ウイルス情報

ウイルス名

Keydrop

危険度
対応定義ファイル 4002 (現在7628)
対応エンジン  (現在5600) 
エンジンバージョンの見分け方
別名 KeydropDropper
亜種 KeydropDropper
発見日(米国日付) 91/05/01


Keydropは、メモリ常駐型ウイルスで、マスタブートレコード(MBR)およびブートセクタに感染する。また、このウイルスを「ドロップ」する.COMファイルを通じて繁殖する。この.COMドロッパーファイルは、振る舞いが、このウイルスに似ていると言われており、このウイルスはもちろん、.COMファイルには感染しない。

Keydropウイルスに感染したディスケットを使ってシステムをブートすると、このウイルスは、システムメモリの最上位で、DOSの640K境界以下に常駐するようになり、割り込み12のリターンは移動される。また、このとき、システムのハードディスクのMBRも感染する。感染後は、システムのハードディスクの6Kが不良セクタに入る。

Keydropは、メモリに常駐すると、360Kディスケットが感染システムからアクセスされた場合に、そのディスケットに感染する。高密度のディスケットには感染しない。

Keydropウイルスは、1991年5月にヨーロッパから提出され、確認された。これは、メモリ常駐型ウイルスで、ディスケットのブートセクタ、およびハードディスクのマスタブートセクタ(パーティションテーブル)に感染する。最初に確認されたKeydropのサンプルは、.COMプログラムに含まれており、このブートセクタウイルスは、この.COMプログラムから「ドロップ」された。この.COMドロッパーファイルは、振る舞いが、このウイルスに似ていると言われており、このウイルスはもちろん、.COMファイルには感染しない。Keydropウイルスに感染したディスケットを使ってシステムがブートされると、このウイルスは、それ自体のメモリ常駐型プログラムをシステムメモリの最上位で、DOSの640K境界以下にインストールする。システムメモリと使用可能な空きメモリの合計は、5,120バイト減少する。また、割り込み12のリターンは移動される。このとき、システムのハードディスクのマスタブートセクタも感染する。感染後は、システムのハードディスクの6Kが不良セクタに入る。Keydropは、メモリに常駐すると、360Kディスケットが感染システムからアクセスされた場合に、そのディスケットに感染する。ハイデンシティのディスケットには感染しない。感染ディスケットでは、3,072バイトが不良セクタに入り、そのブートセクタは変更される。元のブートセクタ、および、ブートセクタに収まりきらないウイルスコードは、その不良セクタに格納される。感染ハードディスクでは、6Kが不良セクタに入る。その不良セクタには、元のマスタブートセクタと、ウイルスコードの残りの部分が格納される。 Keydropという名前は、不良セクタに格納されるウイルスコードに含まれる著作権情報"(c) Copyright 1990 Keydrop inc."にちなんで付けられている。Keydropは、ランダムな基準で発動し、そのときに、キーボードバッファから文字を削除することがあり、ユーザはそれを、キーボードからの入力ミスだと勘違いする。このウイルスは、ディスケットおよびシステムのハードディスクに感染した際に、ファイルにダメージを与えることがある。また、不良と記す対象のセクタが使用中であるかどうかをチェックしないので、それらのセクタがプログラムおよびデータファイルの真ん中にあることもある。Keydropの亜種としては、次のものが判明している。

Keydropという名前は、不良セクタに格納されたウイルスコードに含まれる、次の著作権情報にちなんで付けられている。

"(c) Copyright 1990 Keydrop inc."

Keydropは、ランダムな基準で発動し、そのときに、キーボードバッファの文字を削除することがあり、ユーザはそれを、キーボードからの入力ミスだと勘違いする。

このウイルスは、ディスケットおよびシステムのハードディスクに感染した際に、ファイルにダメージを与えることがある。また、不良と記す対象のセクタが使用中であるかどうかをチェックしないので、それらのセクタがプログラムおよびデータファイルの真ん中にあることもある。

システムメモリと使用可能な空きメモリの合計は、5,120バイト減少する。感染ディスケットでは、3,072バイトが不良セクタに入り、そのブートセクタは変更される。元のブートセクタ、および、ブートセクタに収まりきらないウイルスコードは、その不良セクタに格納される。

感染ハードディスクでは、6Kが不良セクタに入る。その不良セクタには、元のMBRと、ウイルスコードの残りの部分が格納される。

MBRやブートセクタに感染するウイルスが、コンピュータに感染する唯一の原因は、感染したフロッピーディスクを使用してブートを試みることである。ディスケットのブートセクタには、そのディスケットがブート可能かどうかを判断し、"Non-system disk or disk error"というメッセージを表示するためのコードがある。このコードが、感染を隠蔽してしまう。この非システムディスクエラーメッセージが表示されるまでには、感染が行われている。ウイルスはいったん発動すると、ハードドライブのMBRに感染し、メモリ常駐型となるおそれがある。その後、ブートが行われるたびに、ウイルスはメモリにロードされて、そのマシンからアクセスしているフロッピーディスクに感染しようとする。