ウイルス情報

ウイルス名

Baclab

危険度
対応定義ファイル 4002 (現在7628)
対応エンジン  (現在5600) 
エンジンバージョンの見分け方
Cawberは、メモリに常駐する際、ステルステクニックを使ってその存在を隠蔽し、暗号化される。

このウイルスは、INT_21hのファンクション11 (FCB findfirst)、12 (FCB findnext)、33、3d (open)、3e、3f、40、4202、46、4b00 (execute)、4e、4fに中間介入する。DOS割り込みに中間介入すると、ウイルス自体のFARジャンプをコアのDOSファンクションディスパッチャに挿入する。

感染ファイルはすべて、起動時のIP=46h、SP=9FAhに設定され、タイムスタンプの秒フィールドが30秒に設定される。

このウイルスには、次の2つの短い文字列が含まれている。

T4 (ウイルス本体の先頭。暗号化されていない)およびGriffe (暗号化されている)。

また、次の長い(暗号化された)テキストメッセージがある。

T4 virion AAAAA by NTU BACTERIOPHAGE LA

There Once Was A King, Who Called For The Spring

For His World Was Still Covered In Snow

But The Spring Had Not Been, For He Was Wicked And Mean ...

Here I'm Sitting And It's Getting Cold

The Morning Rains Against My Window Pane

While The World Looks So Cold And Grey

In My Mind I Dream Away

Then I'm On My Way To Tropic Islands

You'd Always Say I Was A Dreamer

You Were Right

What Do I Say When It's All Over ?

And SORRY Seems To Be The Hardest Word ...

発病ルーチンがトリガされると(これは、1月13日以降に起こる)、このウイルスは、一部のEXEファイルの始まりに上記のテキストを書き込む。これらのファイルを実行すると、ハングすると思われる。

EXEファイル(ただし、2,000バイトより短いファイルは感染しない)。