AM_AccessIVはMicrosoft Access
データベースに感染する初のウィルスです。
このウィルスは1998年3月7日に作成されたといわれています。
ウィルス作者は「Jerk1N」と自称し、「DIFFUSION Virus Team」という団体への参加を呼びかけています。
解析では、このウィルスは「Virus」というモジュールと「Autoexec」というマクロからなっています。
コードを調査したところ、感染したデータベース・ファイルを開いたときに、ウィルスはカレント・ディレクトリ内でMDB
ファイル全てを探して感染します。
つまり、ウィルスは、ウィルスモジュールとウィルスマクロを転写することにより、.MDBファイルへ感染します。
.COMファイルや.EXEファイルへの感染とは違って、ファイル・サイズの増加から感染を正確に識別することはできませんが、ほとんどの場合ファイル・サイズが変更されています。
データーベース・ファイルが感染しているかどうかは、疑わしいデータベース・ファイルをMicrosoft
Accessで開くことで、簡単にチェックできます。以下はその手順です。
(1)
メニューバーの「ツール」→「オプション」→「表示」を表示して、「隠しオブジェクト」チェックボックスをチェックします。次に、ファイルの「モジュール」タブ画面を選択します。モジュール欄に「Virus」というモジュールがあれば、次に進みます。
 |
【「ツール」→「オプション」】 |
 |
【「隠しオブジェクト」チェックボックス】 |
 |
【「Virus」というモジュール】 |
(2)
メニューバーの「ツール」→「マクロ」を選択して、サブメニューの「マクロの実行」を選択する(Microsoft
Access 97の場合である。Access 95ではメニューバーの「ツール」→「マクロ」を選択すると、「マクロの実行」が表示される。)
マクロ名リストにマクロ名「Autoexec」があれば、そのデータベース・ファイルは感染しています。
 |
【「ツール」→「マクロ」】 |
このウィルスは中国語や日本語のようなダブル・バイトのMicrosoft
Access 97ファイルにも感染します。また、このウィルスは本来Microsoft
Access 97を対象として作成されたが、コードからみてMicrosoft Access 95にも感染増殖します。SQLデータベースには感染しないものと思われます。
主な仕様は以下のとおりです。
ウィルス名: AM_AccessIV
別名: なし
ウィルスタイプ: マクロウィルス
プラットフォーム: Microsoft Access
マクロの数: 1 (Autoexec)
暗号化: 暗号化なし
マクロのサイズ: N/A
モジュールのサイズ: 394バイト
ウィルスのサイズ: 12,288バイト
不正コードのサイズ: N/A
発見地: USA
発見日: 1998年3月7日
症状: 「Autoexec」というマクロがデータベース内のマクロリストへ追加される
データベース・ファイルのサイズが増加する場合と増加しない場合がある
破壊性: なし
(指定された)発病日: なし
パスワード: なし
|
