ウイルス情報

ウイルス名

XM/Pth

危険度
対応定義ファイル 4012 (現在7634)
対応エンジン  (現在5600) 
エンジンバージョンの見分け方
発見日(米国日付) 99/04/15


このウイルスは、9つのマクロを含むPTHと呼ばれるモジュールから構成されている。このウイルスは、xlstart(Excel Startup)ディレクトリにpersonal.xlsというファイルをドロップ(作成)するほか、感染する際にはExcelウィンドウを最小化し、感染後に最大化する。さらにツール→マクロのメニューアイテムも削除する。このウイルスには、ウイルスモジュールを表示しようとするとそれらを隠すコードも含まれている。

午後5時以降にスプレッドシートをオープンすると、このウイルスはタイマーを設定し、スプレッドシートが開かれてから5分後に発病する。またスプレッドシートを正午から午後5時の間にオープンすると、午後5:05に発病する。この発病ルーチンは、日付が13日であるかどうかをチェックする。13日でない場合、Windowsの終了を試みるが、これは成功しない。

また13日である場合、カレントディレクトリ内の XLS および TXT ファイルを"PTH" という言葉で上書きしようとする。ただしユーザ名が "Afon" または "NguyOn Quang Hカi" である場合には、ファイルを破壊するような発病ルーチンを実行しない。これはウイルス作成者に対する保護であると考えられる。