製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:C
ウイルス情報
ウイルス情報

ウイルス名
Cruel.A
危険度
対応定義ファイル4002 (現在7558)
対応エンジン (現在5600) 
エンジンバージョンの見分け方
別名Cruel.1024
発見日(米国日付)99/01/01
概要ウイルスの特徴感染症状感染方法駆除方法

セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
09/10RDN/Generic ...
09/10RDN/Generic....
09/10RDN/Generic....
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7558
 エンジン:5600
 
ウイルス検索
 




Cruel.Aは1996年9月、初めてハンガリーで「In the Wild」として報告された。このウイルスは、世界中に急速に広がったため、1996年10月の「WildList」に正式に掲載された。依然としてCruel.Aに関する報告は見られるが、頻繁に発生することはない。

感染ディスケットからブートすると、Cruel.Aは自身をメモリとハードドライブのブートレコードにインストールする。

Cruel.Aは、読取りステルス特性を使用していない。ユーザがハードドライブのブートレコードを参照しようとすると、感染ブートレコードでも、真のブートレコードとして表示される。このウイルスは、元の未感染ブートレコードのコピーを、ドライブジオメトリに基づいた様々な位置に保存する。

このウイルスの発病ルーチンと同様に、Cruel.AはCMOS設定を変更する。BIOSの構成と製造元によっては、このウイルスがドライブのタイプ、時刻、日付、またはパワーオンパスワードを変更できる可能性がある。

Cruel.Aは、ディスケットのブートセクタとハードドライブのブートレコードに感染する。メモリにロードすると、このウイルスはDOSメモリの最上位を2Kだけ減らす。たとえば、バージョン6.20のDOSベースコンピュータでは、[元々、コンベンショナルメモリが640Kあり、他のさまざまなドライバがすでにロードされている場合]メモリ容量を減らすと、使用可能なメモリは589,712バイトではなく、587,664バイトとして表示される。コンピュータによっては、環境設定に応じて、表示されるコンベンショナルメモリ容量が異なる場合があるので注意する必要がある。

DOS上で動作する感染コンピュータをブートすると、このウイルスは自身をロードして、メモリに常駐するようになる。DOS上で動作する他のメモリ常駐型ブートウイルスと同様、Cruel.A はInt13hへのコールを中間介入して、自身のコードにコールを転送する。このウイルスがメモリに常駐して、Int13hへのコールを中間介入すると、アクセスしたすべてのディスケットにこのウイルスが感染することになる。

Windows 95上で動作する感染コンピュータをブートすると、このウイルスは自身をメモリにロードするが、Windows 95は専用の32ビットファイルシステムドライバを使用しているため、Windows DOSベースのコンピュータ上でも、他のディスケットに自己複製することはできない。これは単に、Windows 95が専用の32ビットディスクドライバを使用しているためである。Windows 95が起動すると(より正確に言えばVMM32.SYSがロードすると)、DOSの場合と同じやり方でInt13hへのコールは行われない。したがって、このウイルスが依然としてハードドライブのブートレコードに常駐している間は、自己複製することはできない。

次の点に注意する必要がある。

1) Windows 95システムに感染した後で、Windows 95を再起動すると、次のようなパフォーマンスに関する警告が表示される場合ある。

実際、メッセージは、Int13hアドレスへの変更(少なくとも、Windows 95によって記録される、最後にポイントされたInt13h)を示す。ブートレコードが物理的に変更されたかどうかにかかわらず、メッセージは、Int13hアドレスへの変更が行われたときに表示される。

メッセージは、ウイルスに感染していることを示すものだが、他の正当な理由(ディスク圧縮ソフトウェアやディスク暗号化ソフトウェアなど)によっても、メッセージが表示される場合がある。パフォーマンスに関する警告メッセージボックスが表示されるのは1度だけなので、次にシステムを再起動しても、メッセージは表示されない。予期せずメッセージが表示された場合は、ただちにその原因を調査する必要がある。

2) Windows 95の32ビットディスクドライバは、使用禁止にすることができる。この設定を行うと、システムは「DOS互換モード」になる。このモードになると、Int13hへのコールが行われる。つまり、論理上、ウイルスは再び自己複製機能を持つ可能性がある。Cruel.Aの場合、ウイルスは実際、DOS互換モードで自己複製する(ただし、Window 95が互換モードの場合に限る)。