製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:R
ウイルス情報
ウイルス情報

ウイルス名
Ripper
危険度
対応定義ファイル4002 (現在7600)
対応エンジン (現在5600) 
エンジンバージョンの見分け方
別名Jack the Ripper
発見日(米国日付)93/11/01
概要ウイルスの特徴感染症状感染方法駆除方法

セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
10/22Generic Down...
10/22Generic Down...
10/22FakeAV-M.bfr...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7600
 エンジン:5600
 
ウイルス検索
 




Ripperは、暗号化メモリ常駐型ウイルスで、マスタブートレコード(MBR)およびブートセクタに感染する。これは、「ステルス型」ウイルスでもある。MBRおよびブートセクタに感染するウイルスは、ウイルスとして最も成功した種類に入る。この種のウイルスは、作成が非常に容易であり、低レベルでコンピュータを支配することができる。

Ripperは感染すると、システムメモリの最上位に常駐するようになり、ハードディスクのマスタブートレコードに感染する。Ripperは、2セクタ分の長さがある。このウイルスは、元のブートセクタをルートディレクトリの最終セクタに移動して、それ自体のコードをその元のブートセクタと、ルートディレクトリの最終セクタより1つ前のセクタに格納する。

Ripperウイルスは、ディスケットに感染すると、元のブートセクタをルートディレクトリの最終セクタにコピーする。ダブルデンシティの5.25インチディスケットの場合、この最終セクタはセクタ11になる。ハイデンシティの5.25インチディスケットの場合はセクタ17になる。Ripperウイルスコードは、2セクタ分の長さがあり、最初のセクタは、ディスケットの元のブートセクタを上書きし、2番目のセクタは、ディスクのルートディレクトリの最終セクタより1つ前のセクタに書き込まれる。

Ripperは、破壊的なウイルスであり、書き込みバッファ内の語を入れ替えることにより、ドライブに対する1000のディスク書き込みの中から1つの書き込みを破壊する。この破壊活動は、非常にゆっくり行われるので、誰かが破壊に気づくまでに長い期間がかかることがある。

Ripperは、ステルス型ウイルスであり、メモリに常駐する場合は、システムのハードディスク上、およびディスケットのブートセクタ上のウイルスコードの読み取りを阻止することができる。プログラムが、ディスケットのブートセクタ、または、システムのハードディスクのマスタブートセクタを読み取ろうとすると、このウイルスは、元のブートセクタを表示する。そのため、このウイルスの感染を見抜くのは非常に困難である。Ripperウイルスに感染している疑いがある場合には、書き込み保護がされた、明らかに未感染のシステムディスケットを使って、システムをコールドブートしてから、チェックする必要がある。

Ripperウイルスについては、1993年11月にノルウェーから初めて報告があり、その後間もなく英国からの報告があった。また、1994年には、米国のサイトからも、このウイルスに関する多くの報告が寄せられた。ここで分析したサンプルは、1995年4月に発見されたもので、米国で発生したものである。Ripperは、メモリ常駐ステルス型ウイルスで、ディスケットのブートセクタ、およびシステムのハードディスクのマスタブートセクタに感染する、破壊的なウイルスである。感染ディスケットを使ってシステムをブートしたり、ブートしようとしたりすると、そのシステムは感染する。このとき、Ripperウイルスは、システムメモリの最上位で、DOSの640K境界以下に常駐するようになる。DOS CHKDSKプログラムが示すように、システムメモリと使用可能な空きメモリの合計は、2,048バイト減少する。また、このとき、システムのハードディスクのマスタブートセクタがまだ感染していない場合には、そこにも感染する。ディスケットがシステムディスケットの場合、ブートは続行されるが、システムディスケットでない場合、ユーザは、システムディスケットを要求される。システムのハードディスクのマスタブートセクタがRipperウイルスに感染した後に、システムのハードディスクからブートすると、このウイルスはメモリに常駐するようになる。いったんメモリに常駐すると、書き込み保護の設定されていないディスケットがシステムからアクセスされた場合に、そのディスケットに感染する。また、ディスケットに感染すると、元のブートセクタをルートディレクトリの最終セクタにコピーする。ダブルデンシティの5.25インチディスケットの場合、この最終セクタはセクタ11になる。ハイデンシティの5.25インチディスケットの場合はセクタ17になる。Ripperウイルスコードは、2セクタ分の長さがあり、最初のセクタは、ディスケットの元のブートセクタを上書きし、2番目のセクタは、ディスクのルートディレクトリの最終セクタより1つ前のセクタに書き込まれる。Ripperウイルスは、暗号化されているので、ウイルスコード内にテキスト文字列を見つけることはできない。ウイルスコード内には、"FUCK 'EM UP"と"(C)1992 Jack Ripper"の2つのテキスト文字列が暗号化されている。Ripperは、ステルス型ウイルスであり、メモリに常駐する場合は、システムのハードディスク上、およびディスケットのブートセクタ上のウイルスコードの読み取りを阻止することができる。

Ripperは、ほとんどのブートセクタ感染ウイルスと同様の振る舞いをするが、大きな違いとして、元のパーティションセクタのコピーをディスク上のどこにも格納しない。このウイルスには、"(Expletive) 'EM UP" "[C] 1992 Jack Ripper"というメッセージが暗号化されている。DOS CHKDSKプログラムが示すように、システムメモリの合計は、2,048バイト減少する。上位メモリを必要とするプログラムを実行する場合や、ディスクドライブにアクセスする場合には、障害が発生することがある。

MBRやブートセクタに感染するウイルスが、コンピュータに感染する唯一の原因は、感染したフロッピーディスクを使用してブートを試みることである。ディスケットのブートセクタには、そのディスケットがブート可能かどうかを判断し、"Non-system disk or disk error"というメッセージを表示するためのコードがある。このコードが、感染を隠蔽してしまう。システムディスクではないことを告げるこのエラーメッセージが表示されるまでには、感染が行われている。

ウイルスはいったん発動すると、ハードドライブのMBRに感染し、メモリ常駐型となるおそれがある。その後、ブートが行われるたびに、ウイルスはメモリにロードされて、そのマシンからアクセスしているフロッピーディスクに感染しようとする。