ウイルス情報

ウイルス名

LZRQ

危険度
対応定義ファイル 4002 (現在7652)
対応エンジン  (現在5600) 
エンジンバージョンの見分け方
別名 Stoned.Lzr, Whit
発見日(米国日付) 92/10/01


LZRQは、メモリ常駐型ウイルスで、ディスケットのブートセクタ、およびシステムハードディスクのMBRに感染する。

LZRQに感染したディスケットを使って初めてシステムがブートされたときに、このウイルスは、システムメモリの最上位で、DOSの640K境界以下に常駐するようになり、割り込み12のリターンを移動する。また、このとき、システムのハードディスクのMBRに感染する。

LZRQウイルスは、いったんメモリに常駐すると、書き込み保護が設定されていないディスケットが感染システムからアクセスされた場合、そのディスケットのブートセクタに感染する。

360Kの5.25インチディスケットの場合、このウイルスは、ウイルスコードのセクタの1つをサイド1、シリンダ39、セクタ8に書き込み、元のブートセクタをサイド1、シリンダ39、セクタ9にコピーする。次に、サイド0、シリンダ0、セクタ1にある元のブートセクタを上書きする。

1.2Mの5.25インチディスケットの場合は、ウイルスコードのセクタの1つをサイド1、シリンダ79、セクタ14に書き込み、元のブートセクタをサイド1、シリンダ79、セクタ15にコピーする。次に、サイド0、シリンダ0、セクタ1にある元のブートセクタを上書きする。

システムハードディスクの場合、ウイルスコードのセクタの1つをサイド0、シリンダ0、セクタ2に書き込み、元のMBRをサイド0、シリンダ0、セクタ3にコピーする。次に、サイド0、シリンダ0、セクタ1にあるMBRを上書きする。

LZRQウイルスは、1992年10月に確認された。これは、メモリ常駐型ウイルスで、ディスケットのブートセクタ、およびシステムのハードディスクのマスタブートセクタ(パーティションテーブル)に感染する。Den Zukウイルスと関係があると思われる。LZRQに感染したディスケットを使って初めてシステムがブートされたときに、このウイルスは、それ自体のメモリ常駐型プログラムをシステムメモリの最上位で、DOSの640K境界以下にインストールし、割り込み12のリターンを移動する。DOS CHKDSKプログラムが示すように、システムメモリと使用可能な空きメモリの合計は、2,048バイト減少する。また、このとき、システムハードディスクのマスタブートセクタがまだ感染していない場合は、そこにも感染する。LZRQウイルスは、いったんメモリに常駐すると、書き込み保護が設定されていないディスケットが感染システムからアクセスされた場合、そのディスケットのブートセクタに感染する。360Kの5.25インチディスケットでは、このウイルスは、ウイルスコードのセクタの1つをサイド1、シリンダ39、セクタ8に書き込み、元のブートセクタをサイド1、シリンダ39、セクタ9にコピーする。次に、サイド0、シリンダ0、セクタ1にある元のブートセクタを上書きする。1.2Mの5.25インチディスケットでは、ウイルスコードのセクタの1つをサイド1、シリンダ79、セクタ14に書き込み、元のブートセクタをサイド1、シリンダ79、セクタ15にコピーする。次に、サイド0、シリンダ0、セクタ1にある元のブートセクタを上書きする。システムのハードディスクでは、ウイルスコードのセクタの1つをサイド0、シリンダ0、セクタ2に書き込み、元のマスタブートセクタをサイド0、シリンダ0、セクタ3にコピーする。次に、サイド0、シリンダ0、セクタ1にあるマスタブートセクタを上書きする。ウイルスコードに見られるテキスト文字列は、"LZRQ"のみであり、この文字列は、感染したブートセクタでもマスタブートセクタでもなく、ウイルスコードの残りのセクタに格納される。

ウイルスコードに見られるテキスト文字列は、"LZRQ"のみであり、この文字列は、感染したブートセクタではなく、ウイルスコードの残りのセクタに格納される。

システムメモリと使用可能な空きメモリの合計は、2,048バイト減少する。

MBRやブートセクタに感染するウイルスが、コンピュータに感染する唯一の原因は、感染したフロッピーディスクを使用してブートを試みることである。ディスケットのブートセクタには、そのディスケットがブート可能かどうかを判断し、"Non-system disk or disk error"というメッセージを表示するためのコードがある。このコードが、感染を隠蔽してしまう。この非システムディスクエラーメッセージが表示されるまでには、感染が行われている。ウイルスはいったん発動すると、ハードドライブのMBRに感染し、メモリ常駐型となるおそれがある。その後、ブートが行われるたびに、ウイルスはメモリにロードされて、そのマシンからアクセスしているフロッピーディスクに感染しようとする。