Virus.MSVisio.Radiant

技術的な詳細

これは、Visioのドキュメント、ステンシル、およびテンプレートに感染する最初の既知のマクロウイルスです（Visioは、ビジネス図面と図を作成、編集、保存するシステムです – http://www.visio.com参照）。データ処理を自動化するために、VisioはVBA言語（Visual Basic for Applications）で記述されたマクロプログラムを使用します。これはMS Officeアプリケーションで使用されるものと同じです。その結果、VisioのウイルスはMS Officeウイルスと非常によく似ており、Visioファイルにも非常によく似た方法で感染することができます。

ウイルス自体はかなりシンプルです。これには、 "BeforeDocumentClose"イベントが割り当てられた1つのプロシージャーが含まれています（文書を閉じるとアクティブになります）。ウイルスプロシージャが制御を受けると、開いているすべてのドキュメントを列挙して感染させます。 Visioの内部構造のため、ウイルスはドキュメントを検索しながら、ドキュメントファイルだけでなく、ステンシルとテンプレートも列挙します。

Visioステンシルは、たとえばWordテンプレートに似ています。これらのファイルには、Visioドキュメントの作成および編集時に一般的に使用されるライブラリデータが含まれています。これらのステンシルは、必要に応じてVisioによって自動的に開かれ処理されます（ドキュメントで使用されている場合）。これらのステンシルが感染した場合、文書が感染したステンシルにアクセスするとウイルスがロードされ、このステンシルが閉じられるとウイルスがアクティブになります。この時点で、ウイルスは開いているすべてのVisioファイルに感染します。その結果、Visioのステンシルが感染した場合、作成または編集されたすべてのドキュメントは終了時に感染します。

このVisio機能により、ウイルスはVisioファイルを介して非常に迅速に拡散する可能性があります。

ウイルスにはペイロード手順があります。起動するたびに、C：ドライブのルートディレクトリにINDEX.HTMLファイルが作成されます。このファイルには次のメッセージが含まれています：

       沢山の太陽
      空の軌道
   彼らは光で話す
       すべて暗闇です。
    私にとっては、彼らは黙っている。

  すべてのVXコミュニティを歓迎
        そして放射天使

           その......

            放射光

ウイルスマクロコードの最後には短い記号行（コメント）があります。この行はウイルス作成者に関する情報が暗号化されているようですが、暗号化の種類とテキスト文字列の暗号化に使用されるキーは不明です。