ウイルス情報

ウイルス名

Sarampo

危険度
対応定義ファイル 4002 (現在7628)
対応エンジン  (現在5600) 
エンジンバージョンの見分け方
別名 Cavaco, Sarampo.1371, Sarampo.A
亜種 Sarampo.B
発見日(米国日付) 95/07/01


Sarampoは、ファイルに感染するメモリ常駐型ウィルスである。COMMAND.COMを含む.COMファイルおよび.EXEファイルに感染するが、C:ドライブのルートディレクトリに配置されている場合は、COMMAND.COMのみに感染するようである。

このウィルスは感染すると、システムメモリの最上位で、DOSの640K境界以下のメモリに常駐するようになり、割り込み21をフックする。

このウィルスは、いったんメモリに常駐すると、.COMファイルおよび.EXEファイルが実行されたときにそのファイルに感染することがある。

補足説明:
SarampoまたはSarampo.Aウィルスは、Sarampo.B亜種とともに1995年7月に受信された。その起源地または発見場所は不明である。Sarampoは、メモリに常駐し、COMMAND.COMを含む.COMファイルおよび.EXEファイルに感染する。Sarampoに感染した.EXEプログラムが初めて実行されると、このウィルスはそれ自身のメモリ常駐型プログラムをシステムメモリの最上位で、DOSの640K境界以下にインストールし、割り込み21をフックする。DOS 5.0以降のDOS CHKDSKプログラムが示すように、使用可能な空きメモリは、メモリ内のウィルスのサイズ分として最低でも1,648バイト減少する。感染が進むにつれ、使用可能な空きメモリは実際に、さらに大きく減少することがある。このウィルスは、いったんメモリに常駐すると、.COMファイルおよび.EXEファイルが実行されるときに、そのファイルに感染するが、すべての.COMおよび.EXEファイルに感染するわけではない。

感染したプログラムでは、ファイル長が1,371バイト増大し、ウィルスはファイルの終わりに配置される。DOSディスクディレクトリ一覧に表示される感染プログラムの日時は変更され、時刻が"1:13:00pm"に設定される。また、ウィルスがメモリに存在するが感染はしていない.COMファイルおよび.EXEファイルが実行されると、そのファイルの時刻も上記の値に設定される。Sarampoに感染したすべてのプログラムに存在するウィルスコード内には、"c:\command.com" "Do you like this Screen Saver ? I hope so" "Created by Sarampo virus."というテキスト文字列を見つけることができる。 感染した.COMファイルが実行されると、システムハングが生じる場合がある。このウィルスは、C:ドライブのルートディレクトリに配置されている場合は、COMMAND.COMにのみ感染するようである。判明しているSarampoの亜種は、次のとおりである。

Sarampoに感染したすべてのファイル内のウィルスコードには、次のテキスト文字列が存在する。

"c:\command.com"
"Do you like this Screen Saver ? I hope so"
"Created by Sarampo virus."

感染した.COMファイルが実行されると、システムハングが生じる場合がある。

DOS 5.0以降のDOS CHKDSKが示すように、使用可能な空きメモリは、メモリ内のウィルスのサイズ分として最低でも1,648バイト減少する。感染が進むにつれ、使用可能な空きメモリは実際に、さらに大きく減少することがある。感染ファイルのファイル長は、1,371バイト増大する。ウィルスは、ファイルの終わりに配置される。DOSディスクディレクトリ一覧に示される感染ファイルの日時は、"1:13:00pm"に設定される。また、ウィルスがメモリに存在するが感染はしていない.COMファイルおよび.EXEファイルが実行されると、そのファイルの時刻も上記の値に設定される。

このファイル感染ウィルスが、コンピュータに感染する唯一の原因は、コンピュータでの感染ファイルの実行である。感染ファイルは、フロッピーディスク、オンラインサービスによるダウンロード、およびネットワークなど、多数のソースから生じることが考えられる。いったん感染ファイルを実行すると、ウィルスが発動するおそれがある。