[01-07] 名  称:01-07 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:639バイト 詳  細:感染方法: 1)システムの日付が1月1日〜6日であれば発病し、 " Happy New Year " と画面に表示した後システムがハングアップする。 それ以外の日であれば、メモリに常駐しているかチェッ クする。常駐していなければ常駐する。 2)常駐後、オリジナルファイルを実行する。 3)メモリに常駐し、未感染のファイルを実行する度に感染 する。 また、.EXEファイルには感染しない。 破壊: 1月1日〜6日に発病してシステムをハングアップする。 使用割り込み命令:INT 21h 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合、プログラム実行時に"書き込 み不可"という意味のエラーメッセージを表示する。 [101] 名  称:101 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:2560バイト 発祥地:不明 発見日:不明 詳  細:カレントドライブの.COM及び.EXEファイルに感 染する。 システムの日付が9の倍数日(9日、18日、27日)であれば 発病し、画面上の文字を落下させる。それ以外の日であれ ばブートセクタを書き換えて他のドライブにも感染する。 感染ファイルには "VIRUS 101" という文字が含まれる。 [1024] 名  称:1024 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:1024Byte 詳  細:感染ファイルを実行した時、COMMAND.COMに感染 しメモリに常駐する。 常駐後は起動されたファイルに感染する。 すでに感染されているファイルには、感染行動をおこさな い。 感染する時、オリジナルファイルのタイムスタンプを変更 しない。 備  考: [1024-1] 名  称:1024-1 分  類:ファイル感染型 対  象:.COM, .EXE ウイルスサイズ:1024bytes 詳  細:1)感染ファイルを実行した時、COMMAND.COMに 感染しメモリに常駐する。2)常駐後は起動されたファイル に感染する。そのファイルが既に感染しているかを確認し すでに感染されているファイルには、感染しない。 [104] 名  称:104 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:400バイト 発祥地:不明 発見日:不明 詳  細:メモリ上位に常駐後、オリジナルルーチンに戻 る。 未感染の.COMまたは.EXEファイルが実行される度に感染す る。 感染、増殖以外の破壊活動はなし。 使用割り込み命令:INT 21h 備  考:メディア等にライトプロテクト(書き込み禁止 処理)が施されている場合、 プログラム実行時に"書き込み不可"という意味のエラーメ ッセージを表示する。 [1067] 名  称:1067 別  名:HEADCRASH, HEADCRASH.1067 分  類:ファイル感染型、直接感染型 対  象:.COMウイルスサイズ:1067 bytes 詳  細:これは直接感染型ウイルスで、.COMファイルに 感染する。Int 21Hにフックして、TSRのようにメモリに常 駐し、奇数の日付(1st , 3rd ,5th...)に割り込みをかけ る。しかし、これは感染するためではなく、メモリを暗号 化するためである。 症状: ウイルス内部でランダムに設定された間隔で“Headcrash Industries celebrate 001F hex” というメッセージを表 示する。 [1241] 名  称:1241 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:1560〜1570バイト 発祥地:不明 発見日:不明 詳  細:システムの日付が1990年11月13日以降であれば 発病し、以下のメッセージを表示しシステムを再起動す る。 "St Cruz、 Dili、 1991 Nov 12. Lusitania Expresso、 Freedom for East Timor !" システムの日付が1990年11月13日以前で、未感染ならばメ モリ上位に常駐し、オリジナルルーチンに戻る。未感染の. COMまたは.EXEファイルが実行される度に感染する。 使用割り込み命令:INT 21h 破壊:感染、増殖以外の活動はなし。 [1308] 名  称:1308 別  名:DISKSPOILER 分  類:ファイル感染型 対  象: .COM ウイルスサイズ:1308バイト 発祥地:ロシア 発見日:不明 詳  細:このウイルスはスタンダードな直接感染型ウイ ルスである。感染したファイルを実行すると、カレントデ ィレクトリの.COMファイルを探しウイルスコードをコピ ーする。一度の実行時に感染できるファイルは一つだけで ある。 ステルス行動はないが、感染時にコードを暗号化する。 備  考:- フロッピーディスク中のファイルに感染する と、フロッピーディスクのクラスタが失われる。 [1339] 名  称:1339 別  名:VACSINA 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:1339バイト(COM),1471バイト(EXE) 発祥地:不明 発見日:不明 詳  細:感染方法: 感染ファイルには"VACSINA"という文字列が含まれ、使用可 能なフリ−メモリが減少しているのが確認できる。 常駐後DOSを監視し、未感染ファイルが実行される度に感染 する。 破壊:感染、増殖以外の活動はないものと思われる。 備  考:このウイルスには多数の亜種がある。 感染対象のファイルが既に亜種ウイルス(自分以外)に感 染している場合は、下記の方法により、対象ファイルから 亜種を取り除いて自分が感染する。 このグループには、各レベルのウイルスが存在する。 ウイルスは、他の下位レベル10hのVacinaウイルスを取り除 いて感染することができる。また、レベル10h以下のウイル スについても感染できる。 [163] 名  称:163 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:163バイト 発祥地:不明 発見日:不明 詳  細:感染方法: カレントディレクトリ内の.COMファイルに感染する。 カレントディレクトリに.COMファイルがない場合もしくは すでに感染している場合は、オリジナルプログラムをその まま実行する。 備  考:(1)オリジナルファイルの最初の163バイトをフ ァイルの最後に移動する。 (2)163バイトより小さいファイルは、最初の163バイトが ウイルスコードで上書きされるためデータが破壊される。 (3)同一ファイルには再感染しない。 (4)感染ファイルの日付/時刻のタイムスタンプは更新され ない。 [1661] 名  称:1661 別  名:TURKEY 1661 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:1661byte 発祥地:不明 発見日:06/17 詳  細:感染方法: メモリ常駐型で暗号化されたウイルスであり、.COMファイ ルだけに感染する。感染に関しては暗号化されたウイルス コードをオリジナルファイルの最後に付ける。一旦、ウイ ルスファイルを実行してメモリに常駐すると、アクセスし た.COMファイルに感染する。 使用割り込み命令:INT21 駆除:不可。ファイルを削除してバックアップから復元す るほかない。 備  考:発見方法:ファイルサイズが1661バイト増え る。 [1701/1704] 名  称:1701/1704 別  名:1701 MUTATION, 1704 FORMAT, 1704-B, BLACKJACK, CASCADE, CASCADE-1621, CASCADE-1706, FALL, FALLING LETTERS, RAINDROP VIRUS 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:1701 or 1704バイト 発祥地:ドイツ 発見日:1987/10 詳  細:−原型は、”トロイの木馬”型プログラムであ った。 −常駐暗号化型で、.COMファイルに感染する。1987年後 半、常駐.COMファイル感染型に書き換えられる。 −感染ファイルを実行するとメモリーに常駐する。常駐後 に実行し.COMファイルに感染する。常駐後、全ての文字を スクリーンの底辺に滝のように落とし積み上げる。 −オリジナルはウィルスサイズが1、701byteで、純正のIB M−PCとそのコンパチ機両方に感染する。しかし、変種 はオリジナルよりサイズが3byte大きく、純正IBM−PC には感染しない。他の面ではオリジナルと同じである。 −ウィルスの解析と発見ができないように暗号化アルゴリ ズムを使う。マシンをチェックして、モニターのタイプ、 クロックカードの有無、現在の時間、季節など組み込んだ 高度なランダムアルゴリズムをもとにした活動メカニズム を持つ。 −変種:  1701 Mutation: 検索を回避するために、2byte変更して ある。 発見日: 1991年10月  1701ーB : 1701と同じだが、毎年の秋に活動する点が異 なる。  1701-Yap : オリジナルのCascadeウィルスから派生。こ の変種は.COMファイルに1、701byteを追加して感染する。メ モリにサイズ2、048byteのTSRとして常駐し、割込み番号21h にフックをかける。アンチ・ウィルス・ユーティリティに よる検索を回避するために、暗号化メカニズムが少し変更 してある。 発祥地: 不明 発見日: 1992年1 0月  1704 Format : Cascadeウィルスと同じだが、ウィルスが 発病するとディスクがフォーマットされる。1992年を 除く毎年10、11、12月に発病する。 発祥地: 不明  発見日: 1989年 1月  1704-C : Cascade-Bと同じだが、毎年12月にウィルス が活動する点が異なる。  1704ーD : 1704と同じだが、機種選別ができないので純 正IBMマシンのみ感染。  174Y : Cascade 1704と同じであるが、ウィルスの1 byteが変更されている点が異なる。  Cascade-1621 : オリジナルのCascadeウィルスから派 生。