製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:L
ウイルス情報
ウイルス情報

ウイルス名
XM/Laroux.IC
危険度
対応定義ファイル4030 (現在7516)
対応エンジン (現在5600) 
エンジンバージョンの見分け方
亜種X97M/Laroux.IC
発見日(米国日付)99/07/01
概要ウイルスの特徴感染症状感染方法駆除方法

セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
07/30RDN/Generic....
07/30RDN/Generic....
07/30Downloader.g...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7516
 エンジン:5600
 
ウイルス検索
 




XM/Laroux.CFウイルスは、1999年7月のワイルドリストに"In The Wild"として初めて登録された。

XM/Laroux.ICはExcelワークシートに感染するウイルスで、GTHMSNZ、auto_open、auto_close というマクロを含んでいる。新規のワークシートおよびオープン/クローズ時にワークシートに感染するが、ワークシート終了時にユーザーがそれを保存しないと、そのワークシートは未感染の状態に保たれる。

このマクロウイルスは、感染文書をXLSTARTフォルダに挿入する。XLSTART内のExcel文書はすべてExcel起動時にロードされる。なおXLSTARTフォルダ内の感染ファイルの名前は GTHMSNZ.XLSである。

GTHMSNZ.XLS というファイルが XLSTARTディレクトリに存在する場合には、このウイルスはシステムの感染を試みないため、この特定のLarouxの亜種に対する予防策としてこれを利用できる。しかしながら、Laroux の亜種が多数存在し、それぞれが異なる名前のファイルを有することから、この方法は一般的に有効な手法ではなく、利用するとしても、すでに感染経験のある Larouxの亜種に対してのみ使用すべきである。

このウイルスは文書プロパティ、作成者、サブタイトル、タイトル、キーワードをGTHOMSONZに改変する。これら改変はウイルス駆除を行っても、VirusScanがオリジナルの内容を知らないため元には戻らない。これらの改変を元に戻すには、その文書を開き、ファイル→プロパティを選択する。

毎月16日または30日に、感染した文書を開くには、"GTHOMSONZ197168" というパスワードが必要である。ただしこれは、C:\BOOTLOG.PRV というファイルが存在する場合にのみ該当する(BOOTLOG.PRV は、Windows 95の一般的なインストール中に作成される隠しファイルであるが、インストール中に自動的に削除されることはないので、システムに残っている場合が多い)。このパスワードを要求されたら、CAPS をオンにし、数字の"0"を使わず、文字の"O"を使用して入力する必要がある。

日付が16日30日で、C:\BOOTLOG.PRVというファイルが存在しない場合には、異なるランダムなパスワードが以下の方法に基づき作成される。

パスワード=Int((197 * Rnd) + 168)

これにより、168から364のランダムな値が生成される。ただし、作成者はシード値を無作為抽出していなかったため、「任意の」番号は同一システム上では常に同じである可能性が高く、ほとんどの場合"306"である。