ウイルス情報

ウイルス名

Anthrax

種別 ウイルス
ファイルサイズ
最小定義ファイル
(最初に検出を確認したバージョン)
対応定義ファイル
(現在必要とされるバージョン)
4002 (現在7634)
対応エンジン  (現在5600) 
エンジンバージョンの見分け方
発見日(米国日付) 90/07/01
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法
  • Anthraxウイルスは、トロイの木馬のアンチウイルスプログラムUSCAN.ZIPとして、いくつかのBBSにアップロードされましたが、1990年7月にオランダで発見されました。

  • このウイルスは、1990年7月にUscanのコピーで発見された2つ目のウイルスです(ちなみに、1つ目のウイルスはV2100)。

  • Anthraxは、メモリに常駐する複合感染型ウイルスです。

  • このウイルスは、COMMAND.COMを含む.COMおよび.EXEファイルに感染するほか、マスタブートレコード(MBR)とディスケットのブートセクタにも感染します。

  • このウイルスに感染したプログラムがシステムのハードディスク上で最初に実行されると、Anthraxはハードディスクのマスタブートセクタ(区分テーブル)に感染します。この時点で、Anthraxはメモリに常駐しません。

  • また、このウイルスは、システムのハードディスクにある最後の2〜3つのセクタにウイルス自身のコピーを書き込みます。

  • これらのセクタにデータがある場合は、上書きします。

  • システムがハードディスクからブートされると、Anthraxは、自身をインストールして、メモリに常駐します。

  • このウイルスは、最初のプログラムが実行されるまで、メモリに常駐し続けます。

  • 最初のプログラムが実行されると、このウイルスは、常駐しているメモリから自身を解放して、1つの.COMまたは.EXEファイルに感染します。

  • このウイルスは、最初に現行ディレクトリにあるファイルに感染するのではなく、ディスクのディレクトリツリーの最下位レベルにあるファイルに感染します。

  • 後で、感染プログラムが実行されると、このウイルスは1つの.COMまたは.EXEファイルに感染して、ディレクトリツリーの最下位レベルからディレクトリ構造を検索します。

  • 実行された感染プログラムがフロッピードライブにある場合、必ずしも.COMまたは.EXEファイルに感染するとは限りません(感染しないこともあります)。

  • Anthraxのウイルスコードは、1,024バイトですが、感染プログラムは、それよりも大きくなり、1,040〜1,279バイトです。

  • 筆者のテストシステムでは、1,232バイトとなり、最大サイズを記録しました。

  • 感染ファイルのサイズは、常に16の倍数になります。

  • 次の文字は、Anthraxウイルスに感染したファイルで確認されました。 "(c)Damage, Inc." "ANTHRAX"。

  • 3つ目の文字はウイルスコードに含まれていますが、これはキリル文字で書かれています。

  • 3つ目は"Per Vesselin Bontchev"で、英訳すると"Sofia 1990"です。

  • このウイルスは、ハードディスクのマスタブートセクタに感染するため、除去するには、マスタブートセクタからウイルスを駆除するか、マスタブートセクタを再構築する必要があります。

  • このウイルス駆除は、システムの電源を切って、書き込み禁止のブートディスケットを使ってシステムをリブートしてから、低レベルのフォーマットで行うか、適切なDOSバージョンのMDisk/Pプログラムを使って行います。

  • このウイルスに感染した.COMまたは.EXEファイルも、駆除または消去する必要があります。

  • また、ウイルスのコピーはドライブ上の最後の2〜3つのセクタに存在するため、これらのセクタを見つけて、上書きする必要があります。

  • Anthraxは、他のウイルス V2100と相互に作用します。

  • すでにAnthraxに感染しているシステムがV2100ウイルスに感染すると、V2100ウイルスはハードドライブ上の最後の2〜3つのセクタを調べて、Anthraxの予備コピーを探します。

  • 予備コピーが存在する場合は、ハードディスクのマスタブートセクタにAnthraxウイルスがコピーされます。

  • Anthraxが破壊的かどうか、あるいはトリガーや特定の起動日があるかどうかは不明です。