この変種は.COMファイルに1、621byteを追加して感染す る。メモリにサイズ1、936byteのTSRとして常駐し、割込み 番号21hにフックをかける。システム感染後に、バッチ・フ ァイルを実行しようとすると、"Insufficientdisk space" というメッセージが表示され、バッチ・ファイルは実行さ れない。 発祥地: 不明 発見日: 1992年6 Cascade-1706 : オリジナルのCascadeウィルスから派 生。この変種は.COMファイルの最後に1、706byteを追加し て感染する。メモリにサ イズ2、064byteのTSRとして常駐し、割込み番号1Ch、 21hに フックをかける。 発祥地: 不明 発見日: 1992年4 月  Cascade-B: Cascade と同じだが、文字落下は起こさず、 代わりに常駐後に不規則なリブートを掛ける。  Cunning: Cascade から派生。メロディーを奏でる点が 異なる。 [1720] 名  称:1720 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:1723バイト 発祥地:不明 発見日:不明 詳  細:感染方法: メモリに常駐していなければ上位メモリに常駐する。 次にオリジナルルーチンに戻る。 .COMファイルが実行される度に感染する。 使用割り込み命令:INT 21h、INT 24h 備  考: [17690] 名  称:17690 分  類:ファイル感染型 対  象:.EXE ウイルスサイズ:17690バイト 発祥地:不明 発見日:不明 詳  細:1)感染率は10パーセント。 ドライブA:の.EXEファイルを探し、そのファイルと同じ 名前で.COMファイルを作成する。 感染する場合、この新しく作られた.COMファイルがウイ ルス本体である。2)感染しない場合、オリジナルプロ グラムを実行する。 異常な動作が起こらないので、ユーザはウイルス感染に 気付かない。 備  考: [17-768] 名  称:17-768 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:768バイト 発祥地:不明 発見日:不明 詳  細:November-17thウイルスの変種。 ファイル感染型(.COM及び59920バイト未満の.EXEファイル に感染)。 増加サイズ:ファイルは768(300h)バイト増加し、フリーメ モリが800(320h)バイト減少する。 カレントディスクのセクタ1から順にセクタ8までを破壊す る。 11月17日ウイルスに感染したプログラムが実行されると、 システムメモリ上位の、640K DOS 境界下に常駐する。 使用割り込み命令:INT 09h、 INT 21h 備  考:November-17thウイルスの発祥地は不明である。 このウイルスは1992年1月に発見され、以後イタリアのロ ーマで1991年12月に大流行した。 メモリ常駐型で、COMMAND.COMを含む.COMと.EXEファイルに 感染する。 [1800] 名  称:1800 別  名:BULGARIAN VIRUS, DARK AVENGER, SOFIA VIRUS 分  類:ファイル感染型 対  象:.COM;.EXE;.OVL ウイルスサイズ:約1800バイト 発祥地:不明 発見日:不明 詳  細:感染ファイルの増加サイズは約1800バイトで (.EXEファイルの場合、ファイルサイズは16の倍数となる )、使用可能なフリ−メモリが減少しているのが確認でき る。 感染ファイルには、 "Eddie lives...somewhere in time!"、"Diana P." "This program was written in the city of Sofia (C) 1988-89 Dark Avenger" という文字列が含まれる。 破壊:ウイルスはディスクのブートセクタに侵入する。 ディスクから起動されたプログラムの数をカウントし、16 プログラムごとにディスクのランダムクラスタをウイルス コードの一部で上書きする。クラスタ数はブートセクタ内 に保存される。 次にブートセクタを書き換え、ディスクを上書きする。 [1963] 名  称:1963 別  名:NECROPOLIS.1963 分  類:ファイル感染型 対  象:.COM;.EXE 詳  細: -感染方法 21Hの割り込み命令を使用 し、ウイルスを起動する。メモリに常駐し、アクセスした ファイルに感染する。 ウイルスモジュールはCOMファイ ルのHeader、EXEファイルの HeaderとProgram Bodyの間に書 き込む。 -損害 上書きタイプウイルスなので、オリジナル データが破壊され駆除できなくなる。 備  考:そのファイルを削除しオリジナルファイルを使 用してください。 [203] 名  称:203 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:203バイト 発祥地:不明 発見日:不明 詳  細:カレントディレクトリ内の未感染.COMファイル を探し出して1つずつ感染する。 感染、増殖以外の活動はなし。 