ウイルス情報

ウイルス名

Niknat.A

Word Version 6.x/7.x(Windows版、Macintosh版)で作動するマクロウイルスである。感染ファイルの構成マクロはAUTOCLOSE, TCLOSEAN, EVAHZG, TOOLSMACRO, FILETEMPLATESである。自動マクロを用いて発動する。ウイルスマクロはWord標準機能「実行のみ可能」で暗号化されている。つまりユーザーはウイルスマクロを表示することも編集することもできない。

感染システムでは、FILE|TEMPLATEとTOOLS|MACRO機能を隠蔽する。注!これらのコマンドを使わないように。そのタイミングでウイルスが発動する。その場合、以下のメッセージボックスが表示される。

-Microsoft WindowsX

Windows Protection Error


OK

(「Windows保護エラー」)

NiknatはEVAH.BMPというビットマップ・ファイルをc:のEVAHZGというディレクトリに透過する。これ以外にEVAH.NIK、EVAHZ.BATというファイルがユーザー・ドライブに残されることがある。

Windowsシステムにおいて10/23に文書をクローズした場合、ウイルスは以下のエントリをレジストリに追加する。

HKEY_CURRENT_USER\Desktop, Wallpaper, c:\EvaHzg\EvaH.bmp
HKEY_CURRENT_USER\Desktop, TileWallpaper, 0
HKEY_CURRENT_USER\Desktop, Pattern, 130 1 25 231 25 1 1 186
BMPファイルの投下ルーチンはやや複雑なものである。ちなみにテスト時には再現しなかった。