製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:B
ウイルス情報
ウイルス情報

ウイルス名
Brain
危険度
対応定義ファイル4002 (現在7565)
対応エンジン (現在5600) 
エンジンバージョンの見分け方
別名Clone, Nipper, Pakistani, PakistaniBrain
発見日(米国日付)1986
概要ウイルスの特徴感染症状感染方法駆除方法

セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
09/17RDN/BackDoor...
09/17DNSChanger.b...
09/17RDN/Generic....
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7565
 エンジン:5600
 
ウイルス検索
 


Brainは、ブートセクタに感染するステルス型ウイルスで、メモリに常駐する。Brainの初期のバージョンはディスケットのみに感染したが、その亜種はハードディスクにも感染する。感染すると、Brainウイルスはメモリに常駐するようになり、3Kから最大7KのRAMを使用する。また、割り込み13をフックする。ディスケットでは、ブートセクタに感染し、元の内容をそのディスケットの別の場所に移動する。また、ファイルアロケーションテーブル(FAT)内の6セクタを「不良」にして、ブートセクタにウイルスコードを書き込む。 Brainウイルスは、ブートセクタの情報を得る試みに中間介入し、その読み取り先をディスク上のどこかにある元のブートセクタに向けることによって、その存在を隠蔽することができる(ステルステクニック)。このため、ウイルスの検出はより困難になる。Brainウイルスは、このステルステクニックを最初に使用したウイルスであると考えられている。

Pakistani Brainウイルスは、パキスタンのラホールで発生した。このウイルスは、ディスクのブートセクタの元の内容をそのディスク上の別の場所に移動し、FATの3クラスタ(6セクタ)に不良の印を付けてから、そのブートセクタにウイルスコードを書き込むことによって、ディスクのブートセクタに感染する。ディスクが感染している1つの表れとして、少なくとも初期のウイルスの場合は、ボリュームラベルが"(c) Brain"に変更される。もう1つの表れとしては、ラベル"(c) Brain"を感染ディスク上のセクタ0(ブートセクタ)に見つけることができる。このウイルスは、それ自体の常駐型プログラムを感染システムにインストールして、3Kから最高7KのRAMを使用する。また、ブートセクタの情報を得る試みに中間介入し、その読み取り先をディスク上のどこかにある元のブートセクタに向けることによって、その存在を隠蔽することができるので、プログラムによっては、このウイルスを検出することはできない。初期のBrainウイルスは、フロッピーにのみ感染したが、現在、その亜種はハードディスクに感染することができる。また、亜種によっては、"(c) Brain"ラベルを取り除いているので、さらに検出が困難になっている。Brainの亜種としては、次のものが判明している。

感染ディスケットのセクタ0のブートセクタにあるボリュームラベルが、"(c) Brain"に変更される。

このウイルスの亜種によっては、ボリュームラベルを"(c) Brain"に変更しなくなったものもある。

ウイルスコードには、次のテキストが存在する。

"Welcome to the Dungeon (c) 1986 Basit * Amjad (pvt)
Ltd. BRAIN COMPUTER SERVICES 730 NIZAB BLOCK ALLAMA
IQBAL TOWN LAHORE-PAKISTAN PHONE :430791,443248,280530.
Beware of this VIRUS.... Contact us for
vaccination............. !!"

マスタブートレコード(MBR)やブートセクタに感染するウイルスが、コンピュータに感染する唯一の原因は、感染したフロッピーディスクを使用してブートを試みることである。ディスケットのブートセクタには、そのディスケットがブート可能かどうかを判断し、"Non-system disk or disk error"というメッセージを表示するためのコードがある。このコードが、感染を隠蔽してしまう。この非システムディスクエラーメッセージが表示されるまでには、感染が行われている。

ウイルスはいったん発動すると、ハードドライブのMBRに感染し、メモリーに常駐するおそれがある。その後、ブートが行われるたびに、ウイルスはメモリーにロードされて、そのマシンからアクセスしているフロッピーディスクに感染しようとする。