ウイルス情報ウイルス情報| 種別 | ウイルス | | ファイルサイズ | 低 | 最小定義ファイル
(最初に検出を確認したバージョン) | 4073 | 対応定義ファイル
(現在必要とされるバージョン) | 4073 (現在7084) | | 対応エンジン | 4.0.35以降 (現在5.4.00)
エンジンバージョンの見分け方 | | 別名 | W97M.Service.A, W97M/Service, WM97/NoArmy-A | | 情報掲載日 | 00/04/14 | | 発見日(米国日付) | 00/03/24 | | 駆除補足 | ウイルス駆除のヒント
| |
|
|
これは Word97/2000 の文書とテンプレートに感染する、クラスモジュール型マクロウイルスです。このウイルスは最初の VB プロジェクトの名前を"ThisDocument"から"NOSN"に改変します。また、マクロ警告機能をオフにします。このウイルスは、感染文書を開くというWord イベントをフックすることにより動作します。
このウイルスは、メッセージ ボックスを表示、あるいはこのウイルスの作者の政治に対する意見を、文書にフランス語で挿入します。
このウイルスには、感染した文書を送信するという Eメール ルーチンがあります。そしてレジストリに以下の値が設定されているかどうかを検査します。
"HKEY_CURRENT_USER\Software\Microsoft\Office\"
"NOSN"="Non au Service National - Oui au Contrat de Travail"
この値が上記と同じでない場合、そして MAPI アプリケーションが Outlook である場合、以下の3つのうち1つの Eメールが作成され、感染した文書が添付されます。この Eメールには以下のような特徴があります。
このメッセージが送信される確率は100分の1です。
件名: "Suggestion..."
メッセージ: "Ce document (文書1) vaut bien un petit coup d'oeil. J'aimerais savoir s'il
correspond a ce qu'on attends de lui."
このメッセージが送信される確率は100分の1です。
件名: "Un peu d'aide..."
メッセージ: "Je dois avouer que j'ai un peu de mal a peaufiner ce document (添付された文書の名前). Merci de m'aider un peu pour l'ameliorer..."
このメッセージが送信される確率は100分の98です。
件名: "Version finale"
メッセージ: "Voici la derniere version de ce sur quoi j'ai travaille ces derniers temps (添付された文書の名前). Tous les avis sont la bienvenue !"
この Eメールを送信した後、レジストリが上記のように改変されます。
感染した文書を開くと、以下の発病がおこる可能性があります。
100分の4の確率で、アクティブな文書でのそのときのカーソルの位置に、以下の URL のうち1つが挿入されます。
http://sn.agat.net
http://altern.org/gigm/service.htm
http://www.donquichotte.com
http://www.multimania.com/antisn
100分の1の確率で、アクティブな文書でのそのときのカーソルの位置に、以下のテキストが挿入されます。
" Oui a l'Emploi, Oui a l'armee de metier, mais Non au service national sous contrat de
travail, Non a l'absurdite. "
