シマンテック・セキュリティ・レスポンス

http://www.symantec.com/ja/jp/security_response/index.jsp

W97M.Melissa.W

危険度2: 低

発見日:
2001 年 1 月 17 日
更新日:
2007 年 2 月 13 日 11:34:41 AM
種別:
Worm, Virus

危険性の評価


感染報告件数が減少したため、このリスクの危険度を「4」から「2」に下げました。2001年1月18日以前のウイルス定義では、このワームは W97M.melissa.Variant として検出されますが、2001年1月18日以降のウイルス定義では、W97M.Melissa.W として検出され、完全に修復することが可能です。

W97M.Melissa.W は MS Outlookを使用して自分自身をメールで送信するという発病症状を持った、Word 97 マクロウイルスです。送信されるメールの件名は次のようになります。

Important Message From <ユーザ名>

このワームの機能は 1999年に発見された W97M.Melissa.A と同じです。

ウイルス対策日

  • Rapid Release 初回バージョン2001 年 1 月 18 日
  • Rapid Release 最新バージョン2001 年 1 月 18 日
  • Daily Certified 初回バージョン2001 年 1 月 18 日
  • Daily Certified 最新バージョン2001 年 1 月 18 日
  • Weekly Certified 初回リリース日保留
Rapid Release と Daily Certified のウイルス定義について詳しくは、ここをクリックしてください。

テクニカルノート


W97M.Melissa.W は特異な発病症状を持つ典型的なマクロウイルスの一つです。ユーザが感染したファイルを開くと、このウイルスは Microsoft Outlook を使用して最大50人の人に自分自身を添付した E-mail を送信しようとします。

このマクロは ツールメニューのマクロコマンドを使用不可能にします。

MS Word 97 と MS Word 2000 のドキュメントに Melissa という新規の VBA5 (マクロ) モジュールを追加することで感染します。このマクロウイルスの感染ルーチンに特に目新しいものはありませんが、感染したファイルを開いたときに MS Outlook を利用して自身を添付したファイルを送信しようとする発病症状があります。

この発病症状により、ウイルスは Microsoft Outlook を使用して 感染したファイルを最大(すべて別の)50人の人に送ろうとします。ユーザが感染したファイルを開いたり閉じたりした時、ウイルスは以前にもメールを送ったことがあるかどうかを確認するために、次のレジストリキーに

HKEY_CURRENT_USER\Software\Microsoft\Office\

次の値が存在するかどうかをチェックします。

Melissa? ...by Kwyjibo
  • 上記の値が存在する場合、以前にもこのマシンから大量にメールを送信したということになり、ウイルスが再度、大量メール送信を行うことはありません。
  • 上記の値が存在しない場合、ウイルスは次の操作を行います:
      1. MS Outlookを開く。
      2. MAPI呼び出しを使用して、MS Outlookを使用するためのユーザプロフィールを取得する。
      3. Outlookのアドレス帳に登録されている最高50件のメールアドレスに送信するための電子メールを新たに作成する。
      4. 作成した電子メールに次の件名を付ける。
      Important Message From <ユーザ名>
      USERNAMEの部分には、MS Wordの設定値が引用される。

      5. メール本文の内容:
      Here is that document you asked for … don't show anyone else ;-)

      6. この電子メールに、アクティブな文書(ユーザがそのとき開くか、または閉じようとしている感染文書)を添付する。
      7. メールを送信する。
注意:"HKEY_CURRENT_USER\Software\Microsoft\Office"は、MS Officeが作成したレジストリです。このウイルスがここに追加するのは"Melissa?"のみです。このウイルスは、システムから感染文書をメール送信した後、この値を"…by Kwyjibo"に設定します。いったんこの値が設定されると、同じマシンから再度大量メールを送信することはありません。

このウイルスにはもう一つの発病症状があり、1時間に1度、日付の数に相当する「分」になったときに発病します(例:16日の場合、毎時16分ごとに発病します)。ユーザが感染した文書をその時刻に開いたり、閉じたりすると、文書内に次の文章が挿入されます。
    Twenty-two points, plus triple-word-score,
    plus fifty points for using all my letters.
    Game's over. I'm outta here.

注意:また、MS Outlookをインストールしていないコンピュータ上でも、マクロウイルスに一般的な感染メカニズムを使用して、そのコンピュータ上にある他の文書に感染する点に注意してください。どのユーザのマシンからでも、次のような手順を通じて、新規文書が他のユーザ宛に送信される可能性が潜んでいます。
    1. ユーザが、W97M.Melissa.W に感染した新規文書(文書1)を開く。
    2. W97M.Melissa.W は、文書2にも感染します(MS Outlookがインストールされていない場合でも)。
    3. W97M.Melissa.W にまだ感染したことがなく、かつ、MS Outlook を持っている他のユーザ宛てに文書2を電子メールで送信する。
    4. そのメールを受信したユーザが文書2を開くと、そのユーザの MS Outlook のアドレス帳に登録されている50個のメールアドレス宛に同じ文書が送信されます。

