製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:S
ウイルス情報
ウイルス情報

ウイルス名
Stoned.June_4
危険度
対応定義ファイル4002 (現在7565)
対応エンジン (現在5600) 
エンジンバージョンの見分け方
別名Beijing, Bloody!, June4th
発見日(米国日付)90/12/01
概要ウイルスの特徴感染症状感染方法駆除方法

セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
09/17RDN/BackDoor...
09/17DNSChanger.b...
09/17RDN/Generic....
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7565
 エンジン:5600
 
ウイルス検索
 




Stoned.June 4は、メモリ常駐型ウイルスで、マスタブートレコード(MBR)およびブートセクタに感染する。

Stoned.June 4ウイルスに感染したフロッピーまたはハードディスクを使ってシステムがブートされると、このウイルスは、システムメモリの最上位で、DOSの640K境界以下に常駐するようになる。割り込み12のリターンは移動される。システムのハードディスクのMBRがシステムブートのソースでなかった場合は、すぐにそのMBRにも感染する。

Stoned.June 4は、いったんメモリに常駐すると、ファイルがアクセスされたときに、ディスケットまたはハードディスクに感染する。

感染ディスケットのブートセクタからは、通常、ブートセクタに見られる標準のDOSエラーメッセージがすべて失われる。また、360Kディスケットでは、元のブートセクタが、ルートディレクトリの一部であるセクタ11に移動される。セクタ11にルートディレクトリのエントリがもともと存在していた場合、それらのファイルは失われる。

ハードディスクでは、元のMBRがサイド0、シリンダ0、セクタ6に移動される。

Bloody!ウイルスは、1990年12月に確認されており、感染報告は、ヨーロッパ、台湾、および米国から寄せられた。これは、メモリ常駐型ウイルスで、フロッピーディスクのブートセクタ、およびハードディスクのマスタブートセクタ(パーティションテーブル)に感染する。Bloody!ウイルスに感染したフロッピーまたはハードディスクを使ってシステムがブートされると、このウイルスは、それ自体のメモリ常駐型プログラムをシステムメモリの最上位で、DOSの640K境界以下にインストールする。システムメモリと使用可能な空きメモリの合計は、2,048バイト減少する。割り込み12のリターンは移動される。また、システムブートに、予想よりかなり時間がかかる。システムのハードディスクのマスタブートセクタが、システムブートのソースでなかった場合は、直接そのMBRにも感染する。また、このウイルスは、システムブート時に、感染ディスケットまたはハードドライブのブート回数を数えるカウンタを保持する。ブートが128回行われると、ブート時に"Bloody! Jun. 4, 1989"というメッセージを表示する。1989年6月4日は、中国の北京で学生と軍隊が衝突し、多くの学生が殺された日である。このメッセージは、128回のブート限度に達した後、6ブートごとに表示されるようになる。このテキストメッセージは、ウイルスコード内に暗号化されているため、ブートセクタ内で確認することはできない。Bloody!は、いったんメモリに常駐すると、ファイルまたはプログラムがアクセスされたときに、ディスケットまたはハードディスクに感染する。ディスクディレクトリを表示するだけで、そのディスクに感染することはない。感染ディスケットのブートセクタからは、通常、ブートセクタに見られる標準のDOSエラーメッセージがすべて失われる。また、360Kディスケットでは、元のブートセクタが、ルートディレクトリの一部であるセクタ11に移動される。セクタ11にルートディレクトリのエントリがもともと存在していた場合、それらのファイルは失われる。ハードディスクでは、元のマスタブートセクタがサイド0、シリンダ0、セクタ6に移動される。サイズが360K以外のフロッピーについては、このウイルスでは、そのようなディスクタイプの存在を計算に入れていないため、ディスクが使用不可能になるか、破壊される場合がある。ディスケットからBloody!を除去するには、システムの電源を落としてから、書き込み保護の設定された、明らかにクリーンな本来のDOSディスケットを使ってブートする。その後、各感染ディスケットに対してDOS SYSコマンドを実行する必要がある。ハードディスクのマスタブートセクタからBloody!ウイルスを除去するには、元のマスタブートセクタを見つけ、それを元の位置にコピーし直す必要がある。あるいは、ハードディスク上のファイルのバックアップを取り、ドライブの低レベルフォーマットを行う。DOS 5.0の場合、DOS FDISKプログラムと、文書化されていない/MBRオプションを併用することにより、マスタブートセクタを再作成することができる。Bloody!の亜種としては、次のものが判明している。

Stoned.June 4ウイルスは、感染ディスケットまたはハードドライブのブート回数を数えるカウンタを保持している。ブートが128回行われると、ブート時に次のメッセージを表示する。

"Bloody! Jun. 4, 1989"

1989年6月4日は、中国の北京で学生と軍隊が衝突し、多くの学生が殺された日である。

このメッセージは、128回のブート限度に達した後、6ブートごとに表示されるようになる。このテキストメッセージは、ウイルスコード内に暗号化されているため、ブートセクタ内で確認することはできない。

サイズが360K以外のフロッピーについては、このウイルスでは、そのようなディスクタイプの存在を計算に入れていないため、ディスクが使用不可能になるか、破壊される場合がある。

システムメモリと使用可能な空きメモリの合計は、2,048バイト減少する。

システムブートに、予想よりかなり時間がかかる。

MBRやブートセクタに感染するウイルスが、コンピュータに感染する唯一の原因は、感染したフロッピーディスクを使用してブートを試みることである。ディスケットのブートセクタには、そのディスケットがブート可能かどうかを判断し、"Non-system disk or disk error"というメッセージを表示するためのコードがある。このコードが、感染を隠蔽してしまう。システムディスクではないことを告げるこのエラーメッセージが表示されるまでには、感染が行われている。ウイルスはいったん発動すると、ハードドライブのMBRに感染し、メモリ常駐型となるおそれがある。その後、ブートが行われるたびに、ウイルスはメモリにロードされて、そのマシンからアクセスしているフロッピーディスクに感染しようとする。