ウイルス情報

ウイルス名

X97M/Papa.A;B;

危険度
対応定義ファイル 4002 (現在7633)
対応エンジン  (現在5600) 
エンジンバージョンの見分け方
別名 別名
亜種 亜種
発見日(米国日付) 97/05/01


    X97M/Papa:

    本ウイルスは、Excel97を用いてインターネット・ウイルスを作成しようとしたものです。NAI (Dr.Solomon's) Virus Patrolにより、3/29に初めて発見されました。Papaは、現在、繁殖しているウイルスMelissaによく似たプログラミング手法を使用しており、Excel2000環境でも動作可能です。すなわちPapaは、Melissaの「真似をした」ウイルスといえます。AVERTは、本ウイルスを詳細に解析した結果、実社会に出回った場合きわめて危険なウイルスであると判断しました。現段階では、Papaが、自動Eメール配付を通じて繁殖しているという報告は届いておりません。このウイルスは、通常のウイルスとは異なり、自己複製や他への感染を行いません。このことに基づき、AVERTは、Papaをウイルスではなく、むしろウイルスであると考えます。

    PapaはOutlookを通じて受信されます。Excelワークブックを受信したユーザーは、自分がPapaに悪影響を受けていることを明示的に知ることはありません。また送信者側も、自分がワークブックを送信したことを知ることはありません。ただしマクロ・セキュリティ設定が有効になっている場合、ユーザーは警告を受けます。この警告は、ワークブックをオープンした時に表示されます。

    ワークブックがオープンされると、Papaは、Visual Basic命令を使ってOutlookオブジェクトを作成し、Outlookのグローバル・アドレス・ブックをメンバ・リストを読み取ります。そしてEメール・メッセージが作成され、メンバのうち最初の60受信者への一斉送信が発生します。このメッセージはタイトル(Subject)は以下の様になります。

    "Fwd: Workbook from all.net and Fred Cohen"
    (転送:フレッド・コーエンとAll.netからのワークブック)

    メッセージの本文は以下のようになります。

    "Urgent info inside. Disregard macro warning."
    (緊急情報です。マクロ警告は無視してください)

    このウイルス・ワークブックは、添付ファイルとして送付されます。ワークブック名は、"PASS.XLS"です。このワークブックに発病ルーチンはありません。ping.exeのシェル実行が行われ、二つの異なるIPアドレスへの「サービス拒否攻撃」が実行されます。

    X97M/Papa.B

    X97M/Papaの亜種です。NAI (Dr.Solomon's) Virus Patrolにより、3/30に初めて発見されました。AVERTは、本ウイルスを詳細に解析した結果、実社会に出回った場合きわめて危険なウイルスであると判断しました。現段階では、Papaが、自動Eメール配付を通じて繁殖しているという報告は届いておりません。ウイルスの内容は、X97M/Papaと同じです。