ウイルス情報

ウイルス名 危険度

W97M/Piece@mm

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4089
対応定義ファイル
(現在必要とされるバージョン)
4089 (現在7633)
対応エンジン 4.0.50以降 (現在5600) 
エンジンバージョンの見分け方
別名 W97M/Ghauri@mm, WM97/Melissa-BI (Sophos)
情報掲載日 00/08/10
発見日(米国日付) 00/07/28
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法


W97M/Piece@mmは、Word97/2000の文書とテンプレートに感染するクラスモジュールマクロウイルスです。このウイルスは、MAPI電子メールによって配信され、日付起動型の発病ルーチンが含まれています。発病ルーチンの1つは、C:\WINDOWSフォルダから*.INIファイルを削除しようとします。

このウイルスは、ホストファイルに感染すると、"ThisDocument"という最初のVBプロジェクトを"Ghauri2"という名前に変更します。このウイルスは、グローバルテンプレートが感染しているかどうかチェックして、感染していない場合は、MAPI電子メールルーチンを起動します。

このウイルスは、次に示す形式のMAPI電子メールで配信されます。

Subject = 'A Piece of Information From ' Infected User Name
Body = 'Here is some thing about EME College that you better know...'
Attachment = infected file

このウイルスがローカルユーザに感染して、MAPI電子メールを介して自身を送信すると、次の情報でレジストリを修正します。

'HKCU\Software\Microsoft\Office\'
'! Ghauri2 !" = "This machine salutes to GodOfBasic'

このウイルスでは、コードの最後に次のコメントが含まれますが、表示されることはありません。

'(c); coded by GodOfBasic
'Ghauri2

このウイルスは、感染すると、Outlookのアドレス帳に登録されている最初の50件にMAPI電子メールで自身のコピーを配信します。電子メールルーチンが実行されると、このウイルスは次の情報でレジストリを修正します。

HKCU\Software\Microsoft\Office\
'! Ghauri2 !" = "This machine salutes to GodOfBasic'

次の日付でメッセージが1000回出力されて、起動構成ファイルAUTOEXEC.BATが修正される確率は1000分の1です。

3月25日:
'25th March 1997, A memorable day of my life? ...Ghauri2'

5月28日:
'This machine is struck by the great GHAURI2 Virus !!! ...coded by GodOfBasic'

6月11日:
'Say Happy Birthday to GodOfBasic! He is" [year - 1978] " years old today.'

8月14日:
'It's 14th Aug. Say Happy Birthday to Pakistan !!! ...Ghauri2'

このウイルスは、5月28日になると、c:\windowsフォルダにある*.INIファイルをすべて削除します。

駆除方法

  • スクリプト、バッチ、マクロ、非メモリ常駐型:
    検出・駆除には現在のエンジンと定義ファイルを使用してください。

  • PE、トロイの木馬、インターネットワーム、メモリ常駐型:
    検出には対応したエンジンと定義ファイルを使用してください。駆除には、MS-DOS モードまたは、起動ディスクを使用して起動し、command line scanner:SCANPM /ADL /CLEAN /ALL を使用してください。

SCANPM /ADL /CLEAN /ALL

 Additional Windows ME/XP removal considerations

AVERT推薦アップデート

TOPへ戻る