製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:J
ウイルス情報
ウイルス情報

ウイルス名
Joshi
危険度
対応定義ファイル4002 (現在7537)
対応エンジン (現在5600) 
エンジンバージョンの見分け方
別名Happy Birthday Joshi
亜種Joshi-A, Joshi-B
発見日(米国日付)90/06/01
概要ウイルスの特徴感染症状感染方法駆除方法

セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
08/20RDN/Download...
08/20W32/Agent!55...
08/20W32/Agent!09...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7537
 エンジン:5600
 
ウイルス検索
 




Joshiは、メモリ常駐型ウイルスで、マスタブートレコード(MBR)およびブートセクタに感染する。Joshiによって、システムがダメージを受けることはない。

感染システムでこのウイルスを識別するには、システムの電源を落としてから、書き込み保護の設定された、明らかにクリーンなDOSディスケットを使ってブートする。次に、セクタエディタまたはビューワを使って、感染の疑いがあるディスケットのブートセクタを調べてみて、ブートセクタの最初の2バイトが16進のEB 1Fであれば、そのディスケットは感染している。EB 1Fは、ウイルスコードの残りの部分へのジャンプ命令である。この残りの部分は、360Kの5.25インチディスケットの場合、トラック40、セクタ1〜5に格納される。1.2Mの5.25インチディスケットの場合は、トラック80、セクタ1〜5に格納される。また、3.5インチディスケットでは、最終トラックに格納される。

Joshiウイルスは、1990年6月にインドで確認された。確認当時は、インドおよびアフリカ大陸の一部で繁殖していると報告されていた。Joshiは、メモリ常駐型ウイルスで、ディスケットのブートセクタ、およびハードディスクのマスタブートセクタ(パーティションテーブル)に感染する。Joshiに感染したディスケットを使ってシステムがブートされると、このウイルスはメモリに常駐するようになる。Joshiは、約6Kのシステムメモリを使用する。感染システムでDOS CHKDSKプログラムを実行すると、システムメモリの合計が、インストール済みのメモリより6K少なく表示される。Joshiには、他の2つのブートセクタウイルスといくつかの類似点がある。まず、Stonedウイルスと同様に、ハードディスクのマスタブートセクタに感染する。次に、Brainウイルスと同様に、ブートセクタを読み取とろうとすると、その宛先を元のブートセクタに変更する方法を取る。Joshiでは、これをマスタブートセクタに対して行う。Joshiウイルスは、年にかかわらず、1月5日に発動する。このとき、システムをハングさせて、"type Happy Birthday Joshi"というメッセージを表示する。システムユーザが"Happy Birthday Joshi"と入力すると、システムは再び使用可能となる。感染システムでこのウイルスを識別するには、システムの電源を落としてから、書き込み保護の設定された、明らかにクリーンなDOSディスケットを使ってブートする。次に、セクタエディタまたはビューワを使って、感染の疑いがあるディスケットのブートセクタを調べてみて、ブートセクタの最初の2バイトが16進のEB 1Fであれば、そのディスケットは感染している。EB 1Fは、ウイルスコードの残りの部分へのジャンプ命令である。この残りの部分は、360Kの5.25インチディスケットの場合、トラック40、セクタ1〜5に格納される。1.2Mの5.25インチディスケットの場合は、トラック80、セクタ1〜5に格納される。また、3.5インチディスケットでは、最終トラックに格納される。システムのハードディスクが感染しているかどうかを見分けるには、ハードディスクのマスタブートセクタを調べる必要がある。マスタブートセクタの最初の2バイトが16進のEB 1Fであれば、そのハードディスクは感染している。ウイルスの残りの部分は、シリンダ0、サイド0、セクタ2〜6に見つけることができる。

元のマスタブートセクタは、シリンダ0、サイド0、セクタ9に配置される。Joshiウイルスを感染システムから手動で除去するには、まず、システムの電源を落とし、次に、書き込み保護の設定された、明らかにクリーンなDOSマスタディスケットを使ってブートする。システムにハードディスクが設置されている場合、そのハードディスクのデータおよびプログラムファイルのバックアップを取り、元のマスタブートセクタをセクタ9から、シリンダ0、サイド0、セクタ1にコピーし直す必要がある。ディスケットからJoshiを除去するには、DOS SYSコマンドを使用すると簡単である。また、いくつかのウイルス除去プログラムを使用することもできる。Joshiに感染したシステムでは、書き込み保護が設定されたディスケット上のプログラムまたはデータファイルにアクセスしようとすると、問題が生じる場合がある。Joshiの亜種としては、次のものが判明している。

Joshiウイルスは、1月5日にブート処理を行うと発動し、システムをハングさせて、次のメッセージを表示する。

type Happy Birthday Joshi

"Happy Birthday Joshi"と入力すると、システムは通常どおり機能するようになる。指示に従わないと、システムはハングする。

感染システムでは、書き込み保護が設定されたディスケット上のプログラムまたはデータファイルにアクセスしようとすると、問題が生じる場合がある。CHKDSKは、メモリが6K減少していることを示す。

MBRやブートセクタに感染するウイルスが、コンピュータに感染する唯一の原因は、感染したフロッピーディスクを使用してブートを試みることである。ディスケットのブートセクタには、そのディスケットがブート可能かどうかを判断し、"Non-system disk or disk error"というメッセージを表示するためのコードがある。このコードが、感染を隠蔽してしまう。この非システムディスクエラーメッセージが表示されるまでには、感染が行われている。ウイルスはいったん発動すると、ハードドライブのMBRに感染し、メモリ常駐型となるおそれがある。その後、ブートが行われるたびに、ウイルスはメモリにロードされて、そのマシンからアクセスしているフロッピーディスクに感染しようとする。