ウイルス情報

ウイルス名

AirCop

危険度
対応定義ファイル 4002 (現在7652)
対応エンジン  (現在5600) 
エンジンバージョンの見分け方
別名 AirCop.Standard
亜種 AirCop-B
発見日(米国日付) 90/07/01


AirCopは、マスタブートレコード(MBR)およびブートセクタ感染ウイルスである。フロッピーディスクにのみ感染し、現在のところ、ハードディスクには感染しない。

感染すると、システムメモリーの最上位に常駐し、割り込み13をフックする。

AirCopは、いったんメモリーに常駐すると、書き込み保護が設定されていないディスケットがアクセスされた場合に、そのディスケットに感染する。また、ディスクの元のブートセクタをセクタ719(標準の360K 5.25インチディスケット上のサイド1、シリンダ39、セクタ9)にコピーして、セクタ0のブートセクタをウイルスのコピーに置き換える。

AirCopウイルスは、1990年7月に米国ワシントン州で発見されたが、それ以前にも、台湾で感染していることがわかっており、おそらくは台湾が発生地と考えられる。AirCopはブートセクタウイルスであり、360Kの5.25インチディスケットのみに感染する。AirCopウイルスに感染したディスケットを使ってシステムがブートされると、このウイルスは、それ自体のメモリー常駐型プログラムをシステムメモリーの最上位にインストールする。AirCopウイルスがメモリーに常駐すると、システムメモリーのサイズと使用可能な空きメモリーが、1,024バイト減少する。このウイルスは割り込み13をフックする。また、いったんメモリーに常駐すると、書き込み保護が設定されていないディスケットがアクセスされた場合に、そのディスケットのブートセクタに感染する。AirCopは、ディスケットの元のブートセクタをセクタ719(標準の360K 5.25インチディスケット上のサイド1、シリンダ39、セクタ9)にコピーして、セクタ0のブートセクタをウイルスのコピーに置き換える。AirCopウイルスに感染したディスケットのブートセクタを調べると、正常なブートセクタに通常見られるメッセージがほとんど失われている。残るメッセージは、'Non-system...'のみとなる。このメッセージは、ブートセクタの終わる直前に配置されている。AirCopウイルスは、感染システムのソフトウェアおよびハードウェアがどの程度このウイルスに対応しているかによって、そのシステムに次のいずれかのことを行う。すなわち、ほとんどのシステムでは、ランダムな間隔で'Red State, Germ Offensive. AIRCOP'というメッセージが表示される。それ以外のシステムでは、スタックオーバーフローエラーが発生するか、システムが停止する。この場合、ブートし直すには、システムの電源を落とさなければならない。AirCopは今のところ、ハードディスクのブートセクタまたはパーティションテーブルには感染しない。AirCopを感染ディスケットから除去するにはまず、システムの電源を落としてから、書き込み保護が設定された明らかにクリーンなDOSマスタディスケットを使ってブートし直す。

その後、DOS SYSコマンドを使って、感染ディスケットのブートセクタを置換する。また、電源を落としてブートし直した後に、MDiskを使用することもできる。AirCopの亜種としては、次のものが判明している。

AirCopウイルスは、感染システムのソフトウェアおよびハードウェアがどの程度このウイルスに対応しているかによって、そのシステムに次のいずれかのことを行う。すなわち、ほとんどのシステムでは、ランダムな間隔で次のメッセージが表示される。

'Red State, Germ Offensive. AIRCOP.'

それ以外のシステムでは、スタックオーバーフローエラーが発生するか、システムが停止する。この場合、ブートし直すには、システムの電源を落とす必要がある。

AirCopウイルスがメモリーに常駐すると、システムメモリーおよび使用可能な空きメモリーが1,024バイト減少する。感染ディスケットのブートセクタを調べると、正常なブートセクタに通常見られるメッセージのほとんどが失われており、次のメッセージのみが残されている。

'Non-system...'

このメッセージは、ブートセクタが終わる直前に配置されている。

MBRやブートセクタに感染するウイルスが、コンピュータに感染する唯一の原因は、感染したフロッピーディスクを使用してブートを試みることである。ディスケットのブートセクタには、そのディスケットがブート可能かどうかを判断し、'Non-system disk or disk error'というメッセージを表示するためのコードがある。このコードが、感染を隠蔽してしまう。この非システムディスクエラーメッセージが表示されるまでには、感染が行われている。ウイルスはいったん発動すると、ハードドライブのMBRに感染し、メモリー常駐型となるおそれがある。その後、ブートが行われるたびに、ウイルスはメモリーにロードされて、そのマシンからアクセスしているフロッピーディスクに感染しようとする。