイルスは、破壊的な発病を発生させます。具体的には、既存のC:\AUTOEXEC.BATファイルを以下のように改竄し、C:ドライブをフォーマットしようとします。

"@echo off"
"@echo Vine...Vide...Vice...Moslem Power Never End..."

この命令により、次回PC起動時には、ハードドライブが、自動無条件フォーマットされることになります。

また、Word97において以下のようなメッセージボックスが表示されます。

-Microsoft WordX

(C) 1999 - CyberNET
Vine... Vide... Vice...
Moslem Power Never End...
You Dare Rise Against Me...
The Human Era is Over,
The CyberNET Era Has Come!!!


OK

ここで「OK」をクリックすると、色、サイズ、形、数をランダムな形にしたオブジェクトが、文書をオーバーレイ上書きします。このオーバーレイ上書きは、W97M/Priウイルスで使われていた手法です。

以下の時点でご注意ください。

  • グローバルテンプレートのサイズが増え、感染されたファイルを開くとマクロが警告
  • 上記のようなメッセージが表示される
  • 上記のようなEメールが普及されたとき

感染ファイルを開くと、グローバルテンプレート(normal.dot.)に感染します。

駆除方法TOPへ戻る
  • スクリプト、バッチ、マクロ、非メモリ常駐型:
    検出・駆除には現在のエンジンと定義ファイルを使用してください。

  • PE、トロイの木馬、インターネットワーム、メモリ常駐型:
    検出には対応したエンジンと定義ファイルを使用してください。駆除には、MS-DOS モードまたは、起動ディスクを使用して起動し、command line scanner:SCANPM /ADL /CLEAN /ALL を使用してください。

SCANPM /ADL /CLEAN /ALL

 Additional Windows ME/XP removal considerations

AVERT推薦アップデート