ウイルス情報

ウイルス名

Cascade.1701.A

危険度
対応定義ファイル 4002 (現在7633)
対応エンジン  (現在5600) 
エンジンバージョンの見分け方
別名 1701, Cascade.1704.A
発見日(米国日付) 99/01/01


Cascade.1701.Aは、1993年7月に初めて、「The WildList」に「In The Wild(一般普及ウイルス)」として掲載された。これほど古くからあるウイルスでありながら、もともとDOS用に作成された他の多くのファイル感染ウイルスとは異なり、Cascade.1701.Aは、いまだに「In The Wild」として報告されることがある。

Cascadeは、上書きを行う暗号化メモリ常駐型のファイル感染ウイルスで、特に.COMファイルを対象として、ウイルス自体を付着させる。

Cascade.1701.Aは初め、トロイの木馬として配信された。このトロイの木馬は、おそらく、システムがブートされたときに、Num-Lockのライトを消す偽プログラムを装っていた。しかし実際は、画面上のすべての文字を、画面の底部に山積みにする機能を持っていた。

1987年の後半に、このトロイの木馬は、.COMファイルに感染するメモリ常駐型ウイルスに変更された。最初に作成されたウイルスの長さは、1,701バイトであり、IBMの純正PCとクローンマシンの両方に感染するが、さらに3バイト長く、IBMの純正PCには感染しない亜種も存在する。その他のあらゆる機能について、この両ウイルスは同一である。

どちらの亜種も、かなり珍しい性質をいくつか持っている。つまり、両亜種とも、暗号化アルゴリズムを使用して検出を回避し、これらのウイルスの分析を困難にする。その活動メカニズムは、マシンチェック、モニタタイプ、クロックカードの有無、および時間や年内のシーズンを取り入れた高度な無作為化アルゴリズムに基づいている。また、各亜種とも、CGAまたはVGAが搭載されたすべてのマシン上で活動する。

Cascadeの発病ルーチンは、1988年の10月1日から12月31日の間にトリガされる。ただし、1988年内に限られる。この発病ルーチンは、感染ファイルが実行されたすぐ後に発動し、画面上の文字を、画面の底部に山積みにして表示する。後に作成されたCascadeの亜種は、この「カスケード化」文字を表示しないので、ユーザは、ウイルスがシステム上で活動していても気づかない場合がある。

Cascadeがコンピュータに感染する唯一の原因は、コンピュータ上での感染ファイルの実行である。感染ファイルは、フロッピーディスク、オンラインサービスによるダウンロード、およびネットワークなど、多数のソースから生じることが考えられる。