製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:F
ウイルス情報
ウイルス情報

ウイルス名
FORM
危険度
対応定義ファイル4002 (現在7549)
対応エンジン (現在5600) 
エンジンバージョンの見分け方
別名Form Boot, FORM-18
亜種FormII, FORM-Canada, Form.A, Form.B, Form.D
概要ウイルスの特徴感染症状感染方法駆除方法

セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
09/01Downloader-F...
09/01RDN/Download...
09/01RDN/Download...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7549
 エンジン:5600
 
ウイルス検索
 




Formは、メモリ常駐型のブートセクタ感染ウイルスである。このウイルスは、高位のDOSメモリの一部と、ハードドライブ上の最後の2セクタの両方に入り込む。ファイルには感染しない。通常、ハードドライブ上のデータにはダメージを与えないが、感染したディスケットの内容を破壊することがある。

ハードドライブでは、Formは、元のブートセクタとそれ自体のコードの一部を移動し、それを感染したハードドライブの最後の2セクタに格納する。これらのセクタが後の日付のデータで上書きされると、ブート処理時にシステムがハングすることがある。ただし、そのドライブにはまだアクセスすることができる。

Formは、フロッピーディスケットに不良セクタを作成する。このウイルスは、ディスケットの2番目のセクタに格納され、元のデータは、ファイルアロケーションテーブル(FAT)の未使用のセクションに再配置される。FAT内のこのコードが格納される領域は、不良として記されるので、情報は保護され、ダメージを受けないで済む。

FORMウイルス、すなわちForm Bootは、フロッピーおよびハードディスクのブートセクタに感染するメモリ常駐型ウイルスで、もとはスイスで発見された。FROMウイルスに感染したディスケットを使ってシステムが初めてブートされたときに、このウイルスは、システムメモリに感染すると同時に、システムのハードディスクを探し出して感染する。作者のテストシステムでは、フロッピーからのブートは成功することもしないこともあるが、FORMウイルスに感染したフロッピーからのブートは成功したためしがなく、代わりにシステムがハングしてしまう。ただし、この文書の作者が受け取ったウイルスは、バイナリファイルの形式であり、さらに、何らかの形でダメージを受けている可能性もある。この文書の作者が受け取ったFORMウイルスのバイナリコードには、次のテキストメッセージが含まれている。

"The FORM-Virus sends greetings to everyone who's
reading this text.FORM doesn't destroy data! Don't
panic! Fuckings go to Corinne."

ただし、これらのメッセージは、必ず存在するとは限らない。たとえば、Form Bootに感染したハードディスクには、これらのメッセージはどこにも見当たらなかった。FORMウイルスがメモリに入り込んだシステムでは、日付が24日になると、システムスピーカからカチカチいう音が聞こえる場合がある。このウイルスを除去するには、多くのブートセクタウイルスの場合と同じテクニックを使用することができる。まず、システムの電源を落としてから、書き込み保護の設定された、明らかにクリーンなブートディスケットを使ってブートする。次に、DOS SYSコマンドを使って、ブートセクタを再作成することができる。または、McAfee AssociatesのMDiskを使って、ブートセクタを再作成することもできる。FORMウイルスの亜種としては、次のものが判明している。

Formウイルスの1つの徴候は、18日の日付に、キーボードのいずれかのキーを押したときに聞こえる、カチカチという音である。ただし、キーボードドライバを使用している場合は、この音には気づかない。

もう1つの徴候は、ディスク読み取りに失敗すると、システムがハングすることである。

Formは、2Kのメモリを消費する。DOS MEMコマンドを実行すると、2K少ないメモリが報告される。フロッピーディスクでは、CHKDSKを実行すると、1,024バイトの不良セクタが報告される。このウイルスのバイナリコードには、名前を名のり、データを破壊しないことを述べ、Corrineを罵倒するメッセージが存在する。メッセージは、次のとおりである。

"The FORM-Virus sends greetings to everyone who's
reading this text. FORM doesn't destroy data! Don't
panic! (Expletive) go to Corinne."

このメッセージは表示されないが、ディスクエディタを使って見つけることができる。

MBRやブートセクタに感染するウイルスが、コンピュータに感染する唯一の原因は、感染したフロッピーディスクを使用してブートを試みることである。ディスケットのブートセクタには、そのディスケットがブート可能かどうかを判断し、"Non-system disk or disk error"というメッセージを表示するためのコードがある。このコードが、感染を隠蔽してしまう。この非システムディスクエラーメッセージが表示されるまでには、感染が行われている。ウイルスはいったん発動すると、ハードドライブのMBRに感染し、メモリ常駐型となるおそれがある。その後、ブートが行われるたびに、ウイルスはメモリにロードされて、そのマシンからアクセスしているフロッピーディスクに感染しようとする。