ウイルス情報

ウイルス名

Disk_Killer

危険度
対応定義ファイル 4002 (現在7659)
対応エンジン  (現在5600) 
エンジンバージョンの見分け方
別名 Computer Ogre, Disk Ogre, Ogre
亜種 Disk_Killer.1_00
発見日(米国日付) 89/04/01


Disk Killerは、破壊的なメモリ常駐型ウイルスで、マスタブートレコード(MBR)およびブートセクタに感染する。このウイルスは、それ自体のコピーをフロッピーディスクまたはハードディスク上の3つのブロックに書き込むことによって繁殖する。このウイルスにとっては、これらのブロックが別のファイルで使用中であっても、また、ファイルの一部であっても関係ない。これらのブロックは、上書きされないように、ファイルアロケーションテーブル(FAT)で不良としてマーク付けされる。システムがブートされたときに、ウイルスコードが実行されて、システムから新たにアクセスされたディスケットに感染する試みがなされるように、MBRがパッチされる。

注: Disk Killerは、ディスク上の3つのブロックにウイルスコードの一部を書き込む際に、そのディスク上の1つまたは複数のファイルにダメージを与えることがある。いったんMBRのウイルスを除去してしまえば、破壊されたこれらのファイルによってシステムが再感染することはないが、3ブロックが上書きされているため、バックアップコピーを使ってこれらのファイルを置換する必要がある。

注: 新規のバックアップディスケットにもウイルスが含まれてしまうため、感染ディスケットをバックアップする際は、DOS DISKCOPYファイルを使用してはならない。

Disk Killerウイルスは、ブートセクタに感染し、フロッピーディスクまたはハードディスク上の3つのブロックにそれ自体のコピーを書き込むことによって繁殖する。このウイルスにとっては、これらのブロックが別のファイルが使用中であっても、ファイルの一部であっても関係ない。これらのブロックは、上書きされないように、FATで不良としてマーク付けされる。システムがブートされたときに、このウイルスコードが実行されて、システムから新たにアクセスされたディスケットに感染する試みがなされるように、ブートセクタがパッチされる。このウイルスは、初めて感染したときから、経過したディスク使用時間を追跡し、その時間があらかじめ決められた限度に達するまでは害を及ぼさない。あらかじめ決められた限度は、約48時間である。(ほとんどのシステムでは、ハードディスクが感染してから1〜6週間以外にこの限度に達する。)限度に達するか、それを超えたときにシステムがリブートされると、COMPUTER OGREと4月1日の日付を確認するメッセージが表示される。次に、ウイルスは、そのままにしておくように指示を出してから、セクタに対して0AAAAhおよび05555hを使って交互にXOR演算を行い、ディスク上の情報を効果的に破壊することによって、ディスクの暗号化を続ける。Disk Killerが活動化し、ディスク全体が暗号化された後は、再フォーマットに頼るしかない。発動時には、"Disk Killer -- Version 1.00 by COMPUTER OGRE 04/01/89 Warning!! Don't turn off the power or remove the diskette while Disk Killer is Processing! PROCESSING Now you can turn off the power. I wish you Luck!"というメッセージテキストが表示される。このテキストは、ウイルスコードにも含まれている。このウイルスはまず、ブート、FAT、およびディレクトリブロックを破壊するので、上記のメッセージが表示されたときは、ただちにシステムをオフにすれば、各種のユーティリティプログラムによってディスク上の一部のファイルを復元できる可能性があることを覚えておくことが大切である。Disk Killerを除去するには、McAfee AssociateのMDiskまたはCleanUpユーティリティか、DOS SYSコマンドを使用して、ハードディスクまたはブート可能なフロッピー上のブートセクタを上書きする。システムディスク以外のフロッピーの場合、感染していないフロッピーにファイルをコピーしてから、感染フロッピーを再フォーマットすることができる。まずウイルスの除去を試みる前に、マスタディスケットに書き込み保護が設定されていることを確認してからシステムをリブートする必要がある。さもないと、メモリ内のウイルスによって再感染することになる。注: Disk Killerは、ディスク上の3つのブロックにウイルスコードの一部を書き込む際に、そのディスク上の1つまたは複数のファイルにダメージを与えることがある。上記のとおりに、いったんブートセクタのウイルスを除去してしまえば、破壊されたこれらのファイルによってシステムが再感染することはないが、3ブロックが上書きされているため、バックアップコピーを使ってこれらのファイルを置換する必要がある。注: 新規のバックアップディスケットにもウイルスが含まれてしまうため、感染ディスケットをバックアップする際は、DOS DISKCOPYファイルを使用してはならない。

このウイルスは、初めて感染したときから、経過したディスク使用時間を追跡し、その時間があらかじめ決められた限度に達するまでは害を及ぼさない。あらかじめ決められた限度は、約48時間である。(ほとんどのシステムでは、ハードディスクが感染してから1〜6週間以外にこの限度に達する。)限度に達するか、それを超えたときにシステムがリブートされると、COMPUTER OGREと4月1日の日付を確認するメッセージが表示される。次に、ウイルスは、そのままにしておくように指示を出してから、セクタに対して0AAAAhおよび05555hを使って交互にXOR演算を行い、ディスク上の情報を効果的に破壊することによって、ディスクの暗号化を続ける。Disk Killerが活動化し、ディスク全体が暗号化された後は、再フォーマットに頼るしかない。

発動時には、次のメッセージテキストが表示される。このテキストは、ウイルスコードにも含まれている。

"Disk Killer -- Version 1.00 by COMPUTER OGRE 04/01/89

Warning!!

Don't turn off the power or remove the diskette while Disk Killer is Processing!

PROCESSING

Now you can turn off the power. I wish you Luck!"

このウイルスはまず、ブート、FAT、およびディレクトリブロックを破壊するので、このメッセージが表示されたときは、ただちにシステムをオフにすれば、各種のユーティリティプログラムによってディスク上の一部のファイルを復元できる可能性があることを覚えておくことが大切である。

MBRやブートセクタに感染するウイルスが、コンピュータに感染する唯一の方法は、感染したフロッピーディスクを使用してブートを試みることである。ディスケットのブートセクタには、そのディスケットがブート可能かどうかを判断し、"Non-system disk or disk error"というメッセージを表示するためのコードがある。このコードが、感染を隠蔽してしまう。システムディスクではないことを告げるこのエラーメッセージが表示されるまでには、感染が行われている。ウイルスはいったん発動すると、ハードドライブのMBRに感染し、メモリ常駐型となるおそれがある。その後、ブートが行われるたびに、ウイルスはメモリにロードされて、そのマシンからアクセスしているフロッピーディスクに感染しようとする。