感染活動の隠蔽

大多数のマクロウイルスと同様、このマクロウイルスも、次のメニュー項目を無効にすることで感染動作を隠そうとします。
  • [ツール]-[マクロ](MS Word 97)
    Word 97では、このウイルスは[ツール]メニューの[マクロ]コマンドを無効にします。このメニューコマンドを無効にすることにより、MS Word 97に表示させるマクロ/VBAモジュールリストに表示されないようにして、ユーザの手作業による感染チェックから逃れます。
  • [マクロ]-[セキュリティ](MS Word 2000)
    Word 2000では、このウイルスは[マクロ]サブメニューの[セキュリティ]項目を無効にします。このメニューコマンドを無効にすることにより、MS Word 2000のセキュリティレベルを変更できないようにします。

MS Word 97ではまた、感染動作を隠すために次のオプションも無効にします。
  • 標準設定を保存するかどうかを確認する
  • 文書を開くときにファイル形式を確認する
  • マクロウイルスの自動検出

上記のオプションが無効の場合、MS Word 97で標準テンプレート(NORMAL.DOT)を保存したり、マクロを含む文書を開いたりするときに、警告または確認を求めるメッセージが表示されなくなります。

推奨する感染予防策

シマンテックセキュリティレスポンスでは、すべてのユーザーと管理者の皆様に対し、基本的なオンラインセキュリティ対策として日常的に次のことを実行することを勧めています。

  • ファイアウォールを利用して、一般に公開されていないサービスへのインターネット経由による接続をすべてブロックします。原則として、明示的に外部に提供したいサービスへの接続を除いては、すべての着信接続を拒否してください。
  • パスワードポリシーを徹底させます。強固なパスワードは、侵害されたコンピュータ上のパスワードファイルの解読を困難にします。これにより、攻撃による被害を回避、または最小限に抑えることができます。
  • コンピュータのユーザーとプログラムには、タスクの実行に必要な最小レベルの権限を付与します。ルートまたは UAC パスワードの入力が要求されたときは、管理者レベルのアクセスを要求するプログラムが正規のアプリケーションであることを確認してください。
  • 自動実行機能を無効にして、ネットワークドライブやリムーバブルドライブ上の実行可能ファイルの自動実行を阻止し、ドライブの接続が不要なときは切断してください。書き込みアクセスが不要な場合は、読み取り専用モードのオプションが利用可能であれば有効にします。
  • ファイル共有が不要な場合は、設定を解除してください。ファイル共有が必要な場合は、ACL とパスワード保護機能を使用してアクセスを制限します。共有フォルダへの匿名アクセスを無効にし、強固なパスワードが設定されたユーザーアカウントにのみ共有フォルダへのアクセスを許可します。
  • 不要なサービスは、停止するか削除します。オペレーティングシステムによって、特に必要のない補助的なサービスがインストールされることがあります。このようなサービスは攻撃手段として悪用される可能性があるため、不要なサービスを削除することによって、攻撃の危険性を軽減できます。
  • ネットワークサービスの脆弱性が悪用されている場合は、修正プログラムを適用するまでそれらのサービスを無効にするか、サービスへのアクセスをブロックしてください。
  • 常に最新の修正プログラムを適用するようにしてください。公開サービスのホストコンピュータや、 HTTP、FTP、メール、DNS サービスなど、ファイアウォール経由でアクセス可能なコンピュータでは特に注意が必要です。
  • .vbs、.bat、.exe、.pif、.scr などの拡張子を持つファイルは、脅威の拡散に頻繁に使用されるため、それらのファイルが添付されたメールをブロックまたは削除するようにメールサーバーを設定します。
  • ネットワークに接続しているコンピュータが感染した場合は、直ちにネットワークから切断して感染拡大を防止します。被害状況を分析し、信頼できるメディアを使って復元します。
  • 予期しない添付ファイルは開かないようにしてください。インターネットからダウンロードしたソフトウェアは、ウイルススキャンを実行して安全であることを確認してから実行します。ブラウザの脆弱性に対応した修正プログラムが適用されていない場合、侵害された Web サイトにアクセスするだけで感染することがあります。
  • 携帯デバイスで Bluetooth が不要な場合は、オフにしてください。必要な場合は、他の Bluetooth デバイスにスキャンされないように、表示属性を「Hidden」に設定します。 デバイスのペアリング機能を使用する必要がある場合は、すべてのデバイスが、接続時にユーザー認証を必要とする「Unauthorized」に設定されていることを確認してください。署名されていない、または未知のソースから送信されたアプリケーションは利用しないでください。
  • この文書で使用されている用語の詳細については、用語解説を参照してください。

駆除方法


2001年1月18日以前のウイルス定義では、このワームはW97M.Melissa.Variantとして検出されますが、ファイルは修復はされません。2001年1月18日以降のウイルス定義では、このワームはW97M.Melissa.Wとして検出され、ファイルは完全に修復されます。

W97M.Melissa.Wの駆除方法

 
 1. LiveUpdateを実行し、ウイルス定義を最新版に更新します。
 2. コンピュータをセーフモードで再起動します。
 3. システム全体のスキャンを実行します。
 4. W97M.Melissa.Wに感染しているファイルが検出されたら、[修復]を選択します。

ウイルス定義は下記のページからダウンロードすることもできます。

http://www.symantec.com/region/jp/sarcj/download.html