ウイルス情報

ウイルス名

Win95/Caw

危険度
対応定義ファイル 4060 (現在7633)
対応エンジン 4.0.25以降 (現在5600) 
エンジンバージョンの見分け方
別名 PE_CAW, Win95.Caw, Win95_Caw
発見日(米国日付) 99/12/28


これはWindows 95/98に感染する、メモリ常駐PEファイル型ウイルスです。あるファイルが感染すると、このウイルスコードがそのファイルの最後のセクションに追加され、エントリ ポイントがそのウイルスコードのはじめを直接指すように修正します。このウイルスはメモリに常駐している間、デバイス ドライバとほぼ同じ方法で動作します。つまり、"ring0"で動作します。ウイルスがこの状態で動作しているとき、ファイル機能、(書き込みやウイルス検査ををおこなうために、あるファイルを開くと、まずそのウイルスコードのルーチンが作動し、その後、そのファイルに感染する、など)を制御します。この方法で、そのシステム上で実行された、ターゲットとなるファイルがすべて感染してしまいます。

システムが感染すると、C: のルートにファイルが書き込まれ、"C:\AW."となります。このファイルには、ウイルスの発病ルーチンが作動中に削除の対象となるファイル名と拡張子のリストが含まれています。

このウイルスは、ハードドライブに保存されているデータを消去すると考えられており、これによりシステムに被害を与える可能性があります。この発病は7月7日に実行されるようにプログラムされています。

さらに注意しなければならないのは、タイムクロックが毎時ちょうどの時間(例:8時、9時)を指すと、.BMP、.JPG、.DOC、.WRI、.BAS、.SAV、.PDF、.RTF、.TXTの拡張子が付いたファイルを削除するという、別のペイロードが実行されるということです。また、WINWORD.EXE 実行可能ファイルを発見すると、これも削除の対象となります。

上記のような感染方法をとるため、このウイルスの駆除が必ずしも可能とは限りません。これは、宿主となったファイルの一部が上書きされるためです。