今回は「X97M_SUGAR.D(シュガー)」の活動を検証する。この不正プログラムは1999年1月に登場したMicrosoft Office Excel(以下Excel)のマクロ型ウイルスだ。その実体はExcelの文書ファイルに感染する不正VBAスクリプトである。自己増殖の活動としては文書ファイルへの感染活動のみであり,マスメーリング・ワーム活動などは持たない。ワーム活動はないので,現在の観点から言えばそれほど大きな規模で流行を広めた不正プログラムではない。シュガーはその流行よりも,その発病時に行われる破壊活動によって存在が知られるようになった不正プログラムである。
シュガーは感染ファイルの使用時に日時のうち,日と分が同じ数字だった場合(例えば7日の9時7分や15時7分など)に発病し,選択されたシート内のセルをランダムな色に変えてしまう。視覚的に分かりやすく,かつ迷惑な破壊活動によって,シュガーは不正プログラムの活動を示すためのデモンストレーションなどによく使われることとなった。現在の不正プログラムは金銭利益を目的とし,表面上に何も感染の痕跡を表さないものが主流となっているが,シュガーはそれとは正反対の,以前の不正プログラムが愉快犯的な動機で作られていたことを示す典型的な不正プログラムだ。
早速,活動を検証してみよう。検証環境としては,OFFICE2003をインストールしたWindows XPを用意した。Excelを起動し,シュガーに感染したファイルである「SugarD.xls」をオープンする(図1)。
すると,マクロが使用できないという旨のメッセージが表示された(図2)。OFFICE2003では,デフォルトでマクロに対するセキュリティ・レベルが「高」に設定されているため,マクロウイルスに感染した文章ファイルを開いてもマクロが実行される危険性はない。
このままではシュガーの活動を検証できない。マクロを実行させるためには,手動でセキュリティ・レベルを「中」以下に設定する必要がある。ここでは「中」に設定してみよう(図3)。
