ウイルス情報

ウイルス名

KOH

危険度
対応定義ファイル 4002 (現在7628)
対応エンジン  (現在5600) 
エンジンバージョンの見分け方
別名 KOH-100


KOHは、マスタブートレコードおよびブートセクタ感染ウイルスで、ハードドライブおよびフロッピーに感染する。構造上は、Stealth Bootウイルスに似ている。

このウイルスは、感染しているブートセクタの元の内容を暗号化する。また、ディスクセクタを暗号化することによって、情報を保護するセキュリティ機能のように見せかける。この暗号化によって、このウイルスは除去不可能となる。最初に感染した時点で、ハードドライブに感染する許可を求めることがある。そのときは、必ず「NO」と答えなければならない。また、ユーザに、暗号化したブートセクタにアクセスするために、ハードドライブ用のパスワードと、フロッピー用のパスワードを選択するよう求めることがある。パスワードを選択したら、必ず覚えておかなければならない。

ハードドライブから除去するには、 [CONTROL]+[ALT]+[H] を押すと、ウイルスにそれ自体のプログラムを撤去させることができる場合がある。この機能を使用するには、ユーザは、パワーアップ時に、ハードドライブ用のアクセスパスワードを入力しなければならないことがある。

このウイルスには、次に示す文字列など、いくつかのテキスト文字列が含まれている。

Load successful A:now infected with KOH.
KOHv1.00

MBRやブートセクタに感染するウイルスが、コンピュータに感染する唯一の原因は、感染したフロッピーディスクを使用してブートを試みることである。ディスケットのブートセクタには、そのディスケットがブート可能かどうかを判断し、"Non-system disk or disk error"というメッセージを表示するためのコードがある。このコードが、感染を隠蔽してしまう。この非システムディスクエラーメッセージが表示されるまでには、感染が行われている。

ウイルスはいったん発動すると、ハードドライブのMBRに感染し、メモリ常駐型となるおそれがある。その後、ブートが行われるたびに、ウイルスはメモリにロードされて、そのマシンからアクセスしているフロッピーディスクに感染しようとする。