ウイルス情報

ウイルス名

Cruel.A

危険度
対応定義ファイル 4002 (現在7659)
対応エンジン  (現在5600) 
エンジンバージョンの見分け方
別名 Cruel.1024
発見日(米国日付) 99/01/01


Cruel.Aは1996年9月、初めてハンガリーで「In the Wild」として報告された。このウイルスは、世界中に急速に広がったため、1996年10月の「WildList」に正式に掲載された。依然としてCruel.Aに関する報告は見られるが、頻繁に発生することはない。

感染ディスケットからブートすると、Cruel.Aは自身をメモリとハードドライブのブートレコードにインストールする。

Cruel.Aは、読取りステルス特性を使用していない。ユーザがハードドライブのブートレコードを参照しようとすると、感染ブートレコードでも、真のブートレコードとして表示される。このウイルスは、元の未感染ブートレコードのコピーを、ドライブジオメトリに基づいた様々な位置に保存する。

このウイルスの発病ルーチンと同様に、Cruel.AはCMOS設定を変更する。BIOSの構成と製造元によっては、このウイルスがドライブのタイプ、時刻、日付、またはパワーオンパスワードを変更できる可能性がある。

Cruel.Aは、ディスケットのブートセクタとハードドライブのブートレコードに感染する。メモリにロードすると、このウイルスはDOSメモリの最上位を2Kだけ減らす。たとえば、バージョン6.20のDOSベースコンピュータでは、[元々、コンベンショナルメモリが640Kあり、他のさまざまなドライバがすでにロードされている場合]メモリ容量を減らすと、使用可能なメモリは589,712バイトではなく、587,664バイトとして表示される。コンピュータによっては、環境設定に応じて、表示されるコンベンショナルメモリ容量が異なる場合があるので注意する必要がある。

DOS上で動作する感染コンピュータをブートすると、このウイルスは自身をロードして、メモリに常駐するようになる。DOS上で動作する他のメモリ常駐型ブートウイルスと同様、Cruel.A はInt13hへのコールを中間介入して、自身のコードにコールを転送する。このウイルスがメモリに常駐して、Int13hへのコールを中間介入すると、アクセスしたすべてのディスケットにこのウイルスが感染することになる。

Windows 95上で動作する感染コンピュータをブートすると、このウイルスは自身をメモリにロードするが、Windows 95は専用の32ビットファイルシステムドライバを使用しているため、Windows DOSベースのコンピュータ上でも、他のディスケットに自己複製することはできない。これは単に、Windows 95が専用の32ビットディスクドライバを使用しているためである。Windows 95が起動すると(より正確に言えばVMM32.SYSがロードすると)、DOSの場合と同じやり方でInt13hへのコールは行われない。したがって、このウイルスが依然としてハードドライブのブートレコードに常駐している間は、自己複製することはできない。

次の点に注意する必要がある。

1) Windows 95システムに感染した後で、Windows 95を再起動すると、次のようなパフォーマンスに関する警告が表示される場合ある。

実際、メッセージは、Int13hアドレスへの変更(少なくとも、Windows 95によって記録される、最後にポイントされたInt13h)を示す。ブートレコードが物理的に変更されたかどうかにかかわらず、メッセージは、Int13hアドレスへの変更が行われたときに表示される。

メッセージは、ウイルスに感染していることを示すものだが、他の正当な理由(ディスク圧縮ソフトウェアやディスク暗号化ソフトウェアなど)によっても、メッセージが表示される場合がある。パフォーマンスに関する警告メッセージボックスが表示されるのは1度だけなので、次にシステムを再起動しても、メッセージは表示されない。予期せずメッセージが表示された場合は、ただちにその原因を調査する必要がある。

2) Windows 95の32ビットディスクドライバは、使用禁止にすることができる。この設定を行うと、システムは「DOS互換モード」になる。このモードになると、Int13hへのコールが行われる。つまり、論理上、ウイルスは再び自己複製機能を持つ可能性がある。Cruel.Aの場合、ウイルスは実際、DOS互換モードで自己複製する(ただし、Window 95が互換モードの場合に限る)。