ウイルス情報

ウイルス名

Stealth_C

危険度
対応定義ファイル 4001 (現在7659)
対応エンジン 4.0.25以降 (現在5600) 
エンジンバージョンの見分け方
別名 Amse, Havoc(St-Boot).Amse, Nops.B, PMBS, Stealth_Boot.C, StealthBoot.c, Stelboo
亜種 StealthBoot, Stealth_Boot.A, Stealth_Boot.B, Stealth_Boot.D, Stealth_Boot.E, Stealth_Boot.F, Stealth_B
発見日(米国日付) 95/01/01


Stealth_Cは、メモリ常駐ステルス型ウイルスで、システムのマスタブートレコード(MBR)およびディスケットのブートセクタに感染する。

感染すると、システムメモリの最上位で、DOSの640K境界以下に常駐するようになる。また、このとき、マスタブートレコードにも感染する。

Stealth_Cは、いったんメモリに常駐すると、書き込み保護の設定されていないディスケットがアクセスされた場合に、そのディスケットに感染し、元のブートセクタをそのディスケットの最終セクタに移動する。

このウイルスは、完全なステルス型ウイルスであり、メモリに常駐する場合は、システムのハードディスク上、およびディスケットのブートセクタ上の感染を隠蔽する。したがって、感染のおそれのあるシステムまたはディスケットをスキャンする前には、このウイルスがメモリに常駐していないかを確かめることが大切である。

Stealth Boot.Cウイルスは、1995年1月に確認された。これは、メモリ常駐ステルス型のブートウイルスで、システムのハードディスクのマスタブートセクタ(パーティションテーブルセクタ)およびディスケットのブートセクタに感染する。このウイルスは、北米のパブリックドメインで発生している。Stealth Boot.Cに感染したディスケットを使って初めてシステムがブートされたときに、このウイルスは、それ自体のメモリ常駐型プログラムをシステムメモリの最上位で、DOSの640K境界以下にインストールする。DOS CHKDSKプログラムが示すように、システムメモリと使用可能な空きメモリの合計は、4,096バイト減少する。また、このとき、システムのハードディスクのマスタブートセクタがまだ感染していない場合は、そこにも感染する。いったんメモリに常駐すると、書き込み保護の設定されていないディスケットがアクセスされた場合に、そのディスケットのブートセクタに感染する。感染ディスケットでは、元のブートセクタが、そのディスケットの最終セクタに移動される。Stealth Boot.Cに感染したシステムでは、一部のドライバおよびメモリ管理ソフトウェアをメモリにロードする際に問題が生じることがあり、その結果、Windowsなど、上位メモリブロックにアクセスするプログラムにおいて運用上の障害が発生することがある。また、一部のシステムに関しては、32ビットのデータアクセスにおいて問題が生じるとの報告もある。このウイルスは完全なステルス型ウイルスであり、メモリに常駐する場合は、システムのハードディスク上、およびディスケットのブートセクタ上の感染を隠蔽する。したがって、感染のおそれのあるシステムまたはディスケットをスキャンする前、および、ウイルスを除去しようとして明らかに未感染なシステムディスケットからブートする前には、このウイルスがメモリに常駐していないかを確かめることが大切である。

Stealth_Cに感染したシステムでは、一部のドライバおよびメモリ管理ソフトウェアをメモリにロードする際に問題が生じることがあり、その結果、Windowsなど、上位メモリブロックにアクセスするプログラムに対して運用上の障害が発生することがある。また、32ビットのディスクまたはファイルへのアクセスが不可能になることもある。

Stealth_Cによって、システムメモリと使用可能な空きメモリの合計は、4,096バイト減少する。

MBRやブートセクタに感染するウイルスが、コンピュータに感染する唯一の原因は、感染したフロッピーディスクを使用してブートを試みることである。ディスケットのブートセクタには、そのディスケットがブート可能かどうかを判断し、"Non-system disk or disk error"というメッセージを表示するためのコードがある。このコードが、感染を隠蔽してしまう。システムディスクではないことを告げるこのエラーメッセージが表示されるまでには、感染が行われている。

ウイルスはいったん発動すると、ハードドライブのMBRに感染し、メモリ常駐型となるおそれがある。その後、ブートが行われるたびに、ウイルスはメモリにロードされて、そのマシンからアクセスしているフロッピーディスクに感染しようとする。