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合でも、"書き込み不可"という 意味のエラーメッセージを表示する。 [2048-2051.EXE] 名  称:2048-2051.EXE 別  名:VANITAS 分  類:ファイル感染型 対  象:.EXE ウイルスサイズ:2040 bytes 〜 2051 bytes発祥地:不明 発見日:1997/07 詳  細:感染方法: 1)感染ファイルを実行すると、メモリに常駐していなけれ ば常駐する。2)常駐後、ホストプログラムを実行するため 、ユーザは感染に気付くことは無い。 3)メモリに常駐し、未感染のファイルが実行される度に感 染する。 このウイルスは32bitPEタイプを含む.EXEファイルに感染す ることができる。また、CドライブのルートとWindowsディレ クトリの中を探して COMMAND.COMファイルにも感染する。 症状: - DOS上で3月27に感染ファイルを実行すると、緑色の矢印 のような幾何学模様を表示する。この矢印はまるで万華鏡の ように変化し、だんだん大きくなる。ユーザーがCTRLキーと る。 - ただし、このときウイルスによってディスプレイのモ ードがグラフィックモードに変更されている。これは手動で テキストモードにもどすより他ない。 - 感染したファイルは2040〜2051バイト増加する。 備  考:このウイルスは感染ごとにコードを変化させる ポリモフィックタイプである。 [205] 名  称:205 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:205バイト 発祥地:不明 発見日:不明 詳  細:感染方法: 1)カレントディレクトリ内の.COMファイルを探し出す。 2)既に205ウイルスに感染していれば、他の未感染の.COM ファイルを探す。 3)同ディレクトリ内の未感染.COMファイルに次々と感染し ていく。 4)その後、オリジナルプログラムを実行する。 識別方法:感染ファイルは205バイト増加する。 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合、プログラム実行時に"書き込 み不可"という意味のエラーメッセージを表示する。 [2100-1] 名  称:2100-1 別  名:DARK_AVENGER.2100.SI.A、 V2100、 2100 分  類:ファイル感染型 ウイルスサイズ:N/A 発祥地:不明 発見日:不明 詳  細:割り込み: INT 13h、INT 21h 感染方法: 感染ファイルを実行すると、ウイルスはメモリ にロードされます。ウイルスがメモリ常駐している間は、 アクセスしたり実行したファイルのほとんどに再感染し、 感染したファイルのサイズを2100バイト増加します。感染 ファイルは、ファイルサイズが2100バイト増加し ていますが、その改変はステルス機能によって隠されてい ます。 ダメージ: ファイル破壊を起こします。 注  意: ウイルスの常駐時は、感染ファイルのファイル サイズの増加を隠します。 備  考: [2136] 名  称:2136 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:2136バイト 発祥地:不明 発見日:不明 詳  細:感染方法: 1)ウイルスがメモリに常駐していなければ常駐する。 2)常駐後、オリジナルプログラムを実行する。 3)メモリに常駐し、未感染のファイルが実行される度に感 染する。 識別方法:感染ファイルは2136バイト増加する。 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合でも、プログラム実行時に"書 き込み不可"という意味のエラーメッセージを表示しない。 [2559] 名  称:2559 別  名:YAUNCH、 WENCH 分  類:ファイル感染型 対  象:.EXE ウイルスサイズ:2559バイト 発祥地:不明 発見日:1991/06 詳  細:− 感染方法:カレントディレクトリ内の未感 染ファイルに感染する。カレントディレクトリに適当なフ ァイルが無い場合はB:、C:ドライブのファイルを探す。 − 感染ファイルは実行不可になることがある。ひどい場 合はシステムハングを引き起こす。 − ウイルスコード内に以下の文字列が暗号化されて含ま れている: 'hcnuaY Wench' − その他破壊行動などはないものと思われる。 備  考: [2560] 名  称:2560 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:2560バイト 発祥地:不明 発見日:不明 詳  細:ウイルスがメモリ内に常駐していなければ、上 位メモリに常駐する。 常駐後、オリジナルルーチンに戻る。 感染方法:未感染の.COMまたは.EXEファイルが実行される 度に感染する。 使用割り込み命令:INT 21h、INT 24h 備  考: [2570] 名  称:2570 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:2570バイト 発祥地:不明 発見日:不明 詳  細:カレントディレクトリ内の.COMファイルを探 す。 