ウイルス情報

ウイルス名

AntiEXE

危険度
対応定義ファイル 4002 (現在7634)
対応エンジン  (現在5600) 
エンジンバージョンの見分け方
別名 AntiExe, AntiEXE.A, Antiexe.c, Antiexe.d, CMOS4, D3, NewBug, Stoned.AntiExe
亜種 Stoned.Lpt, Antiexe.Lpt
発見日(米国日付) 95/01/01


AntiEXEウイルスは、ハードドライブのマスタブートレコード(MBR)を上書きする。このウイルスには、通常のMBRの標準情報がすべて含まれている。

AntiEXEは、メモリーに常駐するステルス型ウイルスであり、マスタブートレコードおよびブートセクタに感染し、DOSのディスク書き込み割り込みに中間介入する。ユーザが、AntiEXEに感染したディスケットからブートしようとすると(ブートが成功するしないにかかわらず)、このウイルスはメモリー内で発動し、そのシステムのハードディスク上のマスタブートレコードをコピーせずに上書きする。

AntiEXEは、ディスケットに感染すると、そのディスケットの元のブートセクタをルートディレクトリの最後のセクタに移動する。

ハードドライブにアクセスしようとすると、AntiEXEは、感染していないセクタの内容を表示して、ウイルス対策ソフトウェアからその存在を隠蔽する(ステルステクニック)。

AntiEXEウイルスは、1995年1月に受信されたが、北米のサイトからは数ヶ月間に渡り感染報告が出されている。発生地はロシアと報告されている。AntiEXEは、ディスケットのブートセクタ、およびシステムのハードディスク上のマスタブートセクタに感染し、メモリーに常駐するステルス型ウイルスである。AntiEXEに感染したディスケットを使って初めてシステムがブートされたときに、このウイルスは、それ自体のメモリー常駐型プログラムをシステムメモリーの最上位で、DOSの640K境界以下にインストールする。DOS CHKDSKプログラムが示すように、システムメモリーと使用可能な空きメモリーの合計は1,024バイト減少する。

また、同時に、システムのハードディスク上のマスタブートセクタをそのウイルスコードで上書きする。いったんメモリーに常駐すると、書き込み保護が設定されていないディスケットのブートセクタに感染する。元のブートセクタは、ルートディレクトリの最後のセクタに保存される。AntiEXEは、完全なステルス型ウイルスである。このウイルスがメモリーに常駐する場合に、そのシステムのハードディスク上のマスタブートセクタまたはディスケットのブートセクタを表示またはアクセスしようとすると、感染していないセクタの内容が表示される。このように、メモリーに常駐する場合は、ウイルス対策プログラムを使っても、ディスケット上にその存在を検出できなくなる。

また、メモリーに常駐すると、このウイルスは、システムのハードディスク上のマスタブートセクタおよびディスケットのブートセクタへの書込みを妨害して、システムから除去されないようにする。このウイルスは、ある状況下において破壊的になることがある。ユーザがキーを組み合わせて押下したときに、ウイルスがディスクアクセスを行っている場合、ドライブの各ヘッドおよびトラックの8セクタ分がセクタ4から順に上書きされる。このウイルスの名前は、200,256バイトのすべての.EXEファイルをターゲットにするという目的にちなんで付けられている。このようなファイルを見つけると、このウイルスは、そのファイルの内容を破壊する。

システムメモリーは、合計で1,024バイト減少する。また、AntiEXEは、長さ200.256バイトの.EXEファイルをターゲットにして破壊する。これは、ロシアのウイルス対策プログラムの長さであることから、このようなファイルをターゲットにしていると考えられる。

MBRやブートセクタに感染するウイルスが、コンピュータに感染する唯一の原因は、感染したフロッピーディスクを使用してブートを試みることである。ディスケットのブートセクタには、そのディスケットがブート可能かどうかを判断し、'Non-system disk or disk error'というメッセージを表示するためのコードがある。このコードが、感染を隠蔽してしまう。この非システムディスクエラーメッセージが表示されるまでには、感染が行われている。ウイルスはいったん発動すると、ハードドライブのMBRに感染し、メモリー常駐型となるおそれがある。その後、ブートが行われるたびに、ウイルスはメモリーにロードされて、そのマシンからアクセスしているフロッピーディスクに感染しようとする。