製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:D
ウイルス情報
ウイルス情報

ウイルス名
Dir-2
危険度
対応定義ファイル4002 (現在7607)
対応エンジン (現在5600) 
エンジンバージョンの見分け方
別名Byway, Byway.A, Creeping Death, Dir_II.A, FAT
亜種CD10, CD11, CD12, Dir2-910, Byway.B
発見日(米国日付)91/09/01
概要ウイルスの特徴感染症状感染方法駆除方法

セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
10/29RDN/Generic....
10/29Generic.bfr!...
10/29Generic Drop...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7607
 エンジン:5600
 
ウイルス検索
 




Dir-2ウイルスは、メモリ常駐ステルス型ウイルスで、マスタブートレコード(MBR)およびブートセクタに感染する。このウイルスは、自己複製にまったく新しいテクニックを使用し、感染システムを通じて非常に迅速に移動する。このウイルスの検出は難しく、目に見える徴候も、予測できる徴候もあまりない。

Dir-2ウイルスは、感染したディスケットまたはハードディスクからコンピュータシステムがブートされ、ファイルが実行されたときに、メモリに常駐するようになる。これは、そのブートによって、隠されたシステムファイルが実行されるためである。このウイルスは、低位のシステムメモリで、通常はシステム構成情報(IOおよびMSDOS)が格納されている領域に入り込む。

システムのハードディスクは、ブート時にこのウイルスに感染する。Dir-2は、いったんメモリに常駐すると、書き込み保護が設定されていないディスケットが感染システムからアクセスされた場合に、そのディスケットに感染する。このウイルスは、それ自体のウイルスコードをディスケットの最終クラスタに配置する。システムのハードディスクでは、以前に未使用のクラスタに配置される。次にウイルスは、ディスク上の実行ファイルに対する元のポインタを暗号化し、それらをディスクディレクトリの未使用の領域にコピーする。その後、元のポインタは、ハードディスク上のウイルスコードを指すように変更される。

Dir-2ウイルス、すなわちFATウイルスは、1991年9月にブルガリア、ハンガリー、ポーランド、およびユーゴスラビアで報告された。分析したコピーは、ハンガリーはブダペストのタマスザレイ(Tamas Szalay)から送られたものである。Dir-2ウイルスは、メモリ常駐ステルス型ウイルスであり、自己複製にまったく新しいテクニックを使用し、感染システムを通じて非常に迅速に移動する。このウイルスの検出は難しく、目に見える徴候も、予測できる徴候もあまりない。Dir-2ウイルスは、感染したディスケットまたはハードディスクからコンピュータシステムがブートされ、ファイルが実行されたときに、メモリに常駐するようになる。これは、そのブートによって、隠されたシステムファイルが実行されるためである。このウイルスは、低位のシステムメモリで、通常はシステム構成情報(IOおよびMSDOS)が格納されている領域に入り込む。いったんブートが完了すると、システムメモリの合計は変更されないが、使用可能な空きメモリは予定より1,552バイト減少する。ユーザが、一部のメモリマッピングユーティリティを使ってメモリ割り当てを表示した場合、"CONFIG"領域は、予定より1,552バイト増加している。 ブート時に、まだ感染していないハードディスクにも感染する。Dir-2は、いったんメモリに常駐すると、書き込み保護が設定されていないディスケットが感染システムからアクセスされた場合に、そのディスケットに感染する。このウイルスは、それ自体のウイルスコードをディスケットの最終クラスタに配置する。システムのハードディスクでは、以前に未使用のクラスタに配置される。次にウイルスは、ディスク上の実行ファイルに対する元のポインタを暗号化し、それらをディスクディレクトリの未使用の領域にコピーする。その後、元のポインタは、ハードディスク上のウイルスコードを指すように変更される。感染ディスケットのディレクトリを表示すると、通常どおりのディレクトリが表示される。すべての実行プログラムは、感染前のファイルサイズと日付/時刻スタンプを示す。実際、元のプログラムは、まったく変更されていない。ユーザがそれらのプログラムのいずれかを実行すると、このウイルスが実行される(ディスクディレクトリに対する変更のため)。その後、Dir-2ウイルスは、プログラムの実際の位置を指す、暗号化されたポインタを使用して、ユーザが実行しようとしたプログラムをロードし、実行されるようにする。Dir-2ウイルスに感染した場合の大きな徴候は、電源を落としてから、明らかにクリーンなDOSシステムディスケットを使用してブートした後のシステムに対する、このウイルスの影響である。感染ディスクからファイルをコピーしようとすると、ファイルは正しくコピーされない。新たにコピーしたファイルには、ディスクの最終クラスタにあるウイルスコードが含まれる。バックアッププログラムを使用しようとすると、同じような結果になる。このウイルスが常駐していない状態で、DOS CHKDSKプログラムを実行すると、ディレクトリに変更が加えられているため、多数の破損クラスタが発見される。

いったんブートが完了すると、システムメモリの合計は変更されないが、使用可能な空きメモリは予定より1,552バイト減少する。ユーザが一部のメモリマッピングユーティリティを使ってメモリ割り当てを表示した場合、"CONFIG"領域は、予定より1,552バイト増加している。

感染ディスケットのディレクトリを表示すると、通常どおりのディレクトリが表示される。すべての実行プログラムは、感染前のファイルサイズと日付/時刻スタンプを示す。実際、元のプログラムはまったく変更されていない。ユーザがそれらのプログラムのいずれかを実行すると、このウイルスが実行される(ディスクディレクトリに対する変更のため)。その後、Dir-2ウイルスは、プログラムの実際の位置を指す、暗号化されたポインタを使用して、ユーザが実行しようとしたプログラムをロードし、実行されるようにする。

Dir-2ウイルスに感染した場合の大きな徴候は、電源を落としてから、明らかにクリーンなDOSシステムディスケットを使用してブートした後のシステムに対する、このウイルスの影響である。感染ディスクからファイルをコピーしようとすると、ファイルは正しくコピーされない。新たにコピーしたファイルには、ディスクの最終クラスタにあるウイルスコードが含まれる。バックアッププログラムを使用しようとすると、同じような結果になる。このウイルスが常駐していない状態で、DOS CHKDSKプログラムを実行すると、ディレクトリに変更が加えられているために、多数の破損クラスタが発見される。実行ファイルはすべて、同じセクタにクロスリンクされているように表示される。このセクタは、ディスク上のウイルスコードの位置である。/Fパラメータが使用されると、すべての実行ファイルは永久的に破壊される。このウイルスがメモリに常駐している状態でDOS CHKDSKプログラムを実行すると、このウイルスがあるために、いずれのファイル割り当ても、ファイルのクロスリンクも表示されないので注意が必要である。

ファイル感染ウイルスが、コンピュータに感染する唯一の方法は、コンピュータでの感染ファイルの実行である。感染ファイルは、フロッピーディスク、オンラインサービスによるダウンロード、およびネットワークなど、多数のソースから生じることが考えられる。いったん感染ファイルを実行すると、ウイルスが発動するおそれがある。