2570ウイルスに感染していれば、他の未感染の.COMファイ ルを探し出して1つずつ感染する。 発病すると以下のようなメッセージを表示する。 "a)Cycle sluts from hell..b)Virus Mania IV..c) 2 Live Crew is fucking cool.. d) Like .Commentator I、 HIP-HOP sucks.. e) dr. Ruth is a first-class lady!.. f) Don’t be a wimp、 Be dead!.." その後、オリジナルプログラムを実行する。 使用割り込み命令:INT 21h 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合、"書き込み不可"という意味 のエラーメッセージを表示する。 [2623] 名  称:2623 別  名:UDDY, UDDY.2617.A, V2623 分  類:ファイル感染型 対  象:.EXE ウイルスサイズ:2617〜2623バイト 発祥地:米国 発見日:1996/04 詳  細:− メモリに常駐していなければメモリ上位に 常駐し、オリジナルプログラムを実行する。 − 未感染ファイルを実行する度に感染する。 − 発病日以降に感染ファイルを実行するとHDを「 UDDY」という文字列で部分的に上書きし、「UDDY」と画面 上に表示してマシンをハングアップさせる。 備  考:− パターン167以前使用時にN88-BASIC内の「 Phone.EXE」でこのウイルスの誤警告あり。 [2881] 名  称:2881 別  名:YANKEE DOODLE VIRUS 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:2881バイト 詳  細:感染ファイルは約2881バイト増加し、フリーの メインメモリは2864バイト減少する。感染した.COMファイ ルの最後には、7A4Fh及び2chの値を含むワードがある。こ れらのワードは、Vascina等の他のウイルスでもウイルス感 染を示す目印として使用される。一定の条件が整うと「ア ルプス一万尺」を鳴らす。 破壊:Ping-Pongウイルスを改変する:メモリ中のPing- Pongウイルスを改変する機能を持つ。2バイトとジャンプ命 令1個を変更し、サブルーチンを1つ追加する。非常に面白 いことに、Ping-Pongウイルスは改変されても動作する。一 旦リブートした後(全てのディスクにリブート回数のカウン トが書き込まれる)、255回リブートしても改変されたPing- Pongウイルスはメモリに常駐した後でも発病しない。この 後で、「アルプス一万尺」のメロディを鳴らす。 [2928] 名  称:2928 別  名:YANKEE DOODLE VIRUS 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:2928バイト 詳  細:[ 感染ファイルは約2928バイト増加し、フリーのメインメモ リは2864バイト減少する。感染した.COMファイルの最後に は、7A4Fh及び2chの値を含むワードがある。これらのワ ードは、Vascina等の他のウイルスでもウイルス感染を示す 目印として使用され、一定の条件が整うと「アルプス一万 尺」を鳴らす。 破壊:Ping-Pongウイルスを改変する:メモリ中のPing- Pongウイルスを改変する機能を持つ、2バイトとジャンプ命 令1個を変更し、サブルーチンを1つ追加する。非常に面白 いことに、Ping-Pongウイルスは改変されても動作する。一 旦リブートした後(全てのディスクにリブート回数のカウン トが書き込まれる)、255回リブートしても改変されたPing- Pongウイルスは、メモリで常駐した後でも発病しない。こ の後で、「アルプス一万尺」のメロディを鳴らす。 備  考:本ウイルスは2881ウイルスの旧バージョンと考 えられる。2881ウイルスは多数の亜種があり、本ウイルス は古い亜種の一つのように思われる。2928ウイルスは2881 ウイルスと同じメカニズムと発病症状をもつ。ただし2881 ウイルスの場合、毎日メロディを鳴らすわけではないので 早期発見は難しい。2881ウイルスは最適化されているた め、その旧バージョンである2928ウイルスより約47バイト 小さくなっている。 [302] 名  称:302 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:302バイト 発祥地:不明 発見日:不明 詳  細:感染方法: 1)メモリに常駐していなければ常駐する。 2)その後オリジナルファイルを実行する。 3)メモリに常駐し、未感染ファイルが実行される度に感染 する。 .EXEファイルには感染しない。 識別方法:感染ファイルは302バイト増加する。 使用割り込み命令:Int 21h、Int 24h 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合でも、プログラム実行時に"書 き込み不可"という意味のエラーメッセージを表示しない。 [330] 名  称:330 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:330バイト 発祥地:不明 発見日:不明 詳  細:感染方法: カレントディレクトリ内から未感染の.COMファイルを検索 し、1つずつ感染する。 システムの日付が7月であれば発病し、 "[330] by ICE-9."というメッセージを表示する。 識別方法:感染ファイルは330バイト増加する。 破壊:その他の破壊活動はないものと思われる。 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合、プログラム実行時に"書き込 み不可"という意味のエラーメッセージを表示する [334] 名  称:334 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:334バイト 発祥地:不明 発見日:不明 詳  細:感染方法: 1)カレントディレクトリ内の.COMファイルを検索する。 2)すでに334ウイルスに感染していれば、ほかの未感染. COMファイルを探し出す。 3)一度に感染するファイルは1つだけ。 4)最後にオリジナルプログラムを実行する。 識別方法:感染ファイルは334バイト増加する。 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合、プログラム実行時に"書き込 み不可"という意味のエラーメッセージを表示する。 [3445] 名  称:3445 別  名:3445-1, 3445-STEALTH 分  類:ファイル感染型 対  象:.COM(command.comを除く);.EXE ウイルスサイズ:3445バイト 発祥地:不明 発見日:1990/11 詳  細:感染ファイルを実行すると,次のどちらかの事 態が発生する。 1)ほとんどのシステムがハングするので、ユーザはシス テムをリブートする必要がある。 2)そうでない場合は、ウィルスはシステムメモリ上位, DOSの640K境界下に常駐する。   −常駐後、DOSのCHKDSKを使用するとト−タルシステムメモ リと使用可能なフリ−メモリが 3、488byte減少しているのが確認できる。 −常駐後,実行またはコピーした.COMファイルと.EXEファ イルの最後にウィルスコ−ドを追加して感染する。 COMMAND.COMには感染しない。 −常駐後にDOSの"DIRコマンド"を実行しても、ファイル・ サイズの増加は発見できない。 −感染ファイルのタイムスタンプは更新されない。 −常駐後、DOSのCHKDSKを実行すると、全ての感染ファイル でアロケーション・エラーが表示される。 [408] 名  称:408 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:408バイト 発祥地:不明 発見日:不明 詳  細:感染方法: 1)メモリに常駐していなければ常駐する。 2)オリジナルファイルを実行する。 3)メモリに常駐し、未感染のファイルが実行される度に感 染する。 .EXEファイルには感染しない。 識別方法:感染ファイルは408バイト増加する。 使用割り込み命令:INT 21h 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合、プログラム実行時に"書き込 み不可"という意味のエラーメッセージを表示する。 [439] 名  称:439 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:439バイト 発祥地:不明 発見日:不明 詳  細:感染方法: 次に実行される未感染.COMファイルに感染する。 メモリ上位に常駐後、オリジナルルーチンに戻る。 使用割り込み命令:INT 21H、 INT 24h 識別方法:感染ファイルが439バイト増加する。 備  考: [4915] 名  称:4915 分  類:ファイル感染型 対  象:.EXE ウイルスサイズ:4915バイト 発祥地:不明 発見日:不明 詳  細:ディスクA:のカレントディレクトリから未感染 の.EXEファイルを探し出して感染する。 破壊:オリジナルファイルをウイルスコードで上書きして データを破壊する。 備  考:1)メディアなどにライトプロテクト(書き込 み禁止処理)が施されている場合、プログラム実行時に"書 き込み不可"という意味のエラーメッセージを表示する。 2)ウイルスは高級言語で作成されている。 [492] 名  称:492 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:492バイト 発祥地:不明 発見日:不明 詳  細:感染方法: 1)メモリに常駐していなければ常駐する。 2)オリジナルファイルを実行する。 3)メモリに常駐し、未感染のファイルが実行される度に感 染する。 破壊:システムの日付が14日の土曜日であれば発病し、ハ ードディスク上のデータをすべて消去する。 識別方法:感染ファイルは492バイト増加する。 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合、プログラム実行時に "書き 込み不可"という意味のエラーメッセージを表示する。 [4-A] 名  称:4-A 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:450〜460バイト 発祥地:不明 発見日:不明 詳  細:感染ファイルが実行されると、 "-----Hello 、 I am virus ! -----" というメッセージを表示し、カレントディレクトリの未感 染.COMファイルに1つずつ感染する。 識別方法: 1)感染ファイルが実行されたときに上記メッセージが表示 される。 2)感染ファイルは450〜460バイト増加する。 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合、プログラム実行時に"書き込 み不可"という意味のエラーメッセージを表示する。 [512] 名  称:512 別  名:512-A, NUMBER OF THE BEAST VIRUS, STEALTH VIRUS 分  類:ファイル感染型 対  象:.COM;.TSR ウイルスサイズ:512バイト 発祥地:ブルガリヤ 発見日:1989/11 詳  細:感染方法: 1)感染プログラムを実行するとメモリーに常駐。 2)オープンされている512byte以上の.COMファイルに感染 する。 識別方法: "Number of the Beast"という俗称は、感染を示すサイン" 666"をプログラムの最後に付けることからこの名前がつい た。 感染ファイルの終わりにサインを含むウィルスコード付け るため、このコードを調べることでファイルが感染してい るかどうかを調べることが出来る。 破壊: このウイルスは破壊ルーチンこそ持っていないものの、そ の感染メカニズムにより感染したプログラムは結果的に破 壊される。まず、プログラムの先頭部分がファイルから除 去されて、指定されたクラスタ内の空きスペースに保存さ れる。このプログラムをコピーすると、ファイルの先頭部 分が残りの部分と一緒にコピーされないので、プログラム は実行できなくなってしまう。 メモリ常駐したウイルスがファイルを読み込むと、感染フ ラグ(目印)としてファイルそのものではなく、ファイルの タイムスタンプ(62秒と表記)を見る。648ウイルスや1560ウ イルスも同じ感染フラグを使用するので、648ウイルスを無 力化し感染できなくする場合もある。この場合は、ファイ ルの内容ではなく、ファイル末尾の無意味なデータが読み 込まれる。 [534] 名  称:534 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:534バイト 発祥地:不明 発見日:不明 詳  細:カレントディレクトリまたはルートディレクト リに存在する、256〜64000バイトサイズの.COMファイルに 感染する。 感染したファイルは534バイト増加し、 "????????.COM" という文字列を含む。 [555] 名  称:555 別  名:DUTCH 555, QUIT-199 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:555バイト 発祥地:不明 発見日:不明 詳  細:感染方法: 1)感染ファイルを実行すると、メモリに常駐する。 トータル空きメモリが 560バイト減少する。 2)ウイルスがメモリに常駐すると、ファイルを実行する 度に.COMと.EXEファイルに感染する。 3)感染したファイルは555バイト増加し、末尾にウイルス コードが追加される。 感染ファイルの日付と時刻は、感染したときのものに更 新される。 [555-1] 名  称:555-1 別  名:555, DUTCH, QUIT 1992, QUIT.A 分  類:ファイル感染型 対  象:.COM、.EXE ウイルスサイズ:N/A 発祥地:不明 発見日:不明 詳  細:感染方法: 感染ファイルを実行すると、ウイル スはメモリにロードされます。ウイルスがメモリに常駐し ている間は実行したファイルに再感染して、感染ファイル を555バイト増加します。ウイルスは感染したファイルの時 間と日付を改変します。 [578] 名  称:578 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:578バイト 発祥地:不明 発見日:不明 詳  細:感染方法: 1)ウイルスがメモリに常駐していなければ常駐する。 2)その後、オリジナルファイルを実行する。 3)メモリ常駐後、未感染の.COMファイルが実行される度に 感染する。 .EXEファイルには感染しない。 4)システムの日付が4月3日以降であれば、A:ドライブのす べてのデータを破壊し、画面上に3色旗と以下のメッセ ージを表示する。 "ITALY IS THE BEST COUNTRY IN THE WORLD"。 識別方法:感染した.COMファイルは578バイト増加する。 使用割り込み命令:INT 21h 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合、プログラム実行時に"書き込 み不可"という意味のエラーメッセージを表示する。 [583] 名  称:583 別  名:Vien.583.A, Vienna.G2, Vienna.583 分  類:ファイル感染型 対  象:.COM (DOS) ウイルスサイズ:583 bytes 詳  細:シンプルなファイル感染型ウイルスで、感染フ ァイルを実行するとカレントディレクトリにある.COMファ イルすべてに感染する。