Re: 調査報告書1号(長文)



[ このメッセージへの返事 ] [ 返事を書く ] [ home.html ]



投稿者: とわ @ ppp175062.aix.or.jp on 97/8/06 23:08:11

In Reply to: かなり深刻・・・(;;)

posted by ひろこ @ hotei.mil.me.musashi-tech.ac.jp on 97/8/06 20:59:38


> どなたか
> システム感染型ウィルス
> ジャパン_ハロウィン
> についての情報をお持ちの方は教えてください。おねがいします。

 非常に適当ですが、調査報告

−−トレンドマイクロ社「ウイルスバスター(3.1)」−−
−−−−−−−−−資料ファイルより引用−−−−−−−−−

[Japan_Halloween]
名 称:Japan_Halloween 感染対象:ブートセクタ(2HDのFDのみ)
種 別:常駐システム感染型 感染サイズ: -
発 病:10/30〜11/01 被害:システムのハングアップ:暴走
別 名:DBmh-14
(NEC PC-9801及び互換機にのみ感染)

特徴

NEC PC-9801及び互換機上で動作し、セクタサイズ1Kバイトの2HD
(NECのMS-DOS標準2HD)のブートセクタに感染。メインメモリの
IO.SYSエリアの空きエリアに常駐する。ハードディスク及び2DD
など上記以外のメディアには感染しない。
10月30日〜11月1日の期間に起動後一定回数ディスクBIOS
が呼び出されると発病する。
画面に「It's Halloween. Trick or Treat!」と表示しハング
アップする。表示された文字は色が変化する。システム及びファ
イルの破壊は行なわない。

−−−−−−−−−−−−引用ここまで−−−−−−−−−−−

 一般的にシステム感染型のウイルスは、FDを媒介にして感染
するため、ファイル感染型及びマクロウィルスに比べて感染力は
低いです。

# 感染したFDでFDBOOTをかけると、以後アクセスした
#FDに感染するということです。

 駆除方法ですが、この手のウィルスはウィルスの入っていない
起動FDで起動し、感染FDの必要なファイルをHDなりにコピー
してから、感染FDをフォーマットしてしまえばOKです。

# ただし、ウィルスの種類によってはフォーマットコマンドで
#破壊ルーチンを起動する輩もあるので注意。

# Japan_Halloweenは大丈夫なはずですが。


 すでに発病していて手がつけられない場合、これらウィルスは
PC内のタイマーで作動することがほとんどですから、PC内の
日時を変えてしまえばとりあえずおとなしくなります。


 感染FDを調べるのは手動でやると効率も精度にも問題がある
ため、市販のウィルスチェッカーの使用をおすすめします。

# 引用した「ウイルスバスター」はデータ載ってるんだから、
#当然駆除できるはずです。


 また、ウィルスに感染した場合、下記の機関に届け出る努力規
定があります。届け出を出さなくても処罰されることは無いですが。
−−−−−−−−−−−−−−−−−−−−−−−−−−−
  情報処理振興事業協会(IPA)
 http://www.ipa.go.jp/index-j.html(様式があります)
−−−−−−−−−−−−−−−−−−−−−−−−−−−


・・・なにか順序がバラバラなような気もしないでも無いですが、
以上です。ご健闘をお祈りします。


以上、人事とは思えなかった「とわ」より
<H7>自分が職場のシステム管理担当の時にウィルス感染しちゃって、</H7>
<H7>上からは「おまえが感染源」扱いされるし・・ぶつぶつぶつ・・・</H7>