Kaspersky Threats — Melissa-based

クラス

プラットフォーム

説明

技術的な詳細

このマクロウイルスは別の"Melissa"クローンです。 MS Word文書とテンプレートに感染し、そのコピーをMS Outlookアプリケーションを使用して電子メールメッセージに送信します。ウイルスは非常に高速な感染源です。ウイルスがシステムにインストールされると、電子メールの配布ルーチンによって、さまざまな電子メールアドレスに多くの感染文書が送信される可能性があります。ウイルスにはトリガールーチンがあり、システムレジストリが変更され、Wordマクロウイルスの保護が無効になります。

ウイルスは電子メールメッセージでそのコピーを送信するために、VisualBasic機能を使用して他のMicrosoftアプリケーションを起動し、そのルーチンを使用します。ウイルスはMS Outlookにアクセスし、その機能を呼び出します。ウイルスはOutlookデータベースからアドレスを取得し、新しいメッセージを送信します。このマッサージは：

件名： "Fun and games from [UserName]"（ユーザー名は可変です）

メッセージ本文：「こんにちは！インターネットで見つけたきれいなドックをチェックしてください！」

メッセージには添付文書もあります（感染していることは言うまでもありません）。ウイルスは現在編集中の文書（アクティブ文書）を添付します。このような広がりの副作用として、ユーザーの文書（機密文書を含む）をインターネットに送信することができます。

このウイルスは、Outlookアドレス帳（アドレスデータベース）をスキャンし、その中の各リストを開き、各アドレスから最大69個のメッセージを送信します。リストに69件未満のエントリ（電子メールアドレス）がある場合、そのすべてが感染しています。ウイルスは各リストごとに1つのメッセージを送信し、メッセージのTO：フィールドにはこのリストのすべてのアドレス（最大69）が含まれ、スパム対策フィルタによって拒否されます。さらに、それは "Project1@nym.alias.net"という住所に別のメッセージを送ります。このマッサージは次のとおりです：

件名：「感染したと推測する：[UserName]」（UserNameは可変）

メッセージ本文：「感染しました！」

このメッセージには、現在編集中の添付文書もあります。

ウイルスは感染した電子メールを1回だけ送信します。送信する前に、ウイルスはシステムレジストリでIDスタンプを確認します。



HKEY_CURRENT_USERSoftwareMicrosoftOfficeP1 = "シンジケート"

このエントリが存在しない場合、ウイルスは感染したコンピュータから電子メールを送信し、このエントリをレジストリに作成します。それ以外の場合、ウイルスは電子メールルーチンにジャンプします。結果として、ウイルスは感染した電子メールメッセージを1回だけ送信します。次の試行では、 "P1 ="エントリを探してスキップします。

このウイルスは、Office2000（Word ver.9）の文書に広がることができます。この可能性は、オフィスの「変換」機能に基づいています。新しいバージョンのOfficeが開いて、以前のWordバージョンで作成されたドキュメントやテンプレートが読み込まれると、ドキュメント内のデータが新しい形式に変換されます。ウイルスマクロを含むファイル内のマクロプログラムも変換されます。その結果、ウイルスはOffice2000の下で自身を複製することができます。

ウイルスコードには、 "Document_Close"に1つの自動機能を持つ1つのモジュールが含まれています。ウイルスは、感染文書のクローズ時にグローバルマクロ領域に感染し、クローズ時に他の文書に広がります。文書やテンプレートを感染させるために、ウイルスはコードを感染したオブジェクトから被害者のコードにコピーします。

ウイルスには次のようなコメントがあります。



Patient ZeroによるW97M / Project1  – （The Syndicate） –  1999年頃

シンジケート：地下から地下に。

KwyjiboとCodeBreakersへのご挨拶：お互いを知りませんか？ 😉

オリジナルへのリンク

お住まいの地域に広がる脅威の統計をご覧ください

クラス	Virus
プラットフォーム	MSWord
説明	技術的な詳細このマクロウイルスは別の"Melissa"クローンです。 MS Word文書とテンプレートに感染し、そのコピーをMS Outlookアプリケーションを使用して電子メールメッセージに送信します。ウイルスは非常に高速な感染源です。ウイルスがシステムにインストールされると、電子メールの配布ルーチンによって、さまざまな電子メールアドレスに多くの感染文書が送信される可能性があります。ウイルスにはトリガールーチンがあり、システムレジストリが変更され、Wordマクロウイルスの保護が無効になります。ウイルスは電子メールメッセージでそのコピーを送信するために、VisualBasic機能を使用して他のMicrosoftアプリケーションを起動し、そのルーチンを使用します。ウイルスはMS Outlookにアクセスし、その機能を呼び出します。ウイルスはOutlookデータベースからアドレスを取得し、新しいメッセージを送信します。このマッサージは：件名： "Fun and games from [UserName]"（ユーザー名は可変です）メッセージ本文：「こんにちは！インターネットで見つけたきれいなドックをチェックしてください！」メッセージには添付文書もあります（感染していることは言うまでもありません）。ウイルスは現在編集中の文書（アクティブ文書）を添付します。このような広がりの副作用として、ユーザーの文書（機密文書を含む）をインターネットに送信することができます。このウイルスは、Outlookアドレス帳（アドレスデータベース）をスキャンし、その中の各リストを開き、各アドレスから最大69個のメッセージを送信します。リストに69件未満のエントリ（電子メールアドレス）がある場合、そのすべてが感染しています。ウイルスは各リストごとに1つのメッセージを送信し、メッセージのTO：フィールドにはこのリストのすべてのアドレス（最大69）が含まれ、スパム対策フィルタによって拒否されます。さらに、それは "Project1@nym.alias.net"という住所に別のメッセージを送ります。このマッサージは次のとおりです：件名：「感染したと推測する：[UserName]」（UserNameは可変）メッセージ本文：「感染しました！」このメッセージには、現在編集中の添付文書もあります。ウイルスは感染した電子メールを1回だけ送信します。送信する前に、ウイルスはシステムレジストリでIDスタンプを確認します。 HKEY_CURRENT_USERSoftwareMicrosoftOfficeP1 = "シンジケート" このエントリが存在しない場合、ウイルスは感染したコンピュータから電子メールを送信し、このエントリをレジストリに作成します。それ以外の場合、ウイルスは電子メールルーチンにジャンプします。結果として、ウイルスは感染した電子メールメッセージを1回だけ送信します。次の試行では、 "P1 ="エントリを探してスキップします。このウイルスは、Office2000（Word ver.9）の文書に広がることができます。この可能性は、オフィスの「変換」機能に基づいています。新しいバージョンのOfficeが開いて、以前のWordバージョンで作成されたドキュメントやテンプレートが読み込まれると、ドキュメント内のデータが新しい形式に変換されます。ウイルスマクロを含むファイル内のマクロプログラムも変換されます。その結果、ウイルスはOffice2000の下で自身を複製することができます。ウイルスコードには、 "Document_Close"に1つの自動機能を持つ1つのモジュールが含まれています。ウイルスは、感染文書のクローズ時にグローバルマクロ領域に感染し、クローズ時に他の文書に広がります。文書やテンプレートを感染させるために、ウイルスはコードを感染したオブジェクトから被害者のコードにコピーします。ウイルスには次のようなコメントがあります。 Patient ZeroによるW97M / Project1 – （The Syndicate） – 1999年頃シンジケート：地下から地下に。 KwyjiboとCodeBreakersへのご挨拶：お互いを知りませんか？ 😉
	オリジナルへのリンク
	お住まいの地域に広がる脅威の統計をご覧ください

Virus.MSWord.Melissa-based

技術的な詳細