|
|
ウイルス情報ウイルス情報| 種別 | ウイルス | | ファイルサイズ | 低 | 最小定義ファイル
(最初に検出を確認したバージョン) | | 対応定義ファイル
(現在必要とされるバージョン) | 4002 (現在7077) | | 対応エンジン | (現在5.4.00)
エンジンバージョンの見分け方 | | 別名 | Baph,Baphometh | | 情報掲載日 | 99/08/10 | | 発見日(米国日付) | 99/01/01 | | 駆除補足 | ウイルス駆除のヒント
| |
|
|
- Bap.mp.1536.Aは、感染ディスケットを使ってシステムをブートしたときや、感染ファイルを使ってシステムを起動したときに、自身をメモリとハードドライブのマスタブートレコードにインストールします。
- このウイルスは、DOSまたはWindows 9xのメモリとハードドライブの両方に自身をインストールすることができます。
- また、このウイルスはシリンダ0、サイド0、セクタ3および4の物理ロケーションでハードドライブに追加コードをインストールします。
- このウイルスは、C:\WINDOWS\SYSTEM\IOSUBSYS\HSFLOP.PDRファイルを削除します。
- Bap.mp.1536.Aは複合感染型ウイルスで、このウイルスがメモリに入ると、そのブート部分が読み取りステルステクニックを利用します。
- このウイルスは、オリジナルのマスタブートレコードのコピーをシリンダ0、サイド0、セクタ2の物理ロケーションに保存します。このロケーションは、ドライブのジオメトリに基づいていません。
- メモリに入ると、このウイルスはDOSとWindows 95の両方にひそかに侵入します。このとき、Windows 9xが"DOS互換モード"になっているかどうかは関係ありません(DOS互換モードについは、以下を参照してください)。
- このウイルスのファイル部分は、増大したファイルサイズを隠そうとしません。
- Bap.mp.1536.Aは、.EXEファイルに感染します(または、Windows 95のCOMMAND.COMなどの.EXEの`MZ'ヘッダが付いたファイルに感染します)。
- ファイルに感染すると、ファイルサイズは1536バイト増大します。
- Bap.mp.1536.Aは、ディスケットのブートセクタとハードドライブのマスタブートレコードに感染します。
- このウイルスがメモリにロードすると、DOSメモリの上位が4Kバイト減少します。
- Windows95ベースのコンピュータの場合[通常、使用可能なコンベンショナルメモリは640Kバイトで、メモリには他のドライバとTSRがすでにロードされている]、メモリ容量が減少したことで、使用可能なメモリ容量は611,728バイトではなく、607,632バイトと表示されます。
- DOSまたはWindows 9xが動作しているコンピュータに感染すると、ブート時に、このウイルスはロードしてメモリに常駐します。この場合、ディスケットを使ってコンピュータにアクセスすると、そのディスケットに感染します。
- 次の点に注意してください。
* [Windows 9xが動作しているコンピュータの場合]マスタブートレコードまたはブートセクタに感染すると、次のようなパフォーマンス警告メッセージが表示されることがあります。
- 「アドレスがInt13hに変更されました」というメッセージが表示されます。Int13hは、最後にポイントされるアドレスで、Windows 95で記録されています。
- 実際にマスタブートレコードが物理的に変更されたかどうかにかかわらず、このメッセージはInt13hアドレスに変更されたときに表示されます。
- このメッセージは、ウイルスに感染したことを意味します。ただし、これ以外の正当な理由により、このメッセージが表示されることがあります(ディスク圧縮ソフトウェアやディスク暗号ソフトウェアを使用した場合など)。
- パフォーマンス警告のメッセージボックスが表示されるのは、一度だけです。
- 次にシステムを再起動したとき、このメッセージは表示されません。再度メッセージが表示された場合は、ウイルス以外の原因がないかどうかただちに調べてください。
|
|
