ウイルス情報

ウイルス名

Filler

危険度
対応定義ファイル 4002 (現在7634)
対応エンジン  (現在5600) 
エンジンバージョンの見分け方


Fillerは、メモリ常駐ステルス型ウイルスで、マスタブートレコード(MBR)およびブートセクタに感染する。

感染すると、システムメモリの最上位で、DOSの640K境界以下に常駐するようになる。このとき、システムのハードディスク上のMBRに感染する。

Fillerウイルスは、いったんメモリに常駐すると、書き込み保護が設定されておらず、システムに認識されたディスケットに感染する。ディスケットの感染は通常、何らかの理由でブートセクタがアクセスされたときに起こる。Fillerウイルスは、それ自体のコピーをディスケットの最終トラックに書き込む。このトラックには、通常、DOSからはアクセスできない。元のブートセクタもこのトラックに格納される。次に、ウイルスコードを指すようにブートセクタが変更される。Fillerが、自己複製以外に何を行うかは分かっていない。

Fillerウイルスは、1992年1月に確認された。1991年にハンガリーのパブリックドメインで報告されたのが最初である。Fillerは、メモリ常駐型ウイルスで、ディスケットのブートセクタおよびハードディスクのマスタブートセクタ(パーティションテーブル)に感染する。また、ステルス型ウイルスでもあり、メモリに常駐すると、ウイルス対策プログラムを使っても、ハードディスクのマスタブートセクタ上の感染を見つけることはできず、また、ディスケットのブートセクタにおいてもその存在を検出することは難しい。Fillerに感染したディスケットを使ってシステムがブートされると、Fillerウイルスは、それ自体のメモリ常駐型プログラムをシステムメモリの最上位で、DOSの640K境界以下にインストールする。システムメモリの合計は減少しないが、DOS CHKDSKプログラムが示すように、使用可能な空きメモリは8,192バイト減少する。この時点で、システムのハードディスク上のマスタブートセクタがまだ感染していない場合は、そのディスクも感染する。Fillerウイルスは、いったんメモリに常駐すると、書き込み保護が設定されておらず、システムに認識されたディスケットに感染する。ディスケットの感染は通常、何らかの理由でブートセクタがアクセスされたときに起こる。Fillerウイルスは、それ自体のコピーをディスケットの最終トラックに書き込む。このトラックには、通常、DOSからアクセスできない。元のブートセクタもこのトラックに格納される。次に、ウイルスコードを指すようにブートセクタが変更される。Fillerウイルスは、ステルス型ウイルスでもある。メモリに常駐してしまうと、スキャン技術を使用して感染ディスケットをスキャンしても、Fillerウイルスの存在を検出することはできない。CRCタイプの診断プログラムを使用すれば、ブートセクタが変更されていることを見分けられる場合がある。ハードディスクのマスタブートセクタの場合、Fillerがメモリに常駐してしまうと、CRCタイプの診断プログラムでも、スキャンプログラムでも、Fillerウイルスの存在を見分けることはできない。Fillerウイルスに感染している疑いがある場合は、システムの電源を落としてから、書き込み保護の設定された、明らかにクリーンなディスケットを使ってリブートし、次に、ウイルス対策ソフトウェアを使ってシステムを診断する必要がある。Fillerが自己複製以外に何を行うのかは分かっていない。

システムメモリの合計は減少しないが、DOS CHKDSKプログラムが示すように、使用可能な空きメモリは8,192バイト減少する。

MBRやブートセクタに感染するウイルスが、コンピュータに感染する唯一の原因は、感染したフロッピーディスクを使用してブートを試みることである。ディスケットのブートセクタには、そのディスケットがブート可能かどうかを判断し、"Non-system disk or disk error"というメッセージを表示するためのコードがある。このコードが、感染を隠蔽してしまう。この非システムディスクエラーメッセージが表示されるまでには、感染が行われている。ウイルスはいったん発動すると、ハードドライブのMBRに感染し、メモリ常駐型となるおそれがある。その後、ブートが行われるたびに、ウイルスはメモリにロードされて、そのマシンからアクセスしているフロッピーディスクに感染しようとする。