1999年に発見された、Windows OSコンピューターのMicrosoft Word上で動作するマクロ型のマルウェア。メールの添付ファイルを開封すると感染し、アドレス帳を悪用して拡散を拡大させた。作成者はマルウェア出現から1週間で逮捕され事態は収束したが、以後マルウェア被害の歴史が本格化する。
この記事は、ESETのホームページの「脅威エンサイクロペディア」の項目を翻訳したものである。
MicrosoftのOffice 97とOffice 2000に含まれるWordソフトを狙ったマクロウイルス。
Office 97の場合、ワード文書を開いた後にウイルスがマクロの実行時の警告を停止し、テンプレートの書き換えを行い、変更されたテンプレートを保存する。Office 2000の場合、マクロ/ツールの安全に関する設定へのアクセスをブロックし、マクロ実行保護を解除する。
その後ウイルスは、レジストリー内に特定のキーがあるかどうかによって、コンピューターがすでに感染しているかどうかをチェックする。具体的には、メリッサがコンピューターにおいて実行されると、「HKEY_CURRENT_USERSoftwareMicrosoftOffice」に「Melissa?」というレジストリーキーがつくられ、「Kwyjibo」(*)という名によって値が送られる。
(*) 「Kwyjibo」とは、アニメドラマ「ザ・シンプソンズ」シリーズの登場人物バート・シンプソンが、アルファベット文字を並べて単語を完成させるゲームに勝とうとして、手持ちの文字を全て適当につなげて仕立て上げた単語。メリッサの作者はこのアニメのファンの可能性がある。
メリッサは相対的に見ればごく一般的でシンプルなウイルスである。このウイルスが有名になり多くの関心を引いたのは、以下のような仕掛けを持っていたからである。
メリッサはシステムにMicrosoftのOutlookアプリケーションがあるかどうかを調べる。もしもあればウイルスは、メールアドレスの一覧を開き、順次そのデータを送信するための準備に入る。
アドレス帳のリストそれぞれから最初の50件を抜き出す。続いて、件名を用意する。「~からの大切なお知らせ」というもので、その「~」というところはワードに記録されているユーザー名を抜き出して加える。
メッセージのテキストについては以下のような内容となっている。
「ご依頼の文書がここにある。決してほかの誰かに見せないように;-)」
メリッサはこうしたメッセージを、感染させるための添付ファイルとともに送る。なお、メリッサウイルスのソースコードの末尾には以下のような奇妙な文面がある。
メリッサについてKwyjiboが記す
ワード2000とワード97で動作
ワーム?マクロウイルス?ワード97ウイルス?ワード2000ウイルス?勝手に決めて!
ワード→メール|ワード97⇔ワード2000…新世代!
もしも日付の数字が現在の時刻(分)と同じであれば、メリッサは「手紙の使用料として22ポイント+トリプルワードスコア+40ポイント」と書く ゲームオーバー。立ち去るのみ