ウイルス情報ウイルス情報| 種別 | ウイルス | | ファイルサイズ | 低 | 最小定義ファイル
(最初に検出を確認したバージョン) | | 対応定義ファイル
(現在必要とされるバージョン) | 4054 (現在7080) | | 対応エンジン | 4.0.50以降 (現在5.4.00)
エンジンバージョンの見分け方 | | 別名 | Macro.Word97.Melissa.w, O97M.CyberNet.A, W97M/Prilissa, W97M_PRILISSA, WM97/Melissa-AG | | 情報掲載日 | 99/11/17 | | 発見日(米国日付) | 99/11/17 | | 駆除補足 | ウイルス駆除のヒント
| |
|
|
このウイルスは、12月25日(クリスマス)に発病し、ハードディスクを無条件フォーマットします(Windows 9xの場合)。
ウイルス情報
PrillisaはWord97に感染するマクロウイルスです。Word 97のSR-1リリースでも自己複製が可能です。またWord97のマクロ警告機能をオフにします。このウイルスは、感染ルーチンの中で、ドキュメントまたはテンプレートのThisDocumentストリーム、またはクラスモジュールを使用します。これはW97M/Melissaウイルスを真似たウイルスであり、MS Outlookを介してウイルス文書を送付するという発病機能を有しています。また、
1):12/25に発病し、ハードディスクを再フォーマットする(Windows 9xシステムの場合、)
2): アクティブ文書にランダムな図形を上書きする、
という発病もあります。この図形上書き機能は、W97M/Priウイルスを真似た物です。こうした性質を考慮し、本ウイルスの名前は、W97M/MelissaとW97M/Priを結合させたW97M/Prilissaというものになりました。
このウイルスはWord 97での文書オープン・システム・イベントをフックします。フックされるのは"Document_Open"というサブルーチンです。この時、ウイルスコードが発動します。また感染後には、グローバル・テンプレートの中の"Document_Close" により、文書のクローズがフックされます。
このウイルスは、あるレジストリ・キーの有無を調べることにより、ローカル・システムに感染済みかどうかを調べます。そのキーは以下のものです。
"HKEY_CURRENT_USER\Software\Microsoft\Office\" "CyberNET"="(C)1999 - Indonesia by AnomOke!"
このキーが発見されなかった場合、Prilissaは、VBA命令を使って、MS-Outlook 電子メール・メッセージを作成します。この時、件名は、"Message From [ Office 97のユーザー名 ] "となります。またメール本文は"This document is very Important and you've GOT to read this !!!"となります。使用可能なアドレスブックすべての中から、最初の50アドレスが、このメールの宛先として使われます。このメールは、ウイルス感染ファイルが添付されます。以上を完了した後、Prilissaは上記のレジストリ・キーを作成します。
なお、このキーが存在していた場合、上記のEメール送付は、行われません。
年が何年であるかに関わらず、日付が12月25日であった場合、このウイルスは、破壊的な発病を発生させます。具体的には、既存のC:\AUTOEXEC.BATファイルを以下のように改竄し、C:ドライブをフォーマットしようとします。
"@echo off"
"@echo Vine...Vide...Vice...Moslem Power Never End..."
この命令により、次回PC起動時には、ハードドライブが、自動無条件フォーマットされることになります。
また、Word97において以下のようなメッセージボックスが表示されます。
ここで「OK」をクリックすると、色、サイズ、形、数をランダムな形にしたオブジェクトが、文書をオーバーレイ上書きします。このオーバーレイ上書きは、W97M/Priウイルスで使われていた手法です。
