ついに出ました(って騒ぐほどでもない?)、Visual Basicウイルス。
ウイルス本体は、 Visual Basic Version 5で書かれてEXE形式にコンパイルされたもの。
これはファイル感染型で、 そのプログラムのあるディレクトリ上の、 PE形式のEXEファイルに感染する。 ペイロード(発病機能)はない。
このウイルスに感染したファイルのアイコンは、 大きいアイコンは白いドクロマーク、 小さいアイコンは青地にIkXのアイコンになってしまうため、 発見はたやすい。というか、ウイルスとしては致命的(^^;)。
また、他のウイルス同様、このウイルスも重複感染を防ぐ機能を持っており、 これがウイルス感染を確認する手がかりともなる。
PE形式のプログラムファイルの先頭部分には、普通は "This program cannot be run in DOS mode." の文字列があるんだけど、このウイルスに感染しているファイルでは "Program can not run due to Murkry Poisoning."になっている。 ウイルスはこの"Murkry"の'M'をチェックしている。 そう、このウイルスの感染はファイルのダンプで確認できるんだ。 ファイルの検索で上記文字列を指定してもいいだろう。
このウイルスを感染ファイルから駆除するには、 バイナリファイルを編集できるエディタを使って、 プログラムの先頭から14,336バイトを削除するだけ。 ただし、ウイルスサイズがこれと異なる可能性もあるため、 削除後のファイルの先頭が"MZ"であることを確認した方がいい。
また、感染ファイルを実行中、 同じディレクトリ上に感染前のプログラムファイルが拡張子"EVE"で生成される。 これは実行が終了した時点で削除されるが、 これを拡張子"EXE"でコピーしておけば、 ウイルス感染前のプログラムが手に入る。
今のところ変種や亜種は見つかっていないけど、 このウイルスはVisual Basicのソースファイルが公開されているので、 上に書いた情報が通用しなくなるかもしれないことに十分注意するべきだ。 特に、致命的なアイコン問題は次のバージョンで修正されるだろう。
でも、所詮実行ファイルなのでマクロウイルスより流通しにくく、 また、アセンブラで書かれたウイルスより発見しやすいため、 Visual Basicで書かれたウイルスが流行する恐れはほとんどない。 その意味でもこのウイルスは失敗作であり、 Visual Basicを用いること自体が失敗策だと思う。 作者の方、反論お待ちしております(^^;)。