Virus.MSExcel.Paix

技術的な詳細

このウイルスは他のExcelウイルスと同じ方法で複製します。それはシステムイベントをフックし（ウィンドウをアクティブにする – OnWindows）、アクティブになっている各シートにそのコードをコピーします。感染したシートを最初に開くと、最初にウイルスがシステムにインストールされます。そのホストファイルは、現在のファイルまたはC：WINDOWSディレクトリにXLSHEET.XLAという名前のアドインとして登録されます。そのような要求では、Excelは自動的に感染文書の新しいコピーを（XLSHEET.XLA名で）作成し、次にExcelを起動するたびに、このアドイン、すなわちウイルスコードを読み込んで起動します。その結果、感染したアドインが作成された後、このウイルスはExcelが実行され、開かれた、または作成されたすべてのファイルに感染するたびにアクティブになります。

このウイルスはフランス語のウイルスであり（下記のルーチン名を参照）、ローカルのExcelバージョンでは4から感染して複製することができます。

このウイルスには5つのルーチンがあります：auto_ouvrir、activation_feuille、protect、!!! GO、auto_fermer。それらのすべて（!!! GOを除く）は感染ルーチンを呼び出します。システムのランダムカウンタ（確率2％）に応じて、ウイルスはトリガサブルーチンを起動します（これは!!! GOルーチンの場所です）。トリガルーチンは、開いているすべてのテーブルとExcel要素（ボタン、メニュー、ステータスバー）を非表示にし、Excelウィンドウの上部にある "Microsoft Excel"テキストを "Enfin la paix …"のテキストに置き換えます

このウイルスは、マクロに対してVeryHidden属性を設定するため、標準的な方法（Tools / Macroを入力し、マクロを検索する）を使用してウイルスを検出および駆除することはできません。このような属性は、Excelメニューを使用して無効にすることはできません。 Excel Basic（マクロルーチン）で特別なルーチンを書くために必要なウイルスコードを見つけて調べる。

その結果、ユーザーはそのコンピュータ上でこのウイルスを検出するツールがなく、既知のすべてのウイルス対策プログラムはそれを今検出することができません。ウイルスはその痕跡によってのみ検出されます：

 – ツール/アドインメニューにXLSHEETファイルの参照があります – 感染ファイルにはテキスト文字列が含まれています：Enfin la paix …!!! GO

部分的な保護は、C：WINDOWSディレクトリにXLSHEET.XLA名の読み取り専用ダミーファイルを作成することで実現できます。その後、ウイルスはC：WINDOWSディレクトリにアドインをインストールできなくなります。このアドインを他のディレクトリに作成する場合は、これらのディレクトリにも同じダミーのXLSHEET.XLAファイルを作成する必要があります。