Virus.MSWord.ATU

技術的な詳細

このウイルスは一般的ではない拡散方法を使用します。マクロプログラムを犠牲者文書のマクロ領域にコピーするのではなく、ウイルスマクロを含むテンプレート（添付テンプレート）への参照を文書に書き込むだけです。そのような文書を開くとMS Word97は、添付されたテンプレートへの参照を検出し、それを開き、そのマクロを実行します。ウイルスマクロはコントロールを取得し、感染したプロシージャを実行します。その結果、感染した文書にはマクロコードはありませんが、開かれた時点でウイルスマクロコードがWord97によって読み込まれて実行されます。

このウイルスの既知のバージョンでは、添付されたテンプレートへの参照は、リモートインターネットサイト上のファイル（ウイルス作成者のWebサイト）を指しています。その結果、影響を受ける文書を開く際のMS Word97は、インターネットゾーンに置かれたテンプレートをダウンロードして処理します。そのため、ウイルス作成者は、Webサイトのテンプレートを置き換えることによってウイルスコードを「アップグレード」することができます。

この方法により、MS Word97の古いバージョンでウイルスがウイルス対策（VirusWarning）をバイパスできます。これらのWord97のバージョンにはセキュリティ違反があります。ウイルス対策保護は、マクロコードの添付テンプレートをスキャンするためにWord97によってアクティブ化されていません。 MS Word97のこのバグは、1999年の初めに修正されました。

ウイルスにはコメントが含まれています：

アクティブなテンプレートの更新