製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:U
ウイルス情報
ウイルス名危険度
XM/Uedasan.A;B;C
企業ユーザ:
個人ユーザ:
ウイルスの特徴TOPに戻る
XM/Uedasan.A

    このウイルスの名前は、マクロシートに"uedasan"というパスワードが設定されることから来ています。C:\*.*、カレントディレクトリその他でファイルを削除します。また以下のメニューアイテムが削除されます。

    View|Toolbars:表示 | ツールバー
    Tools | Macro:ツール | マクロ
    Window | Unhide:ウインドウ | 再表示
    Tools | Protection:ツール | 保護
    Format | Sheet | Unhide:書式 | シート | 再表示

XM/Uedasan.B

    このウイルスは、"#1SLIDER.XLA" というファイルを、Excel95のXLSTARTフォルダに作成します。このファイルはアドインとして活動し、これの働きにより、Excel95でファイルがオープン、クローズされる際に他のファイルへの感染が発生します。感染ファイルしたファイルでは、プロパティが以下のように改変されます。

    .Title = "#$%#$%#$@#@##$$$####@@@#@##$%$%$%^"
    .Subject = "ォワ.++I、ヲXJ-K_ "
    .Author = "@@!@!@!#$#$%^**&%#^%^***"
    .Keywords = ">>>>>>>>>>>>>>>>>> F.Y."
    .Comments = "+666.............13.............OMEN+"

    このウイルスには、日付を基準にして発動する発病機能があります。その時の「月」が4月である場合、C:\MSDOS.SYSが削除されます。またその時の「月」が4月で、「時刻」が午前6時より前であった場合、感染ファイルがオープンされているアクティブ・ディレクトリのファイルがすべて消去されます。また以下のメニュー・アイテム・エントリが削除されます。

    "View/Toolbars..."表示 | ツールバー
    "Tools/Macro"ツール | マクロ
    "Window/Unhide"ウインドウ | 再表示
    "Tools/Protection"ツール|プロテクション

XM/Uedasan.C

    このウイルスに感染したワークブックをオープンしている間に、本ウイルスは、メニューアイテム、およびXLSTARTフォルダの全てのファイルを削除します。また"AUTOSAVES.XLA"というアドイン・ファイルを作成し、さらにパスワード"0"(ゼロ)を設定しようとします。また感染ワークブックでは、以下のようにプロパティが改変されます。

    .TITLE = "#$%#$%#$@#@##$$$####@@@#@##$%$%$%^"
    .Subject = "ォワ.++I、ヲXJ-K_・
    .Author = "@@!@!@!#$#$%^**&%#^%^***"
    .Keywords = ">>>>>>>>>>>>>>>>>> F.Y."
    .Comments = "+666.............13.............OMEN+"

    さらに、偽のエラーメッセージが表示され、アプリケーションエラーが起きたので、Excelがシャットダウンされる、という誤情報が伝えられます。なおこの症状は、Excel95では正常作動しますが、Excel97においては、オープンされているすべてのワークブックがクローズされるのみです。

    またワークブックのクローズに際し、このウイルスは、"uedasan"というパスワード(Uedasan.Aの情報を参照)が設定されているかどうかを調べます。設定されていなかった場合は、C:\WINDOWS\COMMAND\BIOS386.COMに書き込まれたファイルを使ってワークブックに感染します。このCOMファイルは、実際には実行ファイルではなく、単に本ウイルスがそのコードをASCIIファイル形式で書き込み、C:\WINDOWS\COMMANDにBIOS386.COMという名前で設置しているだけです。本ウイルスの発病ルーチンは、まずその時の「月」が4月であるかどうかを調べます。4月であった場合は、C:\*.sysファイルをすべて消去します。またその時の「時刻」が午前6時より前であった場合は、カレントディレクトリのファイルをすべて消去します。