ウィルス ウィルス発見2001.01.14

パソコン
FROG ふろっぐ
 
  • オプション

    本文印刷

    お気に入りに追加

  • 検索

    Googlewwwjp-ia
     

    Googlewwwjp-ia
     
  • 情報

  • 関連

[パソコン][ウィルス ウィルス発見2001.01.14]
  1. パソコンがおかしい?
    1. おかしなダイヤルアップ
    2. 公開します。2001.01.14
    3. 駆除は非常に簡単です。以下はマイクロソフト公式サイトの引用です。

パソコンがおかしい?

おかしなダイヤルアップ

パソコンがおかしい?と弊社お客様よりお電話を頂きまして、お伺いいたしましたところ・・・
 おかしなダイヤルアップがある。
 ホームページ巡回中そのサイトに「ボタンを押せ」などというメーッセージにて、押してしまった場合、いろいろな設定を変更してしまったり、不必要な「お気に入り」に登録してしまったり、ブラウザーの設定を変えたり、多種にわたり希望していない設定をされることがあります。
 これを避けるためには、ホームページをみている最中に無闇にOKボタンを押さないことです。Microsoft社などのオフィシャルなサイトの場合はボタンを押さないとサービスは受けれませんが、怪しいサイト内でのOKボタンはまずいいことはありません。がしかしこの場合は、サイトの運営者には罪はありません「ダウンロードしますか?」の問にOKを押したのですから・・・・。
 マイクロソフトの表計算ソフト(世界的有名ソフト)エクセルがおかしい?
 ウィルス駆除ソフトも常駐、ウィルスチェックもかけた・・ということだったんで、万一ウィルス感染なら「新種」だろうと判明。
 後に判明したのだが、有名なウィルスだった。ということは、使用していた駆除ソフトは?
 ここでそのソフト名を公開したいのですが、業界3位以内のメーカー製とだけ申しておきます。
 話は戻り、ファイルを開くことが出来ず、エクセルを立ち上げてからファイルをドラッグする方法なら開くことができ、エクセルアプリのみの起動の場合、サブメニューの殆どが使えない状態になる。
 マクロを起動してみる。「発見」現在一番多く存在するウィルス「マクロウィルス」だ。しかもおかしなことにロックが掛かっておらず、コードがみえる状態なのだ。とりあえずその場で解決するには時間が掛かるため、コードの流れをみるとウィルスに間違いはなかった。
 コード的にはレベルの低いタイプだが、これは完全に犯罪で法律の適用範囲です。感染ルートを辿っていけば犯人は判るでしょう。(但し、日本人で無い場合が多い)ただ通常のクラッカーであればルートも多重「串」などの手で隠すでしょう。
 プログラミングの経験のない人からみると、ウィルスは非常に高度にみえるが、結構レベルの低いものが多い。
IT先進国のアメリカ人ならば小学校高学年から中学生位の子供がいたずら目的で作った程度、恐らく「この程度なら直ぐに駆除することができるだろう」な、のりで作ったものもあるだろう。
 しかし、非常に英語が不得意、ハイテク機器が苦手なキーボードも打てない日本人には脅威そのもの。(筆者もその一人だろう)
 プログラミング経験者であれば、法律と倫理を無視すればいくらでも作れてしまう。でもこうした低レベルのウィルスばかりとは限らないのも事実。
 とりあえず駆除は簡単に済みましたが、ファイルが大量にある場合は「感染確認」をするだけでも相当の時間がかかるでしょう。
 駆除用のプログラムが必要な場合もあります。
もっとも「マクロウィルス」ような低レベルのウィルスではない場合はOSを再インストールする必要もあります。
 そのパソコンに重要かつ大量のファイルがあった場合はどうなるでしょう?
 ウィルスを製造する知識や時間があるのならば、もっと違うことに使ってほしいものです。
1999年に全世界に蔓延した有名なMelissaウィルスをご存知でしょう。(OutLook)犯人のSmith氏は多額の賠償金と共に長期の刑に服してます。
 近々、この「発見」された「マクロウィルス」のファイル名・コード・処理内容を解析してこのページにて公開します。
2001.01.13

