ウイルス情報

ウイルス名

Mardi_Bros

危険度
対応定義ファイル 4002 (現在7656)
対応エンジン  (現在5600) 
エンジンバージョンの見分け方
発見日(米国日付) 90/07/01


Mardi Brosは、フロッピーディスクのブートセクタに感染するメモリー常駐型ウイルスである。ハードディスク上のブートセクタおよびマスタブートレコード(MBR)には感染しない。

Mardi Brosウイルスに感染したディスケットを使ってシステムがブートされると、このウイルスはメモリーに常駐するようになる。このウイルスは、メモリーの最上位で、DOSの640K境界以下に常駐し、7,168バイトを使用する。DOS CHKDSKコマンドや、その他の複数のメモリーマッピングユーティリティを使用すると、システムメモリーおよび使用可能な空きメモリーが減少しているのがわかる。

Mardi Brosは、書き込み保護が設定されていないディスケットがシステムからアクセスされた場合に、そのディスケットに感染する。感染ディスケットは、そのボリュームラベルが"Mardi Bros"に変更されるので、簡単に見分けることができる。CHKDSKファイルは、感染ディスケットのボリュームラベル情報を次のように表示する。

"Volume Mardi Bros created ira 0, 1980 12:00a"

ディスケットのブートセクタには、感染してもDOSメッセージが残るが、最後の方に次のフレーズが追加される。

"Sudah ada vaksin"

Mardi Brosが破壊的かどうかは不明であり、繁殖以外は何もしないように思われる。

Mardi Brosを感染ディスケットから除去するには、まず、システムの電源を落とし、書き込み保護が設定されている明らかにクリーンなDOSマスタディスケットを使ってブートし直す。次に、DOS SYSコマンドを使って、感染ディスケットのブートセクタを置換する必要がある。または、電源を落としてブートし直した後に、MDiskを使用することもできる。

Mardi Brosウイルスは、1990年7月にフランスで発見された。このウイルスは、メモリー常駐型であり、フロッピーディスクのブートセクタに感染する。ハードディスクのブートセクタおよびマスタブートセクタには感染しない。Mardi Brosウイルスに感染したディスケットを使ってシステムがブートされると、このウイルスは、それ自体のメモリー常駐型プログラムをメモリーの最上位で、DOSの640K境界以下にインストールし、7,168バイトを使用する。DOS CHKDSKコマンドや、その他の複数のメモリーマッピングユーティリティを使用すると、システムメモリーおよび使用可能な空きメモリーが減少しているのがわかる。Mardi Brosは、書き込み保護が設定されていないディスケットがシステムからアクセスされた場合に、そのディスケットに感染する。感染ディスケットは、そのボリュームラベルが"Mardi Bros"に変更されるので、簡単に見分けることができる。CHKDSKファイルは、感染ディスケットのボリュームラベル情報として"Volume Mardi Bros created ira 0, 1980 12:00a"と表示する。ディスケットのブートセクタには、感染してもDOSメッセージが残るが、最後の方に"Sudah ada vaksin"というフレーズが追加される。Mardi Brosが破壊的かどうかは不明であり、繁殖以外何もしないように思われる。Mardi Brosを感染ディスケットから除去するには、まず、システムの電源を落とし、書き込み保護が設定されている明らかにクリーンなDOSマスタディスケットを使ってブートし直す。次に、DOS SYSコマンドを使って、感染ディスケットのブートセクタを置換する必要がある。または、電源を落としてブートし直した後に、MDiskを使用することもできる。

Mardi Brosウイルスは、1990年7月にフランスで発見された。このウイルスは、メモリー常駐型であり、フロッピーディスクのブートセクタに感染する。ハードディスクのブートセクタおよびマスタブートセクタには感染しない。

Mardi Brosウイルスに感染したディスケットを使ってシステムがブートされると、このウイルスはメモリーに常駐するようになる。このウイルスは、メモリーの最上位で、DOSの640K境界以下に常駐し、7,168バイトを使用する。DOS CHKDSKコマンドや、その他の複数のメモリーマッピングユーティリティを使用すると、システムメモリーおよび使用可能な空きメモリーが減少しているのがわかる。

Mardi Brosは、書き込み保護が設定されていないディスケットがシステムからアクセスされた場合に、そのディスケットに感染する。感染ディスケットは、そのボリュームラベルが"Mardi Bros"に変更されるので、簡単に見分けることができる。CHKDSKファイルは、感染ディスケットのボリュームラベル情報を次のように表示する。

"Volume Mardi Bros created ira 0, 1980 12:00a"

ディスケットのブートセクタには、感染してもDOSメッセージが残るが、最後の方に次のフレーズが追加される。

"Sudah ada vaksin"

Mardi Brosが破壊的かどうかは不明であり、繁殖以外は何もしないように思われる。

Mardi Brosを感染ディスケットから除去するには、まず、システムの電源を落とし、書き込み保護が設定されている明らかにクリーンなDOSマスタディスケットを使ってブートし直す。次に、DOS SYSコマンドを使って、感染ディスケットのブートセクタを置換する必要がある。または、電源を落としてブートし直した後に、MDiskを使用することもできる。

MBRやブートセクタに感染するウイルスが、コンピュータに感染する唯一の原因は、感染したフロッピーディスクを使用してブートを試みることである。ディスケットのブートセクタには、そのディスケットがブート可能かどうかを判断し、"Non-system disk or disk error"というメッセージを表示するためのコードがある。このコードが、感染を隠蔽してしまう。この非システムディスクエラーメッセージが表示されるまでには、感染が行われている。ウイルスはいったん発動すると、ハードドライブのMBRに感染し、メモリーに常駐するおそれがある。その後、ブートが行われるたびに、ウイルスはメモリーにロードされて、そのマシンからアクセスしているフロッピーディスクに感染しようとする。