先日社内でValla(別名Xorala)というウィルスが発見された。
とはいえ幸い見つかったのは一台のマシンのみ。他への感染はない。

すぐに方々を調べたのだが

WindowsフォルダとWindowsのシステムフォルダにある実行可能形式（PE型)ファイルに2048バイトのウイルスコードを追加する形で感染活動を行います。感染活動以外に特に悪質な破壊活動は行いません。

いや、だからどこからどうやって感染するのよ。
第一Windowsフォルダとシステムフォルダどころか、.exeファイルはほとんど根こそぎ感染してるっつーの！
シマンテックも似たような感じ。

で、今日ようやく↓を見つけた。

Windowsフォルダとシステムフォルダ、カレントフォルダとカレントフォルダの1つ下のフォルダを再帰的に検索し、拡張子がEXEのプログラムに感染する。感染したプログラムはファイルサイズが2048バイト増加する。発病はない。

“カレントフォルダとカレントフォルダの1つ下のフォルダを再帰的に”か。
それでようやくわかった。
どこかで拾ってきた.exeファイルが感染済のヤツで、それを開いてってこうなったわけか。
わかってみれば何ということもないが、トレンドマイクロもシマンテックも、もうちょっと記述はちゃんとしろよな。