McAfee for Small Businesses

ウイルス情報 ウイルス名 XM/Laroux.IC 危険度 低 対応定義ファイル 4030　（現在7084) 対応エンジン 　(現在5.4.00)　 エンジンバージョンの見分け方 亜種 X97M/Laroux.IC 発見日（米国日付） 99/07/01 概要 ウイルスの特徴 感染症状 感染方法 駆除方法

セキュリティ情報 最新ウイルス一覧へ >> 最新ウイルス 05/22 W32/Virut.ge... 05/22 W32/Duel!962... 05/22 W32/Duel!EC1... 定義ファイル・エンジンの ダウンロード!    定義ファイル：7084  エンジン：5.4.00   ウイルス検索

XM/Laroux.ICはExcelワークシートに感染するウイルスで、GTHMSNZ、auto_open、auto_close というマクロを含んでいる。新規のワークシートおよびオープン/クローズ時にワークシートに感染するが、ワークシート終了時にユーザーがそれを保存しないと、そのワークシートは未感染の状態に保たれる。

このマクロウイルスは、感染文書をXLSTARTフォルダに挿入する。XLSTART内のExcel文書はすべてExcel起動時にロードされる。なおXLSTARTフォルダ内の感染ファイルの名前は GTHMSNZ.XLSである。

GTHMSNZ.XLS というファイルが XLSTARTディレクトリに存在する場合には、このウイルスはシステムの感染を試みないため、この特定のLarouxの亜種に対する予防策としてこれを利用できる。しかしながら、Laroux の亜種が多数存在し、それぞれが異なる名前のファイルを有することから、この方法は一般的に有効な手法ではなく、利用するとしても、すでに感染経験のある Larouxの亜種に対してのみ使用すべきである。

このウイルスは文書プロパティ、作成者、サブタイトル、タイトル、キーワードをGTHOMSONZに改変する。これら改変はウイルス駆除を行っても、VirusScanがオリジナルの内容を知らないため元には戻らない。これらの改変を元に戻すには、その文書を開き、ファイル→プロパティを選択する。

毎月16日または30日に、感染した文書を開くには、"GTHOMSONZ197168" というパスワードが必要である。ただしこれは、C:\BOOTLOG.PRV というファイルが存在する場合にのみ該当する（BOOTLOG.PRV は、Windows 95の一般的なインストール中に作成される隠しファイルであるが、インストール中に自動的に削除されることはないので、システムに残っている場合が多い）。このパスワードを要求されたら、CAPS をオンにし、数字の"0"を使わず、文字の"O"を使用して入力する必要がある。

日付が16日か30日で、C:\BOOTLOG.PRVというファイルが存在しない場合には、異なるランダムなパスワードが以下の方法に基づき作成される。

パスワード＝Int((197 * Rnd) + 168)

これにより、168から364のランダムな値が生成される。ただし、作成者はシード値を無作為抽出していなかったため、「任意の」番号は同一システム上では常に同じである可能性が高く、ほとんどの場合"306"である。