本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。

Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。

Virus.DOS.Frodo

検出日 11/20/2003
クラス Virus
プラットフォーム DOS
説明

これは、4096(1000h)バイトのメモリ常駐ステルスウイルスです。実行時または終了時にファイルに感染します。データファイルの汚染も可能です。ウイルスは、感染ファイルのサイズが正確に4096バイト増加するようにコピーを完了します(「Eddie.2000」を参照)。感染ファイルでは、このウイルスは最終更新日時を100年増加させます。 COMフ​​ァイルでは、最初の6バイトが変更され、EXEファイルではヘッダーが変更されます。

ファイルを入力すると、 "Frodo"は "Yankee"アルゴリズムを使用して受信する割り込みベクトル13hと21hの真の値を使用します。これに加えて、 "Frodo"はINT 21hハンドラの最初の5バイトを変更します。

そのTSRコピーを作成するとき、ウイルスは、COMMAND.COMファイルに感染する結果のトップアドレスを占有します。 「Frodo」は、システム内の最初のMCB所有者のアドレスと一致するMCB内の所有者アドレスを設定し、DOSなどの方法でマスクします。その後、ウイルスのコピーが、より低いアドレスの方向にメモリを移動し、新しいメモリ領域を割り当て、古いメモリ領域をクリアする可能性があります。

真のステルスウィルス:INT 21hを傍受し、20(!)の機能(FindFirst、FindNext、Read、Write、Lseek、Open、Create、Close、Execなど)を処理し、効果的にマスクします。 DOSが感染ファイルにアクセスしようとすると、ウイルスは元の長さと最後の変更時刻を置き換えます。ファイルをメモリに読み込んだり読み込んだりすると、そのファイルが感染していないかのように見えるようにディスクから読み込まれた情報が変更されます。感染ファイルを書き込むためにウイルスを開くと、ウイルスはそれを治療します(ファイルへの書き込みによってウイルスの一部が削除される可能性があるため)。

このウイルスは毎年9月22日から12月31日にかけて発生します。ウイルスコードの対応する領域が削除されるため、ウイルスがどのように動作するかはわかりません。このウイルスはフロッピーディスクのブートセクタとハードディスクのMBRセクタを削除し、そこに独自のコードを書き込むものと推定されます。このようなディスクからリブートすると、画面には "FRODO LIVES!"というメッセージが表示されます(疑似グラフィックシンボルを使用)。大文字で


オリジナルへのリンク