製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:E
ウイルス情報
ウイルス情報

ウイルス名
Evil_Empire
危険度
対応定義ファイル4002 (現在7401)
対応エンジン (現在5600) 
エンジンバージョンの見分け方
別名Evil Empire-A
亜種EvilEmpire-B
発見日(米国日付)99/04/01
概要ウイルスの特徴感染症状感染方法駆除方法

セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
03/31RDN/Generic....
03/31StartPage-NY...
03/31PWS-Banker.g...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7401
 エンジン:5600
 
ウイルス検索
 




Evil Empireは、マスタブートレコード(MBR)およびブートセクタに感染するメモリ常駐型ウイルスであり、Stonedウイルスに基いている。

感染すると、メモリに常駐するようになり、MBRに感染する。このウイルスは、システムメモリの最上位で、DOSの640K境界以下に常駐し、割り込み12のリターンを移動する。

ハードディスクのブートセクタにも感染し、元のブートセクタをシリンダ0、サイド0、セクタ6に移動してから、ウイルスコードのコピーをシリンダ0、サイド0、セクタ0(元のブートセクタの位置)に移動する。

Evil Empireは、いったんメモリに常駐すると、書き込み保護が設定されていないディスケットが感染システムからアクセスされた場合に、そのディスケットに感染する。感染ディスケットでは、元のブートセクタが、ルートディレクトリの一部であるセクタ10に移動される。Evil Empireに感染したディスケットは、セクタ10のディスクディレクトリが上書きされるため、ダメージを受けることがある。ルートディレクトリのエントリがもともとこのセクタにあった場合、それらのエントリは失われる。

一部のウイルス対策ユーティリティは、Evil EmpireをAzusaとして検出することがある。

Evil Empireは、1991年4月にカナダのアルバータ州で発見された。これは、メモリ常駐型ウイルスで、フロッピーのブートセクタおよびハードディスクのマスタブートセクタ(パーティションテーブル)に感染する。このウイルスは、Stonedウイルスに基いている。Evil Empireウイルスに感染したディスケットを使って初めてシステムがブートされたときに、このウイルスは、それ自体のメモリ常駐型プログラムをインストールし、同時に、ハードディスクのマスタブートセクタに感染する。このウイルスは、システムメモリの最上位で、DOSの640K境界以下に常駐し、割り込み12のリターンを移動する。システムメモリと使用可能な空きメモリの合計は、予定より2,048バイト減少する。ハードディスクのマスタブートセクタに感染すると、元のマスタブートセクタをシリンダ0、サイド0、セクタ6に移動して、ウイルスコードのコピーをシリンダ0、サイド0、セクタ0(マスタブートセクタの位置)に書き込む。Evil Empireは、メモリに常駐すると、書き込み保護が設定されていないディスケットが感染システムからアクセスされた場合に、そのディスケットに感染する。感染ディスケットでは、元のブートセクタが、ルートディレクトリの一部であるセクタ10に移動される。フロッピーのブートセクタ、および、感染システムのハードディスク上のマスタブートセクタの終わり近くには、"PC`xff`x03AT"というテキスト文字列を見つけることができる。Evil Empireに感染したディスケットは、セクタ10のディスクディレクトリが上書きされるため、ダメージを受けることがある。ルートディレクトリのエントリがもともとこのセクタにあった場合、それらのエントリは失われる。Evil Empireを除去する際は、次の点に注意する。つまり、元のマスタブートセクタをセクタ6からセクタ0にコピーすると、ディスケット上のウイルスを除去することができるが、同時に、システムハードディスクでなくなることにもなる。この場合は、Norton Disk Doctorを使用して、状況を正すことができる。一部のウイルス対策プログラムは、Evil EmpireをAzusaとして検出することがある。Evil Empireの亜種としては、次のものが判明している。

フロッピーのブートセクタ、および、感染システムのハードディスク上のMBRの終わり近くには、"PC`xff`x03AT"というテキスト文字列が見つかる。

システムメモリと使用可能な空きメモリの合計は、2,048バイト減少する。

MBRやブートセクタに感染するウイルスが、コンピュータに感染する唯一の方法は、感染したフロッピーディスクを使用してブートを試みることである。ディスケットのブートセクタには、そのディスケットがブート可能かどうかを判断し、"Non-system disk or disk error"というメッセージを表示するためのコードがある。このコードが、感染を隠蔽してしまう。システムディスクではないことを告げるこのエラーメッセージが表示されるまでには、感染が行われている。ウイルスはいったん発動すると、ハードドライブのMBRに感染し、メモリ常駐型となるおそれがある。その後、ブートが行われるたびに、ウイルスはメモリにロードされて、そのマシンからアクセスしているフロッピーディスクに感染しようとする。