本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。

Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。

Virus.MSExcel.Paix

クラス Virus
プラットフォーム MSExcel
説明

技術的な詳細

このウイルスは他のExcelウイルスと同じ方法で複製します。それはシステムイベントをフックし(ウィンドウをアクティブにする – OnWindows)、アクティブになっている各シートにそのコードをコピーします。感染したシートを最初に開くと、最初にウイルスがシステムにインストールされます。そのホストファイルは、現在のファイルまたはC:WINDOWSディレクトリにXLSHEET.XLAという名前のアドインとして登録されます。そのような要求では、Excelは自動的に感染文書の新しいコピーを(XLSHEET.XLA名で)作成し、次にExcelを起動するたびに、このアドイン、すなわちウイルスコードを読み込んで起動します。その結果、感染したアドインが作成された後、このウイルスはExcelが実行され、開かれた、または作成されたすべてのファイルに感染するたびにアクティブになります。

このウイルスはフランス語のウイルスであり(下記のルーチン名を参照)、ローカルのExcelバージョンでは4から感染して複製することができます。

このウイルスには5つのルーチンがあります:auto_ouvrir、activation_feuille、protect、!!! GO、auto_fermer。それらのすべて(!!! GOを除く)は感染ルーチンを呼び出します。システムのランダムカウンタ(確率2%)に応じて、ウイルスはトリガサブルーチンを起動します(これは!!! GOルーチンの場所です)。トリガルーチンは、開いているすべてのテーブルとExcel要素(ボタン、メニュー、ステータスバー)を非表示にし、Excelウィンドウの上部にある "Microsoft Excel"テキストを "Enfin la paix …"のテキストに置き換えます

このウイルスは、マクロに対してVeryHidden属性を設定するため、標準的な方法(Tools / Macroを入力し、マクロを検索する)を使用してウイルスを検出および駆除することはできません。このような属性は、Excelメニューを使用して無効にすることはできません。 Excel Basic(マクロルーチン)で特別なルーチンを書くために必要なウイルスコードを見つけて調べる。

その結果、ユーザーはそのコンピュータ上でこのウイルスを検出するツールがなく、既知のすべてのウイルス対策プログラムはそれを今検出することができません。ウイルスはその痕跡によってのみ検出されます:


– ツール/アドインメニューにXLSHEETファイルの参照があります
– 感染ファイルにはテキスト文字列が含まれています:
Enfin la paix …
!!! GO

部分的な保護は、C:WINDOWSディレクトリにXLSHEET.XLA名の読み取り専用ダミーファイルを作成することで実現できます。その後、ウイルスはC:WINDOWSディレクトリにアドインをインストールできなくなります。このアドインを他のディレクトリに作成する場合は、これらのディレクトリにも同じダミーのXLSHEET.XLAファイルを作成する必要があります。


オリジナルへのリンク