ウイルス情報

ウイルス名

Chinese_Fish

危険度
対応定義ファイル 4002 (現在7652)
対応エンジン  (現在5600) 
エンジンバージョンの見分け方
別名 Fish Boot
発見日(米国日付) 92/03/01


Chinese Fishは、メモリ常駐型ウィルスで、マスタブートレコード(MBR)またはブートセクタに感染する。

感染すると、このウィルスは、使用可能な空きメモリに入り込み、メモリ常駐型となる。また、このとき、システムのハードディスク上のMBRに感染する。

Chinese Fishウィルスはまず、サイド0、シリンダ0、セクタ8を起点にそのウィルスコードのコピーを書き込むことによって、システムのハードディスク上のMBRに感染する。このウィルスコードの長さは、2セクタ分である。次に、元のセクタが、サイド0、シリンダ0、セクタ10にコピーされる。その後、ウィルスは、サイド0、シリンダ0、セクタ1に位置するセクタに感染する。

Chinese Fishは、いったんメモリに常駐すると、書き込み保護が設定されていないディスケットが感染システムからアクセスされた場合に、そのディスケットに感染する。倍密度の5.25インチディスケットでは、元のブートセクタはサイド0、シリンダ39、セクタ3に配置される。Chinese Fishウィルス・コードは、その元のブートセクタ位置と、サイド0、シリンダ39、セクタ1および2に配置される。高密度の5.25インチディスケットでは、元のブートセクタは、サイド0、シリンダ79、セクタ3に配置され、ウィルスコードは、その元のブートセクタ位置と、サイド0、シリンダ79、セクタ1および2に配置される。

補足説明:
Fish Bootウィルスは、1992年3月に米国東海岸で発見された。起源地は台湾であると思われる。Fish Bootは、メモリに常駐し、ディスケットのブートセクタおよびハードディスクのマスタブートセクタ(パーティションテーブル)に感染する。Fish Bootウィルスに感染したディスケットを使用して初めてシステムがブートされるときに、ウィルスはそれ自体のメモリ常駐型プログラムを使用可能な空きメモリにインストールする。また、このとき、システムのハードディスク上のマスタブートセクタに感染する。Fish Bootウィルスはまず、サイド0、シリンダ0、セクタ8を起点にそのウィルスコードのコピーを書き込むことによって、システムのハードディスク上のマスタブートセクタに感染する。このウィルスコードの長さは、2セクタ分である。次に、元のマスタブートセクタが、サイド0、シリンダ0、セクタ10にコピーされる。その後、ウィルスは、サイド0、シリンダ0、セクタ1に位置するマスタブートセクタに感染する。Fish Bootは、いったんメモリに常駐すると、書き込み保護が設定されていないディスケットが感染システムからアクセスされた場合に、そのディスケットに感染する。倍密度の5.25インチディスケットでは、元のブートセクタはサイド0、シリンダ39、セクタ3に配置される。Fish Bootウィルスコードは、その元のブートセクタ位置と、サイド0、シリンダ39、セクタ1および2に配置される。高密度の5.25インチディスケットでは、元のブートセクタは、サイド0、シリンダ79、セクタ3に配置され、ウィルスコードは、その元のブートセクタ位置と、サイド0、シリンダ79、セクタ1および2に配置される。

Fish Bootに感染したシステムは、一部のプログラムが正しく機能しなくなり、そのようなプログラムを実行するとシステムが停止する旨を通知する。その他、"Hello! I am FISH, please don't kill me. Congratulation 80th year of the Republic Of China Building, Fish will help to kill stone Written by Fish in NTIT. TAIWAIN 80.10.18"というメッセージが表示されることもある。このメッセージは、感染ディスク上で、元のブートセクタまたはマスタブートセクタ位置以外に配置されるウィルスコード内に見つけることができる。

感染したシステムのユーザは、一部のファイルが正しく機能しなくなっており、そのようなファイルを実行するとシステムが停止することに気づく場合がある。その他、次のメッセージが表示されることもある。

"Hello! I am FISH, please don't kill me. Congratulation
80th year of the Republic Of China Building, Fish will
help to kill stone Written by Fish in NTIT. TAIWAIN 80.10.18"

このメッセージは、感染ディスケット上で、元のブートセクタ位置以外に配置されるウィルスコード内に見つけることができる。

MBRまたはブートセクタに感染するウィルスが、コンピュータに感染する唯一の原因は、感染したフロッピーディスクを使用してブートを試みることである。ディスケットのブートセクタには、そのディスケットがブート可能かどうかを判断し、"Non-system disk or disk error"というメッセージを表示するためのコードがある。このコードが、感染を隠蔽してしまう。システムディスクではないことを告げるこのエラーメッセージが表示されるまでには、感染が行われている。ウィルスはいったん発動すると、ハードドライブのMBRに感染し、メモリ常駐型となるおそれがある。その後、ブートが行われるたびに、ウィルスはメモリにロードされて、そのマシンからアクセスしているフロッピーディスクに感染しようとする。