ウイルス情報

ウイルス名

XM/Laroux.IC

危険度
対応定義ファイル 4030 (現在7634)
対応エンジン  (現在5600) 
エンジンバージョンの見分け方
亜種 X97M/Laroux.IC
発見日(米国日付) 99/07/01


XM/Laroux.CFウイルスは、1999年7月のワイルドリストに"In The Wild"として初めて登録された。

XM/Laroux.ICはExcelワークシートに感染するウイルスで、GTHMSNZ、auto_open、auto_close というマクロを含んでいる。新規のワークシートおよびオープン/クローズ時にワークシートに感染するが、ワークシート終了時にユーザーがそれを保存しないと、そのワークシートは未感染の状態に保たれる。

このマクロウイルスは、感染文書をXLSTARTフォルダに挿入する。XLSTART内のExcel文書はすべてExcel起動時にロードされる。なおXLSTARTフォルダ内の感染ファイルの名前は GTHMSNZ.XLSである。

GTHMSNZ.XLS というファイルが XLSTARTディレクトリに存在する場合には、このウイルスはシステムの感染を試みないため、この特定のLarouxの亜種に対する予防策としてこれを利用できる。しかしながら、Laroux の亜種が多数存在し、それぞれが異なる名前のファイルを有することから、この方法は一般的に有効な手法ではなく、利用するとしても、すでに感染経験のある Larouxの亜種に対してのみ使用すべきである。

このウイルスは文書プロパティ、作成者、サブタイトル、タイトル、キーワードをGTHOMSONZに改変する。これら改変はウイルス駆除を行っても、VirusScanがオリジナルの内容を知らないため元には戻らない。これらの改変を元に戻すには、その文書を開き、ファイル→プロパティを選択する。

毎月16日または30日に、感染した文書を開くには、"GTHOMSONZ197168" というパスワードが必要である。ただしこれは、C:\BOOTLOG.PRV というファイルが存在する場合にのみ該当する(BOOTLOG.PRV は、Windows 95の一般的なインストール中に作成される隠しファイルであるが、インストール中に自動的に削除されることはないので、システムに残っている場合が多い)。このパスワードを要求されたら、CAPS をオンにし、数字の"0"を使わず、文字の"O"を使用して入力する必要がある。

日付が16日30日で、C:\BOOTLOG.PRVというファイルが存在しない場合には、異なるランダムなパスワードが以下の方法に基づき作成される。

パスワード=Int((197 * Rnd) + 168)

これにより、168から364のランダムな値が生成される。ただし、作成者はシード値を無作為抽出していなかったため、「任意の」番号は同一システム上では常に同じである可能性が高く、ほとんどの場合"306"である。