ウイルス情報

ウイルス名

Brain

危険度
対応定義ファイル 4002 (現在7628)
対応エンジン  (現在5600) 
エンジンバージョンの見分け方
別名 Clone, Nipper, Pakistani, PakistaniBrain
発見日(米国日付) 1986
Brainは、ブートセクタに感染するステルス型ウイルスで、メモリに常駐する。Brainの初期のバージョンはディスケットのみに感染したが、その亜種はハードディスクにも感染する。感染すると、Brainウイルスはメモリに常駐するようになり、3Kから最大7KのRAMを使用する。また、割り込み13をフックする。ディスケットでは、ブートセクタに感染し、元の内容をそのディスケットの別の場所に移動する。また、ファイルアロケーションテーブル(FAT)内の6セクタを「不良」にして、ブートセクタにウイルスコードを書き込む。 Brainウイルスは、ブートセクタの情報を得る試みに中間介入し、その読み取り先をディスク上のどこかにある元のブートセクタに向けることによって、その存在を隠蔽することができる(ステルステクニック)。このため、ウイルスの検出はより困難になる。Brainウイルスは、このステルステクニックを最初に使用したウイルスであると考えられている。

Pakistani Brainウイルスは、パキスタンのラホールで発生した。このウイルスは、ディスクのブートセクタの元の内容をそのディスク上の別の場所に移動し、FATの3クラスタ(6セクタ)に不良の印を付けてから、そのブートセクタにウイルスコードを書き込むことによって、ディスクのブートセクタに感染する。ディスクが感染している1つの表れとして、少なくとも初期のウイルスの場合は、ボリュームラベルが"(c) Brain"に変更される。もう1つの表れとしては、ラベル"(c) Brain"を感染ディスク上のセクタ0(ブートセクタ)に見つけることができる。このウイルスは、それ自体の常駐型プログラムを感染システムにインストールして、3Kから最高7KのRAMを使用する。また、ブートセクタの情報を得る試みに中間介入し、その読み取り先をディスク上のどこかにある元のブートセクタに向けることによって、その存在を隠蔽することができるので、プログラムによっては、このウイルスを検出することはできない。初期のBrainウイルスは、フロッピーにのみ感染したが、現在、その亜種はハードディスクに感染することができる。また、亜種によっては、"(c) Brain"ラベルを取り除いているので、さらに検出が困難になっている。Brainの亜種としては、次のものが判明している。

感染ディスケットのセクタ0のブートセクタにあるボリュームラベルが、"(c) Brain"に変更される。

このウイルスの亜種によっては、ボリュームラベルを"(c) Brain"に変更しなくなったものもある。

ウイルスコードには、次のテキストが存在する。

"Welcome to the Dungeon (c) 1986 Basit * Amjad (pvt)
Ltd. BRAIN COMPUTER SERVICES 730 NIZAB BLOCK ALLAMA
IQBAL TOWN LAHORE-PAKISTAN PHONE :430791,443248,280530.
Beware of this VIRUS.... Contact us for
vaccination............. !!"

マスタブートレコード(MBR)やブートセクタに感染するウイルスが、コンピュータに感染する唯一の原因は、感染したフロッピーディスクを使用してブートを試みることである。ディスケットのブートセクタには、そのディスケットがブート可能かどうかを判断し、"Non-system disk or disk error"というメッセージを表示するためのコードがある。このコードが、感染を隠蔽してしまう。この非システムディスクエラーメッセージが表示されるまでには、感染が行われている。

ウイルスはいったん発動すると、ハードドライブのMBRに感染し、メモリーに常駐するおそれがある。その後、ブートが行われるたびに、ウイルスはメモリーにロードされて、そのマシンからアクセスしているフロッピーディスクに感染しようとする。