製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:S
ウイルス情報
ウイルス情報

ウイルス名
SMILEYBO
危険度
対応定義ファイル4002 (現在7515)
対応エンジン (現在5600) 
エンジンバージョンの見分け方
別名Curse, miley-Boot, Smiley Worm, Smiley-Boot
発見日(米国日付)92/09/01
概要ウイルスの特徴感染症状感染方法駆除方法

セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
07/29RDN/Download...
07/29RDN/Download...
07/29RDN/Generic ...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7515
 エンジン:5600
 
ウイルス検索
 




SMILEYBOは、マスタブートレコード(MBR)およびブートセクタに感染するメモリ常駐ステルス型ウイルスで、360Kの5.25インチディスケットのブートセクタ、およびハードディスクに感染する。

感染するとすぐ、ハードディスクにも感染する。まず、ファイルアロケーションテーブルの4つのセクタを不良として記し、元のブートセクタと、ウイルスコードからなる3つのセクタをそれらの不良セクタに移動する。そして、ハードディスクに感染する。

同時にメモリに常駐するようになり、システムメモリの最上位で、DOSの640K境界以下から4,096バイトを割り当てる。割り込み12のリターンは移動される。

SMILEYBOウイルスは、いったんメモリに常駐すると、360Kの5.25インチディスケットがアクセスされた場合、そのディスケットに感染する。システムのハードディスクの場合と同様に、4つのセクタを不良として記し、元のブートセクタと、ウイルスコードからなる3つのセクタをそれらの不良セクタに配置してから、ブートセクタに感染する。

Curse Bootウイルスは、1990年に初めて報告されたが、そのときに確認されたサンプルは自己複製せず、不完全なものと思われた。Curse Bootウイルスのサンプルで、初めて機能したのは、1992年9月にカリフォルニア北部の大学においてパブリックドメインから発見されたものであった。Curse Bootは、メモリ常駐型ウイルスで、360Kの5.25インチディスケットのブートセクタ、およびハードディスクのブートセクタに感染する。ステルス型でもあり、メモリに常駐する場合は、ディスケットのブートセクタの感染を隠蔽する。Curse Bootウイルスに感染したディスケットを使って初めてシステムがブートされたときに、このウイルスは、ハードディスクのブートパーティションのブートセクタに感染する。また、ファイルアロケーションテーブルの4つのセクタを不良として記し、元のブートセクタと、ウイルスコードからなる3つのセクタをそれらの不良セクタに移動する。その後、ハードディスクのブートセクタに感染する。また、このとき、メモリに常駐するようになり、システムメモリの最上位で、DOSの640K境界以下に4,096バイトを割り当てる。割り込み12のリターンは移動される。Curse Bootウイルスは、いったんメモリに常駐すると、360Kの5.25インチディスケットが何らかの理由でアクセスされた場合に、そのディスケットに感染する。システムのハードディスクの場合と同様に、4つのセクタを不良として記し、元のブートセクタと、ウイルスコードからなる3つのセクタをそれらの不良セクタに配置してから、ブートセクタに感染する。Curse Bootに感染したシステムでは、ブート時のシステム時間の「時」の値が、システムクロック用のCMOSメモリに格納された実際の値ではなく、ゼロに設定されることがある。たとえば、Curse Bootに感染したディスクからブートした場合に、ブート時のシステムクロックが21:30.00であれば、システム時間は0:30.00となる。Curse Bootは、メモリに常駐する場合に、360Kの5.25インチディスケットのブートセクタにおける感染を隠蔽し、ブートセクタを読み取る試みがあると、その宛先を未感染の元のブートセクタに変更する。そのため、メモリに常駐する場合は、ウイルス対策プログラムを使っても、ディスケットからこのウイルスを検出することはできない。ただし、ハードディスクのブートセクタ上の感染は隠蔽されない。

SMILEYBOに感染したシステムのユーザは、ブート時のシステム時間の「時」の値が、システムクロック用のCMOSメモリに格納された実際の値ではなく、ゼロに設定されることに気づくことがある。たとえば、Curse Bootに感染したディスクからブートした場合に、ブート時のシステムクロックが21:30.00であれば、システム時間は0:30.00となる。

SMILEYBOは、メモリに常駐する場合に、360Kの5.25インチディスケットのブートセクタ感染を隠蔽し、ブートセクタを読み取る試みがあると、その宛先を未感染の元のブートセクタに変更する(ステルステクニック)。しかし、ハードディスクのブートセクタ上の感染は隠蔽しない。

MBRやブートセクタに感染するウイルスが、コンピュータに感染する唯一の原因は、感染したフロッピーディスクを使用してブートを試みることである。ディスケットのブートセクタには、そのディスケットがブート可能かどうかを判断し、"Non-system disk or disk error"というメッセージを表示するためのコードがある。このコードが、感染を隠蔽してしまう。システムディスクではないことを告げるこのエラーメッセージが表示されるまでには、感染が行われている。ウイルスはいったん発動すると、ハードドライブのMBRに感染し、メモリ常駐型となるおそれがある。その後、ブートが行われるたびに、ウイルスはメモリにロードされて、そのマシンからアクセスしているフロッピーディスクに感染しようとする。