ウイルス情報

ウイルス名

Aragon

危険度
対応定義ファイル 4002 (現在7656)
対応エンジン  (現在5600) 
エンジンバージョンの見分け方
発見日(米国日付) 92/08/01


Aragonは、メモリーに常駐するステルス型ウイルスであり、マスタブートレコード(MBR)およびブートセクタに感染する。

Aragonに感染したディスケットを使って初めてシステムがブートされたときに、このウイルスは、システムメモリーの最上位で、DOSの640K境界以下に常駐するようになる。割り込み12のリターンは移動される。また、このとき、ハードディスクのMBRにも感染する。 元のMBRは、サイド0、シリンダ0、セクタ9に移動される。

Aragonは、いったんメモリーに常駐すると、書き込み保護が設定されていないディスケットがアクセスされた場合に、そのディスケットのブートセクタに感染する。360Kの5.25インチディスケットの場合、元のブートセクタはセクタ11に移動される。

Aragonウイルスは、1992年8月に受信された。その発生地または発見地は不明である。Aragonは、ハードディスクのマスタブートセクタ(パーティションテーブル)およびディスケットのブートセクタに感染し、メモリーに常駐するステルス型ウイルスである。メモリーに常駐すると、ハードディスクのマスタブートセクタからはその存在を検出できなくなる。Aragonに感染したディスケットを使って初めてシステムをブートしたときに、このウイルスは、システムメモリーの最上位で、DOSの640K境界以下のメモリに常駐するようになり、割り込み12のリターンを移動する。DOS CHKDSKプログラムが示すように、システムメモリーと使用可能な空きメモリーの合計は、1,024バイト減少する。また同時に、ハードディスクのマスタブートセクタがまだ感染していない場合は、そこに感染する。元のマスタブートセクタは、サイド0、シリンダ0、セクタ9に移動される。いったんメモリーに常駐すると、書き込み保護が設定されていないディスケットが何らかの理由でアクセスされたときに、そのディスケットのブートセクタに感染する。360Kの5.25インチディスケットの場合、元のブートセクタはセクタ11に移動される。Aragonはステルス型ウイルスである。感染したハードディスクのマスタブートセクタを読み取ろうとすると、このウイルスは、それ自身が格納している感染前の元のマスタブートセクタが代わりに表示されるように仕向ける。

Aragonはステルス型ウイルスである。感染したハードディスクのマスタブートセクタを読み取ろうとすると、このウイルスは、それ自身が格納している感染前の元のマスタブートセクタが代わりに表示されるように仕向ける。このように、このウイルスがメモリーに常駐する場合、MBRにおける変更や、ウイルス感染そのものをMBR上に見つけることはできない。

システムメモリーと使用可能な空きメモリーの合計は、1,024バイト減少する。

MBRやブートセクタに感染するウイルスが、コンピュータに感染する唯一の原因は、感染したフロッピーディスクを使用してブートを試みることである。ディスケットのブートセクタには、そのディスケットがブート可能かどうかを判断し、"Non-system disk or disk error"というメッセージを表示するためのコードがある。このコードが、感染を隠蔽してしまう。この非システムディスクエラーメッセージが表示されるまでには、感染が行われている。ウイルスはいったん発動すると、ハードドライブのMBRに感染し、メモリー常駐型となるおそれがある。その後、ブートが行われるたびに、ウイルスはメモリーにロードされて、そのマシンからアクセスしているフロッピーディスクに感染しようとする。