ウイルス情報

ウイルス名

SMILEYBO

危険度
対応定義ファイル 4002 (現在7656)
対応エンジン  (現在5600) 
エンジンバージョンの見分け方
別名 Curse, miley-Boot, Smiley Worm, Smiley-Boot
発見日(米国日付) 92/09/01


SMILEYBOは、マスタブートレコード(MBR)およびブートセクタに感染するメモリ常駐ステルス型ウイルスで、360Kの5.25インチディスケットのブートセクタ、およびハードディスクに感染する。

感染するとすぐ、ハードディスクにも感染する。まず、ファイルアロケーションテーブルの4つのセクタを不良として記し、元のブートセクタと、ウイルスコードからなる3つのセクタをそれらの不良セクタに移動する。そして、ハードディスクに感染する。

同時にメモリに常駐するようになり、システムメモリの最上位で、DOSの640K境界以下から4,096バイトを割り当てる。割り込み12のリターンは移動される。

SMILEYBOウイルスは、いったんメモリに常駐すると、360Kの5.25インチディスケットがアクセスされた場合、そのディスケットに感染する。システムのハードディスクの場合と同様に、4つのセクタを不良として記し、元のブートセクタと、ウイルスコードからなる3つのセクタをそれらの不良セクタに配置してから、ブートセクタに感染する。

Curse Bootウイルスは、1990年に初めて報告されたが、そのときに確認されたサンプルは自己複製せず、不完全なものと思われた。Curse Bootウイルスのサンプルで、初めて機能したのは、1992年9月にカリフォルニア北部の大学においてパブリックドメインから発見されたものであった。Curse Bootは、メモリ常駐型ウイルスで、360Kの5.25インチディスケットのブートセクタ、およびハードディスクのブートセクタに感染する。ステルス型でもあり、メモリに常駐する場合は、ディスケットのブートセクタの感染を隠蔽する。Curse Bootウイルスに感染したディスケットを使って初めてシステムがブートされたときに、このウイルスは、ハードディスクのブートパーティションのブートセクタに感染する。また、ファイルアロケーションテーブルの4つのセクタを不良として記し、元のブートセクタと、ウイルスコードからなる3つのセクタをそれらの不良セクタに移動する。その後、ハードディスクのブートセクタに感染する。また、このとき、メモリに常駐するようになり、システムメモリの最上位で、DOSの640K境界以下に4,096バイトを割り当てる。割り込み12のリターンは移動される。Curse Bootウイルスは、いったんメモリに常駐すると、360Kの5.25インチディスケットが何らかの理由でアクセスされた場合に、そのディスケットに感染する。システムのハードディスクの場合と同様に、4つのセクタを不良として記し、元のブートセクタと、ウイルスコードからなる3つのセクタをそれらの不良セクタに配置してから、ブートセクタに感染する。Curse Bootに感染したシステムでは、ブート時のシステム時間の「時」の値が、システムクロック用のCMOSメモリに格納された実際の値ではなく、ゼロに設定されることがある。たとえば、Curse Bootに感染したディスクからブートした場合に、ブート時のシステムクロックが21:30.00であれば、システム時間は0:30.00となる。Curse Bootは、メモリに常駐する場合に、360Kの5.25インチディスケットのブートセクタにおける感染を隠蔽し、ブートセクタを読み取る試みがあると、その宛先を未感染の元のブートセクタに変更する。そのため、メモリに常駐する場合は、ウイルス対策プログラムを使っても、ディスケットからこのウイルスを検出することはできない。ただし、ハードディスクのブートセクタ上の感染は隠蔽されない。

SMILEYBOに感染したシステムのユーザは、ブート時のシステム時間の「時」の値が、システムクロック用のCMOSメモリに格納された実際の値ではなく、ゼロに設定されることに気づくことがある。たとえば、Curse Bootに感染したディスクからブートした場合に、ブート時のシステムクロックが21:30.00であれば、システム時間は0:30.00となる。

SMILEYBOは、メモリに常駐する場合に、360Kの5.25インチディスケットのブートセクタ感染を隠蔽し、ブートセクタを読み取る試みがあると、その宛先を未感染の元のブートセクタに変更する(ステルステクニック)。しかし、ハードディスクのブートセクタ上の感染は隠蔽しない。

MBRやブートセクタに感染するウイルスが、コンピュータに感染する唯一の原因は、感染したフロッピーディスクを使用してブートを試みることである。ディスケットのブートセクタには、そのディスケットがブート可能かどうかを判断し、"Non-system disk or disk error"というメッセージを表示するためのコードがある。このコードが、感染を隠蔽してしまう。システムディスクではないことを告げるこのエラーメッセージが表示されるまでには、感染が行われている。ウイルスはいったん発動すると、ハードドライブのMBRに感染し、メモリ常駐型となるおそれがある。その後、ブートが行われるたびに、ウイルスはメモリにロードされて、そのマシンからアクセスしているフロッピーディスクに感染しようとする。