DEFO.A-P
Defo
DOS
- マルウェアタイプ: トロイの木馬型
- 破壊活動の有無: はい
- 暗号化: なし
- 感染報告の有無: なし
概要
これは、フロッピーディスクやハードディスクのシステム領域に感染するシステム感染型ウイルスです。フロッピーディスクの場合はブートセクタ、ハードディスクの場合はMBR(マスターブートレコード)と呼ばれるマシン起動時に読みこまれる部分に感染します。
詳細
実行されると、ウイルスはハイメモリ領域に 8KBの空白を作成し、自身のウイルスコードをメモリにコピーします。
ウイルスは、サービス "INT 13" をフックし、フロッピーディスクへの感染を可能にします。そしてアクセスされたとき、自身の感染を隠蔽します。
ウイルスは、システムのプロセスに常駐している場合、 DOSディスク操作サービスを利用し、フロッピーディスクへの感染を行います。
ウイルスは、ウイルスは、ハードディスクのドライブCのMBRに感染します。
ウイルスは、フロッピーディスクのブートセクタを自身のウイルスコードに置き換えて感染します。
ウイルスは、感染活動のために8セクタ使用します。ウイルスは、ハードディスクのドライブCで、元のMBRに上書きし、「シリンダ0、ヘッダ0、セクタ10」から「シリンダ0、ヘッダ0、セクタ17」まで、ほかのウイルスを隠します。このウイルスは、「シリンダ0、ヘッダ0、セクタ17」にある元のMBRに加えて、合計8セクタを占有します。
フロッピーディスク上で、ウイルスは、パラメータのテーブルベースを変更し、非標準形式で追加トラックを定義します。 これは、元ののブートセクタとともに、残りのウイルスコードを記録するためです。Iただし、これらのセクタは、古い読み込み方法ではアクセスすることができません。
ウイルスは、以下の文字列を自身に含んでいます。
Runtime error 504D:5658
対応方法
手順 1
Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
Master Boot Record(MBR)を修復します。
Master Boot Record(MBR)の修復:
- Windows のインストールCDを使用して、コンピュータを再起動します。
- [セットアップへようこそ] 画面で、修復の R キーを押します。
(註: Windows2000 の場合、Rキーを入力後 C キーを入力し、[修復オプション]から[回復コンソール]を選択します。) - 修復する Windows がインストールされているドライブを選択します(通常は "1" を選択します)。.
- 管理者のパスワードを入力し、Enter キーを押します。管理者パスワードがない場合は、何も入力せずに Enter キーを押します。
- コマンドプロンプトに、上記で確認したマルウェアが検出されたドライブ名を入力します。
- 以下のコマンドを入力し、Enter キーを押します。
fixmbr <感染したドライブ>
※"FIXMBR" と "<感染したドライブ>" の間に半角スペースを入れてください。
※"<感染したドライブ>" とは、このマルウェアが感染したブータブル・ドライブのことです。ドライブが特定できない場合、プライマリ・ブート・ドライブにあるマスター・ブート・レコードが上書きされている可能性があります。 - コマンドプロンプトに EXIT と入力し、コンピュータを再起動してください。
ご利用はいかがでしたか? アンケートにご協力ください