ウイルス情報ウイルス情報| 危険度 | 低 | | 対応定義ファイル | 4002 (現在7080) | | 対応エンジン | (現在5.4.00)
エンジンバージョンの見分け方 | | 別名 | 1991 Boot, Donald Duck, Hawaii, Marijuana, NewZealand, Rostov, SanDiego, Smithsonian, StonedII, StonedMutation | | 発見日(米国日付) | 88/02/01 | |
|
|
初期のStonedウイルスは、360KBの5.25インチディスケットに感染はしたが、ダメージを与えることはなかった。ディスケットのみに感染する初期のウイルスは、現在、絶滅したと考えられている。しかし、この初期のStonedウイルスに基く、90以上の亜種が存在する。判明している亜種はすべて、ハードディスクのマスタブートレコード(MBR)に感染することができ、なかには、ディレクトリやファイルアロケーションテーブル(FAT)にダメージを与えるものもある。ほとんどの亜種は、初期のウイルスをわずかに変更しただけのものであり、多くは、表示されるメッセージが変更されただけである。
感染すると、このウイルスは、システムメモリの最上位に常駐するようになり、割り込み12のリターンを移動する。また、このとき、ハードディスクのマスタブートレコードにも感染する。
Stonedは、いったんメモリの常駐すると、ディスケットが感染システムからアクセスされた場合に、そのディスケットに感染し、元のブートセクタ(セクタ0)をセクタ11に移動する。次に、それ自体のウイルスコードをセクタ0にコピーする。360Kの5.25インチディスケットの場合、セクタ11は通常、ディスケットのルートディレクトリの一部であるため、このセクタにディレクトリエントリが格納されていたファイルは、すべて失われる。DOSの一部のバージョンでは、セクタ11がFATの一部であり、その場合も、ディスクのFATが破壊されることになる。
Stonedは、システムのハードディスクに感染すると、元のマスタブートレコードをサイド0、シリンダ0、セクタ7にコピーする。Stonedウイルスのコピーは、サイド0、シリンダ0、セクタ1、すなわち、元のマスタブートレコード位置に配置される。サイド0、シリンダ0で、マスタブートレコードの直後に位置するブートセクタ、FAT、またはディスクディレクトリを始動させるソフトウェアによって、ハードディスクがフォーマットされると、そのハードディスクも破壊されるおそれがある。
Stonedウイルスは、1988年初期にニュージーランドのウェリントンで最初に報告された。初期のウイルスは、360KBの5.25インチディスケットにのみ感染したが、明らかなダメージを与えることはなかった。ディスケットのみに感染する初期のウイルスは絶滅したが、判明している亜種はすべて、ハードディスクのマスタブートセクタ(パーティションテーブル)に感染することができ、ディレクトリやFATにダメージを与える場合もある。ほとんどの亜種は、初期のウイルスをわずかに変更しただけのものであり、その変更は通常、ブート時にこのウイルスが表示するメッセージに関するものである。Stonedに感染したディスクを使ってコンピュータシステムをブートすると、このウイルスは、それ自体のメモリ常駐型プログラムをシステムメモリの最上位にインストールする。割り込み12のリターンは移動され、ChkDskプログラムを実行すると、コンピュータシステムの合計メモリが、インストール済みの容量より2K少なく表示される。システムがディスケットからブートされると、このウイルスは、ハードディスクのマスタブートセクタがまだ感染していない場合、そこにも感染を試みる。ブート処理中に、Stonedウイルスは、メッセージを表示することがある。このメッセージは多かれ少なかれ、ランダムな基準で表示される。よく表示されるのは、"Your computer is now stoned."または"Your PC is now Stoned!"というメッセージである。Stonedは、メモリに常駐すると、ディスケットが感染システムからアクセスされた場合に、そのディスケットに感染し、元のブートセクタ(セクタ0)をセクタ11に移動する。次に、それ自体のウイルスコードをセクタ0にコピーする。360Kの5.25インチディスケットの場合、セクタ11は通常、ディスケットのルートディレクトリの一部であるため、このセクタにディレクトリエントリが格納されていたファイルは、すべて失われる。DOSの一部のバージョンでは、セクタ11がファイルアロケーションテーブルの一部であり、その場合も、ディスクのFATが破壊されるおそれがある。Stonedは、そのシステムのハードディスクに感染すると、そのハードディスクの元のマスタブートセクタをサイド0、シリンダ0、セクタ7にコピーする。その後、Stonedウイルスのコピーは、サイド0、シリンダ0、セクタ1、すなわち、元のマスタブートセクタ位置に配置される。サイド0、シリンダ0で、マスタブートレコードの直後に位置するブートセクタ、FAT、またはディスクディレクトリを始動させるソフトウェアによって、ハードディスクがフォーマットされると、そのハードディスクも破壊されるおそれがある。サイド0、シリンダ0のマスタブートレコードの直後のブートセクタ、ファイルアロケーションテーブル、またはディスクディレクトリから開始されるソフトウェアによって、ハードディスクがフォーマットされると、そのハードディスクも破壊される場合がある。Stonedウイルスに感染したシステムから、このウイルスを除去するには、システムの電源を落とし、書き込み保護が設定された未感染のブートディスケットを使ってブートする必要がある。
ブート処理時に、Stonedウイルスは、次のメッセージをランダムに表示する。
"Your computer is now stoned."
または
"Your PC is now Stoned!"
システムメモリの合計は、2,000バイト減少する。
MBRやブートセクタに感染するウイルスが、コンピュータに感染する唯一の原因は、感染したフロッピーディスクを使用してブートを試みることである。ディスケットのブートセクタには、そのディスケットがブート可能かどうかを判断し、"Non-system disk or disk error"というメッセージを表示するためのコードがある。このコードが、感染を隠蔽してしまう。システムディスクではないことを告げるこのエラーメッセージが表示されるまでには、感染が行われている。ウイルスはいったん発動すると、ハードドライブのMBRに感染し、メモリ常駐型となるおそれがある。その後、ブートが行われるたびに、ウイルスはメモリにロードされて、そのマシンからアクセスしているフロッピーディスクに感染しようとする。
