製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:A
ウイルス情報
ウイルス情報

ウイルス名
AirCop
危険度
対応定義ファイル4002 (現在7599)
対応エンジン (現在5600) 
エンジンバージョンの見分け方
別名AirCop.Standard
亜種AirCop-B
発見日(米国日付)90/07/01
概要ウイルスの特徴感染症状感染方法駆除方法

セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
10/21W32/Akbot!35...
10/21RDN/Generic ...
10/21RDN/Generic....
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7599
 エンジン:5600
 
ウイルス検索
 




AirCopは、マスタブートレコード(MBR)およびブートセクタ感染ウイルスである。フロッピーディスクにのみ感染し、現在のところ、ハードディスクには感染しない。

感染すると、システムメモリーの最上位に常駐し、割り込み13をフックする。

AirCopは、いったんメモリーに常駐すると、書き込み保護が設定されていないディスケットがアクセスされた場合に、そのディスケットに感染する。また、ディスクの元のブートセクタをセクタ719(標準の360K 5.25インチディスケット上のサイド1、シリンダ39、セクタ9)にコピーして、セクタ0のブートセクタをウイルスのコピーに置き換える。

AirCopウイルスは、1990年7月に米国ワシントン州で発見されたが、それ以前にも、台湾で感染していることがわかっており、おそらくは台湾が発生地と考えられる。AirCopはブートセクタウイルスであり、360Kの5.25インチディスケットのみに感染する。AirCopウイルスに感染したディスケットを使ってシステムがブートされると、このウイルスは、それ自体のメモリー常駐型プログラムをシステムメモリーの最上位にインストールする。AirCopウイルスがメモリーに常駐すると、システムメモリーのサイズと使用可能な空きメモリーが、1,024バイト減少する。このウイルスは割り込み13をフックする。また、いったんメモリーに常駐すると、書き込み保護が設定されていないディスケットがアクセスされた場合に、そのディスケットのブートセクタに感染する。AirCopは、ディスケットの元のブートセクタをセクタ719(標準の360K 5.25インチディスケット上のサイド1、シリンダ39、セクタ9)にコピーして、セクタ0のブートセクタをウイルスのコピーに置き換える。AirCopウイルスに感染したディスケットのブートセクタを調べると、正常なブートセクタに通常見られるメッセージがほとんど失われている。残るメッセージは、'Non-system...'のみとなる。このメッセージは、ブートセクタの終わる直前に配置されている。AirCopウイルスは、感染システムのソフトウェアおよびハードウェアがどの程度このウイルスに対応しているかによって、そのシステムに次のいずれかのことを行う。すなわち、ほとんどのシステムでは、ランダムな間隔で'Red State, Germ Offensive. AIRCOP'というメッセージが表示される。それ以外のシステムでは、スタックオーバーフローエラーが発生するか、システムが停止する。この場合、ブートし直すには、システムの電源を落とさなければならない。AirCopは今のところ、ハードディスクのブートセクタまたはパーティションテーブルには感染しない。AirCopを感染ディスケットから除去するにはまず、システムの電源を落としてから、書き込み保護が設定された明らかにクリーンなDOSマスタディスケットを使ってブートし直す。

その後、DOS SYSコマンドを使って、感染ディスケットのブートセクタを置換する。また、電源を落としてブートし直した後に、MDiskを使用することもできる。AirCopの亜種としては、次のものが判明している。

AirCopウイルスは、感染システムのソフトウェアおよびハードウェアがどの程度このウイルスに対応しているかによって、そのシステムに次のいずれかのことを行う。すなわち、ほとんどのシステムでは、ランダムな間隔で次のメッセージが表示される。

'Red State, Germ Offensive. AIRCOP.'

それ以外のシステムでは、スタックオーバーフローエラーが発生するか、システムが停止する。この場合、ブートし直すには、システムの電源を落とす必要がある。

AirCopウイルスがメモリーに常駐すると、システムメモリーおよび使用可能な空きメモリーが1,024バイト減少する。感染ディスケットのブートセクタを調べると、正常なブートセクタに通常見られるメッセージのほとんどが失われており、次のメッセージのみが残されている。

'Non-system...'

このメッセージは、ブートセクタが終わる直前に配置されている。

MBRやブートセクタに感染するウイルスが、コンピュータに感染する唯一の原因は、感染したフロッピーディスクを使用してブートを試みることである。ディスケットのブートセクタには、そのディスケットがブート可能かどうかを判断し、'Non-system disk or disk error'というメッセージを表示するためのコードがある。このコードが、感染を隠蔽してしまう。この非システムディスクエラーメッセージが表示されるまでには、感染が行われている。ウイルスはいったん発動すると、ハードドライブのMBRに感染し、メモリー常駐型となるおそれがある。その後、ブートが行われるたびに、ウイルスはメモリーにロードされて、そのマシンからアクセスしているフロッピーディスクに感染しようとする。