AIDS(MS-DOSコンピュータウイルス)
MS-DOS時代のファイル感染型ウイルスで、.COMと.EXEを標的にし、メモリ常駐して実行ファイルのヘッダーを書き換え、破壊的なメッセージを表示する。復旧にはバックアップの戻しや再インストールが必要。
概要
AIDSウイルスは、実行ファイルに自身を付加してMS-DOSシステムに感染した旧式のコンピュータウイルスである。一般的なDOSのプログラム形式である.COMと.EXEを標的にする。感染したプログラムがMS-DOS上で実行されると、ウイルスはコンピュータのメモリに常駐し、その後に実行される他の実行ファイルを改変して広がる。簡潔な定義はウイルス、対象となったプラットフォームについてはMS-DOSを参照。
画像ギャラリー
1 画像動作と技術的特徴
AIDSウイルスはファイル感染型として動作する。いったんメモリに常駐すると(メモリ)、実行時に追加のプログラムを見つけて感染させる。特に感染した実行ファイルの先頭部分を上書きし、ディスク上では最初の13,952バイトに及ぶとされる。このため、その領域にある元のコードやデータは破壊される。ウイルスはファイルヘッダーやコードの実際のバイト列を書き換えるため、破損部分は通常、感染ファイルそのものからは復元できない。そのため除去には、しばしば正常なバックアップか置き換え用のコピーが必要になる。
- 標的: .COM および .EXE のプログラムファイル。
- 常駐性: システムの稼働中にメモリ常駐になる。
- ペイロード: 実行ファイルの先頭バイトを上書きし、メッセージを表示したのちシステムを停止させる。
- 復旧性: 上書きされた部分は、通常バックアップなしには回復できない。
名称、発見と歴史的背景
このウイルスは、ファイル感染型ウイルスがパーソナルコンピュータで一般的だった1980年代から1990年代初頭にかけてのMS-DOS時代に現れた。非公式な呼び名もいくつかあり、欧州の資料では「Hahaha virus」、IBMの文書では「Taunt virus」という語が用いられた。正確な作者や初期の拡散経路については公開資料で広く整理されているわけではないが、初期のDOSウイルスと同様、感染したソフトウェアやフロッピーディスク、共有プログラム集のやり取りを通じて広がることが多かった。
影響、検出と除去
感染した機械では、ウイルスが画面の大部分を占める大きなメッセージを表示し、その後の操作を停止させることがあり、駆除されるか再起動するまでシステムは使用不能になる。感染が実行ファイルの重要な部分を上書きするため、単純にウイルスコードだけを除去する標準的な駆除処理では、元のバイト列が破壊されたファイルには効果がない。歴史的には、シグネチャベースのスキャナや整合性チェックによって存在が検出された。
- さらなる拡散を防ぐため、機器を隔離する(リムーバブルメディアの使用を避ける)。
- MS-DOSのファイル感染型を識別できる、最新のアンチウイルスでスキャンする。
- 正常性が確認されたバックアップから破損したプログラムを復元するか、元のメディアから再インストールする。疑わしいコピーは実行しない。
- 深刻な場合は、OSとアプリケーションを再フォーマットして再インストールする必要がある。
予防と遺産
MS-DOS期およびその後に標準となった予防策には、検証済みバックアップの維持、配布媒体に書き込み禁止または読み取り専用を用いること、未知のプログラムを実行するときの注意、マルウェア対策ツールを最新に保つことが含まれる。AIDSウイルスや類似のファイル感染型は、初期のアンチウイルス研究と、実行ファイルの整合性に関する利用者の意識形成に影響を与えた。歴史的報告や技術的説明を調べる現代の読者は、オペレーティングシステムに関する一般資料、アーカイブされた技術解析、そしてかつてIBMや他のセキュリティ組織が提供したようなベンダーの助言を参照するとよい。地域的な言及は当時の文献にも見られ、たとえば欧州の報告ではヨーロッパに関連づけられた別名が挙げられていた。
古いウイルスに関する情報は技術速報や利用者の記録に散在していることが多いため、歴史的なマルウェア調査やアーカイブ済みのセキュリティ勧告でさらに読むことが勧められる。実行ファイル感染の手法やメモリ常駐型ウイルスの一般的な解説は、ウイルスの概要やMS-DOSのプラットフォーム解説にある入門資料からもたどれる。
関連項目
著者
AlegsaOnline.com AIDS(MS-DOSコンピュータウイルス) Leandro Alegsa
URL: https://ja.alegsaonline.com/art/1533
出典
- mcafee.com : "AIDS" · web.archive.org