|
|
ウイルス情報 |
- Anthraxウイルスは、トロイの木馬のアンチウイルスプログラムUSCAN.ZIPとして、いくつかのBBSにアップロードされましたが、1990年7月にオランダで発見されました。
- このウイルスは、1990年7月にUscanのコピーで発見された2つ目のウイルスです(ちなみに、1つ目のウイルスはV2100)。
- Anthraxは、メモリに常駐する複合感染型ウイルスです。
- このウイルスは、COMMAND.COMを含む.COMおよび.EXEファイルに感染するほか、マスタブートレコード(MBR)とディスケットのブートセクタにも感染します。
- このウイルスに感染したプログラムがシステムのハードディスク上で最初に実行されると、Anthraxはハードディスクのマスタブートセクタ(区分テーブル)に感染します。この時点で、Anthraxはメモリに常駐しません。
- また、このウイルスは、システムのハードディスクにある最後の2〜3つのセクタにウイルス自身のコピーを書き込みます。
- これらのセクタにデータがある場合は、上書きします。
- システムがハードディスクからブートされると、Anthraxは、自身をインストールして、メモリに常駐します。
- このウイルスは、最初のプログラムが実行されるまで、メモリに常駐し続けます。
- 最初のプログラムが実行されると、このウイルスは、常駐しているメモリから自身を解放して、1つの.COMまたは.EXEファイルに感染します。
- このウイルスは、最初に現行ディレクトリにあるファイルに感染するのではなく、ディスクのディレクトリツリーの最下位レベルにあるファイルに感染します。
- 後で、感染プログラムが実行されると、このウイルスは1つの.COMまたは.EXEファイルに感染して、ディレクトリツリーの最下位レベルからディレクトリ構造を検索します。
- 実行された感染プログラムがフロッピードライブにある場合、必ずしも.COMまたは.EXEファイルに感染するとは限りません(感染しないこともあります)。
- Anthraxのウイルスコードは、1,024バイトですが、感染プログラムは、それよりも大きくなり、1,040〜1,279バイトです。
- 筆者のテストシステムでは、1,232バイトとなり、最大サイズを記録しました。
- 感染ファイルのサイズは、常に16の倍数になります。
- 次の文字は、Anthraxウイルスに感染したファイルで確認されました。
"(c)Damage, Inc." "ANTHRAX"。
- 3つ目の文字はウイルスコードに含まれていますが、これはキリル文字で書かれています。
- 3つ目は"Per Vesselin Bontchev"で、英訳すると"Sofia 1990"です。
- このウイルスは、ハードディスクのマスタブートセクタに感染するため、除去するには、マスタブートセクタからウイルスを駆除するか、マスタブートセクタを再構築する必要があります。
- このウイルス駆除は、システムの電源を切って、書き込み禁止のブートディスケットを使ってシステムをリブートしてから、低レベルのフォーマットで行うか、適切なDOSバージョンのMDisk/Pプログラムを使って行います。
- このウイルスに感染した.COMまたは.EXEファイルも、駆除または消去する必要があります。
- また、ウイルスのコピーはドライブ上の最後の2〜3つのセクタに存在するため、これらのセクタを見つけて、上書きする必要があります。
- Anthraxは、他のウイルス V2100と相互に作用します。
- すでにAnthraxに感染しているシステムがV2100ウイルスに感染すると、V2100ウイルスはハードドライブ上の最後の2〜3つのセクタを調べて、Anthraxの予備コピーを探します。
- 予備コピーが存在する場合は、ハードディスクのマスタブートセクタにAnthraxウイルスがコピーされます。
- Anthraxが破壊的かどうか、あるいはトリガーや特定の起動日があるかどうかは不明です。
|
|
