XM/Uedasan.A
このウイルスの名前は、マクロシートに"uedasan"というパスワードが設定されることから来ています。C:\*.*、カレントディレクトリその他でファイルを削除します。また以下のメニューアイテムが削除されます。
| View|Toolbars | :表示 | ツールバー |
| Tools | Macro | :ツール | マクロ |
| Window | Unhide | :ウインドウ | 再表示 |
| Tools | Protection | :ツール | 保護 |
| Format | Sheet | Unhide | :書式 | シート | 再表示 |
XM/Uedasan.B
このウイルスは、"#1SLIDER.XLA" というファイルを、Excel95のXLSTARTフォルダに作成します。このファイルはアドインとして活動し、これの働きにより、Excel95でファイルがオープン、クローズされる際に他のファイルへの感染が発生します。感染ファイルしたファイルでは、プロパティが以下のように改変されます。
.Title = "#$%#$%#$@#@##$$$####@@@#@##$%$%$%^"
.Subject = "ォワ.++I、ヲXJ-K_ "
.Author = "@@!@!@!#$#$%^**&%#^%^***"
.Keywords = ">>>>>>>>>>>>>>>>>> F.Y."
.Comments = "+666.............13.............OMEN+"
このウイルスには、日付を基準にして発動する発病機能があります。その時の「月」が4月である場合、C:\MSDOS.SYSが削除されます。またその時の「月」が4月で、「時刻」が午前6時より前であった場合、感染ファイルがオープンされているアクティブ・ディレクトリのファイルがすべて消去されます。また以下のメニュー・アイテム・エントリが削除されます。
| "View/Toolbars..." | 表示 | ツールバー |
| "Tools/Macro" | ツール | マクロ |
| "Window/Unhide" | ウインドウ | 再表示 |
| "Tools/Protection" | ツール|プロテクション |
XM/Uedasan.C
このウイルスに感染したワークブックをオープンしている間に、本ウイルスは、メニューアイテム、およびXLSTARTフォルダの全てのファイルを削除します。また"AUTOSAVES.XLA"というアドイン・ファイルを作成し、さらにパスワード"0"(ゼロ)を設定しようとします。また感染ワークブックでは、以下のようにプロパティが改変されます。
.TITLE = "#$%#$%#$@#@##$$$####@@@#@##$%$%$%^"
.Subject = "ォワ.++I、ヲXJ-K_・
.Author = "@@!@!@!#$#$%^**&%#^%^***"
.Keywords = ">>>>>>>>>>>>>>>>>> F.Y."
.Comments = "+666.............13.............OMEN+"
さらに、偽のエラーメッセージが表示され、アプリケーションエラーが起きたので、Excelがシャットダウンされる、という誤情報が伝えられます。なおこの症状は、Excel95では正常作動しますが、Excel97においては、オープンされているすべてのワークブックがクローズされるのみです。
またワークブックのクローズに際し、このウイルスは、"uedasan"というパスワード(Uedasan.Aの情報を参照)が設定されているかどうかを調べます。設定されていなかった場合は、C:\WINDOWS\COMMAND\BIOS386.COMに書き込まれたファイルを使ってワークブックに感染します。このCOMファイルは、実際には実行ファイルではなく、単に本ウイルスがそのコードをASCIIファイル形式で書き込み、C:\WINDOWS\COMMANDにBIOS386.COMという名前で設置しているだけです。本ウイルスの発病ルーチンは、まずその時の「月」が4月であるかどうかを調べます。4月であった場合は、C:\*.sysファイルをすべて消去します。またその時の「時刻」が午前6時より前であった場合は、カレントディレクトリのファイルをすべて消去します。
