ウイルス情報ウイルス情報| 危険度 | 低 | | 対応定義ファイル | 4002 (現在7084) | | 対応エンジン | (現在5.4.00)
エンジンバージョンの見分け方 | | 別名 | Beijing, Bloody!, June4th | | 発見日(米国日付) | 90/12/01 | |
|
|
Stoned.June 4は、メモリ常駐型ウイルスで、マスタブートレコード(MBR)およびブートセクタに感染する。
Stoned.June 4ウイルスに感染したフロッピーまたはハードディスクを使ってシステムがブートされると、このウイルスは、システムメモリの最上位で、DOSの640K境界以下に常駐するようになる。割り込み12のリターンは移動される。システムのハードディスクのMBRがシステムブートのソースでなかった場合は、すぐにそのMBRにも感染する。
Stoned.June 4は、いったんメモリに常駐すると、ファイルがアクセスされたときに、ディスケットまたはハードディスクに感染する。
感染ディスケットのブートセクタからは、通常、ブートセクタに見られる標準のDOSエラーメッセージがすべて失われる。また、360Kディスケットでは、元のブートセクタが、ルートディレクトリの一部であるセクタ11に移動される。セクタ11にルートディレクトリのエントリがもともと存在していた場合、それらのファイルは失われる。
ハードディスクでは、元のMBRがサイド0、シリンダ0、セクタ6に移動される。
Bloody!ウイルスは、1990年12月に確認されており、感染報告は、ヨーロッパ、台湾、および米国から寄せられた。これは、メモリ常駐型ウイルスで、フロッピーディスクのブートセクタ、およびハードディスクのマスタブートセクタ(パーティションテーブル)に感染する。Bloody!ウイルスに感染したフロッピーまたはハードディスクを使ってシステムがブートされると、このウイルスは、それ自体のメモリ常駐型プログラムをシステムメモリの最上位で、DOSの640K境界以下にインストールする。システムメモリと使用可能な空きメモリの合計は、2,048バイト減少する。割り込み12のリターンは移動される。また、システムブートに、予想よりかなり時間がかかる。システムのハードディスクのマスタブートセクタが、システムブートのソースでなかった場合は、直接そのMBRにも感染する。また、このウイルスは、システムブート時に、感染ディスケットまたはハードドライブのブート回数を数えるカウンタを保持する。ブートが128回行われると、ブート時に"Bloody! Jun. 4, 1989"というメッセージを表示する。1989年6月4日は、中国の北京で学生と軍隊が衝突し、多くの学生が殺された日である。このメッセージは、128回のブート限度に達した後、6ブートごとに表示されるようになる。このテキストメッセージは、ウイルスコード内に暗号化されているため、ブートセクタ内で確認することはできない。Bloody!は、いったんメモリに常駐すると、ファイルまたはプログラムがアクセスされたときに、ディスケットまたはハードディスクに感染する。ディスクディレクトリを表示するだけで、そのディスクに感染することはない。感染ディスケットのブートセクタからは、通常、ブートセクタに見られる標準のDOSエラーメッセージがすべて失われる。また、360Kディスケットでは、元のブートセクタが、ルートディレクトリの一部であるセクタ11に移動される。セクタ11にルートディレクトリのエントリがもともと存在していた場合、それらのファイルは失われる。ハードディスクでは、元のマスタブートセクタがサイド0、シリンダ0、セクタ6に移動される。サイズが360K以外のフロッピーについては、このウイルスでは、そのようなディスクタイプの存在を計算に入れていないため、ディスクが使用不可能になるか、破壊される場合がある。ディスケットからBloody!を除去するには、システムの電源を落としてから、書き込み保護の設定された、明らかにクリーンな本来のDOSディスケットを使ってブートする。その後、各感染ディスケットに対してDOS SYSコマンドを実行する必要がある。ハードディスクのマスタブートセクタからBloody!ウイルスを除去するには、元のマスタブートセクタを見つけ、それを元の位置にコピーし直す必要がある。あるいは、ハードディスク上のファイルのバックアップを取り、ドライブの低レベルフォーマットを行う。DOS 5.0の場合、DOS FDISKプログラムと、文書化されていない/MBRオプションを併用することにより、マスタブートセクタを再作成することができる。Bloody!の亜種としては、次のものが判明している。
Stoned.June 4ウイルスは、感染ディスケットまたはハードドライブのブート回数を数えるカウンタを保持している。ブートが128回行われると、ブート時に次のメッセージを表示する。
"Bloody! Jun. 4, 1989"
1989年6月4日は、中国の北京で学生と軍隊が衝突し、多くの学生が殺された日である。
このメッセージは、128回のブート限度に達した後、6ブートごとに表示されるようになる。このテキストメッセージは、ウイルスコード内に暗号化されているため、ブートセクタ内で確認することはできない。
サイズが360K以外のフロッピーについては、このウイルスでは、そのようなディスクタイプの存在を計算に入れていないため、ディスクが使用不可能になるか、破壊される場合がある。
システムメモリと使用可能な空きメモリの合計は、2,048バイト減少する。
システムブートに、予想よりかなり時間がかかる。
MBRやブートセクタに感染するウイルスが、コンピュータに感染する唯一の原因は、感染したフロッピーディスクを使用してブートを試みることである。ディスケットのブートセクタには、そのディスケットがブート可能かどうかを判断し、"Non-system disk or disk error"というメッセージを表示するためのコードがある。このコードが、感染を隠蔽してしまう。システムディスクではないことを告げるこのエラーメッセージが表示されるまでには、感染が行われている。ウイルスはいったん発動すると、ハードドライブのMBRに感染し、メモリ常駐型となるおそれがある。その後、ブートが行われるたびに、ウイルスはメモリにロードされて、そのマシンからアクセスしているフロッピーディスクに感染しようとする。
