ウイルス情報

ウイルス名

Acid.A

危険度
対応定義ファイル 4002 (現在7634)
対応エンジン  (現在5600) 
エンジンバージョンの見分け方
発見日(米国日付) 98/03/01


このウイルスは、Windowsプラットフォーム上のMicrosoft Word 97のWord文書への感染によって繁殖することを意図したものであったが、感染文書内では次のマクロで構成されている。

AUTOOPEN, FILENEW, FILESAVE, FILESAVEAS, FILEPRINT,
FILEPRINTPREVIEW, TOOLSMACRO, VIEWVBCODE, FILETEMPLATES,
KILLBAV, TIMER, ACID, ACID2

これらのマクロは、モジュールACIDに格納されている。

このウイルスは、ウイルスコードをユーザのNORMAL.DOTにコピーすることになっているが、感染した文書ファイルでは成功した試しがない。将来の亜種は、適切に自己複製し、現在の亜種とほとんど同じ機能を持つと考えられる。感染システムでは、[TOOLS]→[MACRO]、[FILE]→[TEMPLATES]、および[VIEW]→[VBCODE]の機能が非表示になる。また、メインアプリケーションのタイトルバーにある「Microsoft Word」が「ULTRAS」に変更される。ファイルが開かれると、ウイルスは、次のファイルグループを探し、可能であればそのグループのファイルを削除する。

C:\Program Files\AntiViral Toolkit Pro\*.*
C:\Program Files\Command Software\F-PROT95\*.*
C:\Program Files\McAfee\VirusScan\*.*
C:\Program Files\Norton AntiVirus\*.*
C:\Program Files\FindVirus\*.*
C:\f-macro\*.*
C:\Tbavw95\*.*

初めてファイルを開いたときに、次のようなメッセージボックスが表示される。

次に、アクティブドキュメントが「ACID BY ULTRAS」というパスワード付きで保存される。このテキストは、65ポイントの青い文字で文書にも挿入される。

9回目にファイルを開いたときに、上記と同じメッセージボックスが表示される。そのファイルは、「ULTRAS」というパスワード付きで保存され、このテキストは140ポイントの紫色の文字で文書にも挿入される。

17回目にファイルが開かれると、ウイルスは、「ULTRAS」というテキストを文書に挿入し、次のファイルグループを探して、可能な場合はそのグループのファイルを削除する。

C:\Autoexec.bat
C:\Config.sys
C:\Command.com

25回目にファイルが開かれると、ウイルスは、「ACID BY ULTRAS」というテキストを文書に挿入し、次のファイルグループを探して、可能であればそのグループのファイルを削除する。

C:\Windows\*.ini
C:\Windows\System\*.dll

マクロウイルス一般情報