本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。

Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。

Virus.MSVisio.Radiant

クラス Virus
プラットフォーム MSVisio
説明

技術的な詳細

これは、Visioのドキュメント、ステンシル、およびテンプレートに感染する最初の既知のマクロウイルスです(Visioは、ビジネス図面と図を作成、編集、保存するシステムです – http://www.visio.com参照)。データ処理を自動化するために、VisioはVBA言語(Visual Basic for Applications)で記述されたマクロプログラムを使用します。これはMS Officeアプリケーションで使用されるものと同じです。その結果、VisioのウイルスはMS Officeウイルスと非常によく似ており、Visioファイルにも非常によく似た方法で感染することができます。

ウイルス自体はかなりシンプルです。これには、 "BeforeDocumentClose"イベントが割り当てられた1つのプロシージャーが含まれています(文書を閉じるとアクティブになります)。ウイルスプロシージャが制御を受けると、開いているすべてのドキュメントを列挙して感染させます。 Visioの内部構造のため、ウイルスはドキュメントを検索しながら、ドキュメントファイルだけでなく、ステンシルとテンプレートも列挙します。

Visioステンシルは、たとえばWordテンプレートに似ています。これらのファイルには、Visioドキュメントの作成および編集時に一般的に使用されるライブラリデータが含まれています。これらのステンシルは、必要に応じてVisioによって自動的に開かれ処理されます(ドキュメントで使用されている場合)。これらのステンシルが感染した場合、文書が感染したステンシルにアクセスするとウイルスがロードされ、このステンシルが閉じられるとウイルスがアクティブになります。この時点で、ウイルスは開いているすべてのVisioファイルに感染します。その結果、Visioのステンシルが感染した場合、作成または編集されたすべてのドキュメントは終了時に感染します。

このVisio機能により、ウイルスはVisioファイルを介して非常に迅速に拡散する可能性があります。

ウイルスにはペイロード手順があります。起動するたびに、C:ドライブのルートディレクトリにINDEX.HTMLファイルが作成されます。このファイルには次のメッセージが含まれています:

       沢山の太陽
      空の軌道
   彼らは光で話す
       すべて暗闇です。
    私にとっては、彼らは黙っている。

  すべてのVXコミュニティを歓迎
        そして放射天使

           その......

            放射光

ウイルスマクロコードの最後には短い記号行(コメント)があります。この行はウイルス作成者に関する情報が暗号化されているようですが、暗号化の種類とテキスト文字列の暗号化に使用されるキーは不明です。


オリジナルへのリンク
お住まいの地域に広がる脅威の統計をご覧ください