ウイルス情報

ウイルス名

Evil_Empire

危険度
対応定義ファイル 4002 (現在7634)
対応エンジン  (現在5600) 
エンジンバージョンの見分け方
別名 Evil Empire-A
亜種 EvilEmpire-B
発見日(米国日付) 99/04/01


Evil Empireは、マスタブートレコード(MBR)およびブートセクタに感染するメモリ常駐型ウイルスであり、Stonedウイルスに基いている。

感染すると、メモリに常駐するようになり、MBRに感染する。このウイルスは、システムメモリの最上位で、DOSの640K境界以下に常駐し、割り込み12のリターンを移動する。

ハードディスクのブートセクタにも感染し、元のブートセクタをシリンダ0、サイド0、セクタ6に移動してから、ウイルスコードのコピーをシリンダ0、サイド0、セクタ0(元のブートセクタの位置)に移動する。

Evil Empireは、いったんメモリに常駐すると、書き込み保護が設定されていないディスケットが感染システムからアクセスされた場合に、そのディスケットに感染する。感染ディスケットでは、元のブートセクタが、ルートディレクトリの一部であるセクタ10に移動される。Evil Empireに感染したディスケットは、セクタ10のディスクディレクトリが上書きされるため、ダメージを受けることがある。ルートディレクトリのエントリがもともとこのセクタにあった場合、それらのエントリは失われる。

一部のウイルス対策ユーティリティは、Evil EmpireをAzusaとして検出することがある。

Evil Empireは、1991年4月にカナダのアルバータ州で発見された。これは、メモリ常駐型ウイルスで、フロッピーのブートセクタおよびハードディスクのマスタブートセクタ(パーティションテーブル)に感染する。このウイルスは、Stonedウイルスに基いている。Evil Empireウイルスに感染したディスケットを使って初めてシステムがブートされたときに、このウイルスは、それ自体のメモリ常駐型プログラムをインストールし、同時に、ハードディスクのマスタブートセクタに感染する。このウイルスは、システムメモリの最上位で、DOSの640K境界以下に常駐し、割り込み12のリターンを移動する。システムメモリと使用可能な空きメモリの合計は、予定より2,048バイト減少する。ハードディスクのマスタブートセクタに感染すると、元のマスタブートセクタをシリンダ0、サイド0、セクタ6に移動して、ウイルスコードのコピーをシリンダ0、サイド0、セクタ0(マスタブートセクタの位置)に書き込む。Evil Empireは、メモリに常駐すると、書き込み保護が設定されていないディスケットが感染システムからアクセスされた場合に、そのディスケットに感染する。感染ディスケットでは、元のブートセクタが、ルートディレクトリの一部であるセクタ10に移動される。フロッピーのブートセクタ、および、感染システムのハードディスク上のマスタブートセクタの終わり近くには、"PC`xff`x03AT"というテキスト文字列を見つけることができる。Evil Empireに感染したディスケットは、セクタ10のディスクディレクトリが上書きされるため、ダメージを受けることがある。ルートディレクトリのエントリがもともとこのセクタにあった場合、それらのエントリは失われる。Evil Empireを除去する際は、次の点に注意する。つまり、元のマスタブートセクタをセクタ6からセクタ0にコピーすると、ディスケット上のウイルスを除去することができるが、同時に、システムハードディスクでなくなることにもなる。この場合は、Norton Disk Doctorを使用して、状況を正すことができる。一部のウイルス対策プログラムは、Evil EmpireをAzusaとして検出することがある。Evil Empireの亜種としては、次のものが判明している。

フロッピーのブートセクタ、および、感染システムのハードディスク上のMBRの終わり近くには、"PC`xff`x03AT"というテキスト文字列が見つかる。

システムメモリと使用可能な空きメモリの合計は、2,048バイト減少する。

MBRやブートセクタに感染するウイルスが、コンピュータに感染する唯一の方法は、感染したフロッピーディスクを使用してブートを試みることである。ディスケットのブートセクタには、そのディスケットがブート可能かどうかを判断し、"Non-system disk or disk error"というメッセージを表示するためのコードがある。このコードが、感染を隠蔽してしまう。システムディスクではないことを告げるこのエラーメッセージが表示されるまでには、感染が行われている。ウイルスはいったん発動すると、ハードドライブのMBRに感染し、メモリ常駐型となるおそれがある。その後、ブートが行われるたびに、ウイルスはメモリにロードされて、そのマシンからアクセスしているフロッピーディスクに感染しようとする。