公開します。2001.01.14

その前にご説明にあたって極力初心者にも判り易い語句を使用したいが、いちいち説明していった場合、大量の文字になり返ってわかりにくくなってしまうため、ご理解頂きたい。
例えば「警察」とは?どう答えます。交通整理・犯人逮捕、他にもたくさんありますよね!
 早速会社にもって帰り、ファイル名を見て、聞いたことのあるウィルス名だった為、ウィルスデータペースで参照、それもそのはず有名なウィルスだった。
1996年6月に発見されたExcelウィルス第一号とも言うべきのウィルスだ。
「まだ生き残っていたのか!」(笑)。
 感染された方々ご安心下さい。
このウィルスは致命的なウィルスではありません。
少し気になるのは報告されている症状とは少し違っていました。
これは恐らくウィルス自体古いためアプリケーションのグレードが上がり機能も増えたせいでしょう。
お客様のバージョンは2000だったんで、症状の報告は95と97でした。
 OnSheetActivateイベントを使用しているのでかなり古い。
OnSheetActivateイベントは確か95の時のイベントで97ではただのActivateに変更されたはずだ。
また、2000環境ではデバック発生の可能性もあり、終了続行すれば多数のメニューが使用できなくなる場合もある。
しかし、どうしてウィルス駆除ソフトに検知されなかったのだろう?
処理内容をとコードを掲載しようと思いましたが、どこかの「阿呆」がコピーして配布でもするとまずいので止めておきます。
また、処理内容は簡単です。レベル的にも低い部類ですね。本体はVB言語正確にはVBAで記述されています。
正式ウィルス名はLarouxと名付けられています。
今回のウィルスファイル名は「PLDT.XLS」ですがLarouxはたくさんのファイル名を持ってます。
それに伴い亜種もたくさん存在します。亜種なんて・・と思われますが、コンピュータウィルスの場合も亜種という言い方で一応分類します。
駆除方法などマイクロソフト公式サイトに98バージョンとしてUpされていますが、2000も同じです。
その他のサイトにもありました。
及びここコードはauto_openとcheck_filesの2部でできています。ロックがされていないので中を覗いてサブプロシージャ名check_filesがあればウィルスLarouxです。

駆除は非常に簡単です。以下はマイクロソフト公式サイトの引用です。

1 [ツール]-[初期設定]をクリックし、全般タブをクリックします。
2 マクロウィルスから保護するチェックボックスにチェックされていることを確認します。
3 Excel98を終了します。
4 MicrosoftOffice98:Office:Startupフォルダを開きます。
5 又は、その下のExcelフォルダを開きます。
6 Pldtxlsが存在した場合ごみ箱へドラッグし、ごみ箱を空にします。
7 Excelを起動します。
8 PLDTマクロウィルスに感染していると思われるワークブックを開きます。
9 次のメッセージが表示されたら、「マクロを無効にする」をクリックします。開こうとしているブックには、マクロが含まれています。マクロには、コンピュータに問題を引き起こすウィルスが含まれていることがあります。
10 このブックが安全であることがあらかじめ分かっている場合は「マクロを有効にする」をクリックしてください。すべてのマクロを実行しないようにする場合は「マクロを無効にする」をクリックしてください。
11 [ツール]-[マクロ]-[VisualBasicEditor]をクリックします。
12 [表示]-[プロジェクトエクスプローラ]をクリックし、プロジェクトウィンドウが表示されているのを確認します。
13 プロジェクトウィンドウ上で、現在開いているワークブックの名前の下にあるモジュールの左側にある三角をクリックします。
14 pldtという名前のモジュールがあった場合、[CONTROL]キーを押しながらクリックし、表示されたショートカットメニューからpldt の削除をクリックします。pldtを削除しますか?の確認メッセージが表示されたら[はい]をクリックします。
15 [ファイル]-[終了してMicrosoftExcelへ戻る]をクリックします。
16 [ファイル]-[保存]をクリックし、[ファイル]-[閉じる]をクリックしてファイルを閉じます。
17 PLDTマクロウィルスに感染していると思われるワークブックすべてに、手順6〜11を繰り返します。
18 個人用マクロブックのようなワークブックが、VisualBasicEditorのプロジェクトウィンドウ上に存在しているようであれば、各々ワークブック名の下にあるモジュールの左側にある三角をクリックします。
  • もし pldt という名前のモジュールが表示された場合、[CONTROL]キーを押したままクリックし、表示されたショートカットメニューから "pldt の削除" をクリックします。
  • マクロウィルスが完全に駆除されたことが確認できるまで,ワークブックを開くたびに「マクロを無効にする」をクリックするようにしてください。
  • もし, マクロウィスルが含まれるワークブックを開き,「マクロを有効にする」をクリックすると,再び感染する恐れがあります。
以上





Production Japan Import Application. Since 1998