製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:E
ウイルス情報
ウイルス情報

ウイルス名
Exebug
危険度
対応定義ファイル4002 (現在7544)
対応エンジン (現在5600) 
エンジンバージョンの見分け方
別名CMOS Killer, Swiss Boot
亜種EXE_Bug.C, EXE_Bug.A
発見日(米国日付)92/10/01
概要ウイルスの特徴感染症状感染方法駆除方法

セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
08/30FakeAV-M.bfr...
08/30Generic.tfr!...
08/30PWS-Mmorpg.g...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7544
 エンジン:5600
 
ウイルス検索
 




EXEBUGは、マスタブートレコード(MBR)およびブートセクタに感染するほとんどのウイルスより、巧妙である。このウイルスは、感染したコンピュータ上のCMOS設定にわずかな変更を加え、システムのハードドライブ上のMBRにある情報をコード化する。

EXEBUGは、マスタブートレコードおよびブートセクタに感染する。ユーザが、EXEBUGに感染したディスケットを使ってブートしようとすると(ブートが成功する、しないにかかわらず)、このウイルスは、システムのハードディスク上のMBRに感染し、メモリに常駐するようになる。EXEBUGは、元のMBR情報をサイド0、シリンダ0、セクタ1から、サイド0、シリンダ0の最終セクタに移動してから、MBRの元の位置にそのウイルスコードを挿入する。

また、コンピュータがそのディスクドライブにアクセスできないように、コンピュータのCMOSを変更する。このため、感染システムからEXEBUGを除去しようとするときに問題が発生する。これは、このウイルスが、コンピュータをどのドライブからブートするかを制御するシステム設定を変更するためである。このウイルスに感染していないブートディスケットがドライブA:に入っている場合でも、ウイルスはすでに、C:ドライブからブートの試みがなされるようにPCを設定している場合があり、その場合には、ウイルスが再びメモリにロードされる。

EXEBUGは、ステルステクニックを使用して、システムのハードディスクおよびディスケットにおけるその存在を検出されないようにする。EXEBUGは、メモリに常駐すると、感染前のMBR(またはディスケットのブートセクタ)を表示する。

ウイルス対策ソフトウェアを使って、ハードディスクまたはフロッピーディスクをスキャンすると、このウイルスは、そのスキャンの対象を元のコードに向け直して、すべてが正常に見えるようにする。

Exebugウイルス、すなわちSwiss Bootウイルスは、1992年10月に提出された。発生地はスイスと考えられているが、オーストラリアからの報告もある。 Exebugは、メモリ常駐型ウイルスで、ディスケットのブートセクタおよびハードディスクのマスタブートセクタ(パーティションテーブル)に感染する。また、ステルステクニックを使用して、システムのハードディスクおよびディスケットにおけるその存在を検出されないようにする。Exebugに感染したディスケットを使って初めてシステムがブートされたときに、このウイルスは、それ自体のメモリ常駐型プログラムをシステムメモリの最上位で、DOSの640K境界以下にインストールし、割り込み12のリターンを移動する。システムメモリと使用可能な空きメモリの合計は、1,024バイト減少する。また、このとき、システムのハードディスク上のマスタブートセクタにも感染する。元のマスタブートセクタは、ハードディスクのサイド0、シリンダ0の最終セクタに移動される。次に、マスタブートセクタの元の位置であるサイド0、シリンダ0、セクタ1が上書きされる。Exebugウイルスは、いったんメモリに常駐すると、書き込み保護が設定されていないディスケットが何らかの理由でアクセスされた場合に、そのディスケットに感染する。360Kの5.25インチディスケットの場合、元のブートセクタは、サイド0、トラック40、セクタ1に移動される。1.2Mの5.25インチディスケットの場合、元のブートセクタは、サイド0、トラック80、セクタ1に移動される。EXEBUGは、ステルステクニックを使用して、アンチウイルスソフトによる検出を避けようとする。ウイルスがメモリに存在する場合に、プログラムが、ハードディスクのマスタブートセクタ、またはディスケットのブートセクタにアクセスしようとすると、ユーザには、感染前のマスタブートセクタまたはブートセクタの内容が表示される。システムのハードディスクがExebugに感染している場合に、書き込み保護が設定された未感染のDOSシステムディスケットを使ってブートした後で、ハードディスクにアクセスしようとすると、そのディスクはアクセス不能になる。ウイルスによって、元のマスタブートセクタ位置の最後の2バイトが上書きされているため、ユーザは、"Invalid drive specification"というメッセージを受け取ることになる。Norton Disk Doctorは、この問題をうまく解決し、ハードディスクに再びアクセスできるようにする。

EXEBUGウイルスがメモリに常駐すると、システムメモリと使用可能な空きメモリの合計は、約1,024バイト減少する。

EXEBUGは、.EXEファイルもターゲットにして、予期しないことを行うコードで上書きしてしまう(トロイの木馬)。上書きされたファイルを実行すると、システムがクラッシュすることがある。

MBRやブートセクタに感染するウイルスが、コンピュータに感染する唯一の方法は、感染したフロッピーディスクを使用してブートを試みることである。ディスケットのブートセクタには、そのディスケットがブート可能かどうかを判断し、"Non-system disk or disk error"というメッセージを表示するためのコードがある。このコードが、感染を隠蔽してしまう。システムディスクではないことを告げるこのエラーメッセージが表示されるまでには、感染が行われている。ウイルスはいったん発動すると、ハードドライブのMBRに感染し、メモリ常駐型となるおそれがある。その後、ブートが行われるたびに、ウイルスはメモリにロードされて、そのマシンからアクセスしているフロッピーディスクに感染しようとする。