【詳細情報】政治的メッセージを含むBlackマクロウイルス

◆概要：
　Blackは、新型のMicrosoft Excelマクロウイルスで、Microsoft Excel 95のワークブックに感染する。Blackのサイズは5,330バイトで、一般的に電子メール、ネットワーク、リムーバブルメディア、インターネットリレーチャットなどのファイル共有手段を介して他のコンピューターに拡散する。

　ワークブックがBlackに感染すると、Black がXLStart ディレクトリーにxl5glry.xlsを作成して、Microsoft Excelの実行時にウイルスを実行する。Blackに感染したワークブックには、BlackFridayという名前の悪意のあるマクロモジュールが追加される。Black は、感染発覚を避けるために、このモジュールの隠蔽を試みる。また、毎月13日には、以下のテキストが表示される。

Black Friday in Nov 1998

The Blood Sucker Army have killed our people & our students in Semanggi Clash [XF.Semanggi] brought to you by CrazH of NoMercyVirus Team Oct '98

◆情報ソース：
　Trend Micro Inc. ( http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=XF_BLACK.A&VSect=T ) ,July 17, 2002
　iDEFENSE Intelligence Operations, July 17, 2002

◆キーワード：
　Virus: Macro

◆分析：
　(iDEFENSE 米国) Blackマクロウイルスは、1998年にNoMercyVirusTeamのCrazH が作成したもので、当初はXF.BlackFridayの名前で公開されていた。このウイルスは、インドネシア民主化運動に参加した6人の学生の死に抗議するために、インドネシアで開発されたものである。NoMercyVirusTeamは、学生たちの死についての情報を広め、これに抗議するために、以下のような悪意のあるコードを作成している。

・XF.Crazh
・XF.Crazh.fixed
・XM/XM97.Fucking Police
・XM/XM97.Riots
・WM97.Ketapang

　NoMercyVirusTeamのオリジナルメンバーには、slagy、asmheady、knowdy、crazyとfoxzyがいる。同グループはすでに解散し、活動を中止していると思われる。Blackマクロウイルスの作者であるcrazyはウクライナ在住と思われ、他のグループの活動にも参加している。

◆検知方法：
　XLStartディレクトリー内のxl5glry.xlsと、Microsoft Excelワークブックに含まれる悪意のあるBlackFridayマクロモジュールを探す。

◆リカバリー方法：
　Blackに関連する全てのファイルと悪意のあるマクロを削除し、破壊・破損したファイルをクリーンなバックアップコピーで修復する。

◆暫定処置：
　Microsoft Excelのセキュリティを「高」に設定して、悪意のあるマクロの実行を防止する。新規ファイルを開く前に、Microsoft Excelドキュメントの手動スキャンを実行する。疑わしいファイルは、悪意のあるマクロをサポートしないメモ帳で開き、ファイルに隠されている可能性のある悪意のあるマクロを示すテキストなどの手掛かりがないか確認する。

◆ベンダー情報：
　現在、トレンドマイクロ社のアンチウイルスソフトウェアで、この新しい悪意のあるコードへの対応が可能である。また、他のアンチウイルスソフトウェアも、経験則を用いてこのBlackを検知できる可能性がある。

※この情報はアイ・ディフェンス・ジャパン
　（ http://www.idefense.co.jp/ ）より提供いただいております。
　アイディフェンス社の iAlert サービスについて
　 http://shop.vagabond.co.jp/p-alt01.shtml
　情報の内容は以下の時点におけるものです。
　【11:52 GMT、07、23、2002】