ウイルス情報

ウイルス名

Cannabis

危険度
対応定義ファイル 4002 (現在7628)
対応エンジン  (現在5600) 
エンジンバージョンの見分け方
亜種 Cannabis.A, Cannabis.B, Cannabis A, Cannabis B
発見日(米国日付) 91/10/01


Cannabisは、メモリ常駐型ウイルスで、ブートセクタに感染するが、このとき、ハードディスクには感染しない。

Cannabisに感染したディスケットを使ってシステムをブートすると、通常、そのディスクがシステムディスクではないことを示し、システムディスクに入れ替えて、どれかキーを押すように指示するメッセージが表示される。ディスケットを入れ替えるか、ディスケットを取り出してシステムのハードディスクからブートを続けると、ブート処理が完了する。この時点で、Cannabisは、システムメモリの最上位で、DOSの640K境界以下でメモリに常駐する。

Cannabisは、いったんメモリに常駐すると、書き込み保護が設定されていないディスケットが感染システムからアクセスされた場合に、そのディスケットに感染する。感染した360Kのディスケットでは、元のブートセクタがセクタ9に移動される。Cannabisのウイルスコードはセクタ0、すなわち、元のブートセクタの位置に書き込まれる。セクタ9は通常、ルートディレクトリに属するため、感染ディスケット上でディレクトリの破壊が起こることがある。

Cannabisは、前に感染したディスケットに再感染することがある。その結果、再感染が発生したときに、セクタ9に移動された元のブートセクタが、ウイルスコードによって上書きされる。

Cannabisウイルスは、1991年10月にオランダから提出された。Cannabisは、メモリ常駐型ウイルスで、フロッピーディスクのブートセクタに感染する。現在までに届出があった分については、ハードディスクには感染しない。Cannabisに感染したディスケットを使ってシステムをブートしようとすると、通常、そのディスクがシステムディスクではないことを示し、システムディスクに入れ替えて、どれかキーを押すように指示するメッセージが表示される。ディスケットを入れ替えるか、ディスケットを取り出してシステムのハードディスクからブートを続けると、ブート処理が完了する。この時点で、Cannabisは、システムメモリの最上位で、DOSの640K境界以下に入り込む。DOS CHKDSKプログラムが示すように、システムメモリと使用可能な空きメモリの合計は、予定より2,048バイト減少する。Cannabisは、いったんメモリに常駐すると、書き込み保護が設定されていないディスケットが感染システムからアクセスされた場合に、そのディスケットに感染する。感染した360Kのディスケットの元のブートセクタはセクタ9に移動され、Cannabisのウイルスコードはセクタ0、すなわち、元のブートセクタの位置に書き込まれる。セクタ9は通常、ルートディレクトリに属するため、感染ディスケット上でディレクトリの破壊が起こることがある。Cannabisは、非常に変ったウイルスで、前に感染したディスケットに再び感染する。その結果、再感染が発生した場合は、セクタ9に再配置された元のブートセクタがウイルスコードによって上書きされる。感染ディスケットを使ってシステムがブートされると、Cannabisウイルスは、"Hey man, I don't wanna work. I'm too stoned right now..."というメッセージを表示することがある。感染したブートセクタには、"Cannabis"という語とともにこのメッセージテキストが格納される。Cannabisの亜種としては、次のものが判明している。

感染ディスケットを使ってシステムがブートされると、Cannabisウイルスは、次のメッセージを表示することがある。

"Hey man, I don't wanna work. I'm too stoned right now..."

感染したブートセクタには、"Cannabis"という語とともにこのメッセージテキストが格納される。

DOS CHKDSKプログラムが示すように、システムメモリと使用可能な空きメモリの合計は、予定より2,048バイト減少する。

ブートセクタに感染するウイルスが、コンピュータに感染する唯一の方法は、感染したフロッピーディスクを使用してブートを試みることである。ディスケットのブートセクタには、そのディスケットがブート可能かどうかを判断し、"Non-system disk or disk error"というメッセージを表示するためのコードがある。このコードが、感染を隠蔽してしまう。システムディスクではないことを告げるこのエラーメッセージが表示されるまでには、感染が行われている。ウイルスはいったん発動すると、ハードドライブのMBRに感染し、メモリ常駐型となるおそれがある。その後、ブートが行われるたびに、ウイルスはメモリにロードされて、そのマシンからアクセスしているフロッピーディスクに感染しようとする。