メモリに常駐しない直接感染型で ある。 破壊活動はないが、コードにバグがあるため、感染時に対 象ファイルを壊してしまうことがある。 [5LO] 名  称:5LO 分  類:ファイル感染型 対  象:.EXE ウイルスサイズ:1125〜1140バイト 発祥地:不明 発見日:不明 詳  細:感染方法: 1)ウイルスがメモリに常駐していなければ常駐する。 2)その後、オリジナルファイルを実行する。 3)メモリ常駐後、未感染のファイルが実行される度に感染 する。 .COMファイルには感染しない。 使用割り込み命令:INT 21h 識別方法:感染した.EXEファイルは1125〜1140バイト増加 する。 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合、プログラム実行時に"書き込 み不可"という意味のエラーメッセージを表示する。 [600] 名  称:600 別  名:CHRISTMAS IN JAPAN, JAPANESE CHRISTMAS, XMAS IN JAPAN 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:600バイト 発祥地:日本 発見日:1989/09 詳  細:−感染ファイルの増加サイズは 600バイトで、 感染ファイルの最後にウイルスコードを持つ。 −感染ファイルを実行しても、カレントディレクトリーの. COMファイル1つに感染する場合としない場合がある。 発病: −12月25日に感染ファイルを実行すると、以下に示すメッ セージを表示する。  "A merry chirstmas to you" −このメッセージは点滅し、しばらく何もしないで放って おくとメッセージは消えてしまい、ファイルが正常に実行 される。しかし、感染した別ファイルを実行すると再度メ ッセージが表示される。 −特に破壊活動等は行わないものと思われる。 [64] 名  称:64 別  名:64-1 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:1831バイト(COM)、1827 or 1824バイト( EXE) 発祥地:不明 発見日:不明 詳  細:メモリーのコントロールブロックから常駐す る。  「64-1」ウイルスは感染の際、暗号化を行う。  「64」はCOMファイル感染型 「64-1」はEXEファイル感染型の名称。 備  考: [66A] 名  称:66A 別  名:SATAN-B 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:512バイト 発祥地:不明 発見日:1992/04 詳  細:感染方法: 1)感染ファイルを実行すると、カレントディレクトリの 未感染の.COMファイル全てを検索して感染する。 2)ウィルスは感染ファイルの最後にウィルスコ−ドを追 加して感染する。 感染後のファイルの増加サイズは512byteである。 3)感染ファイルのタイムスタンプは感染の日付・時間に 変更される。 −ウィルスコードと感染ファイルに以下の文字列が含まれ ている。 "66A" "*.COM" "????????COM" −ウィルスは上の文字列を利用してすでに感染しているか どうかを識別する。この文字列はファイルの末尾にある。 −感染ファイルは正常に動作しなかったり、"Too many files open"などという見慣れないエラー・メッセージを表 示する場合がある。 [66C] 名  称:66C 別  名:66A, SATAN.512, SATAN.612, SATAN-B 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:512〜612 bytes 発祥地:不明 発見日:1992/04 詳  細:感染方法: - 66Cに感染したファイルが実行されると、メモリに常駐す る。直接感染型のウイルスでもあるため、カレントディレク トリのすべての感染していない。COMファイルが感染してし まう。 損害: - 感染する以外特に被害はない。 [744] 名  称:744 分  類:ファイル感染型 ウイルスサイズ:744バイト 詳  細:感染ファイルは744バイト増加する。ほとんどの 場合、破壊されたプログラムによりシステムがハングす る。 破壊: 1/7の確率で、感染はせずにファイルを破壊することがあ る。プログラム頭部にJMP[BP+0] 命令を書き込むが、この プログラムにはエラーがある。正式にはJMPF000:FFF0(コン ピュータ再起動 - 648ウイルスと同じ)と書かなければなら ないのだが、実際に書き込んだ命令と4バイト差がある。破 壊されたプログラムのサイズは変わらない。また、ウイル スフラグをもDOSの割り込み命令を利用して読み書きを行 う。感染できるプログラムを探し出すと、そのファイルを 読み込み、何の変更も加えずにFATエリアのセクタ#1に書き 込む。これはC:ドライブでは行われない。ディスクにライ トプロテクトがかかっているか検査するために行う。 [7THSON] 名  称:7THSON 分  類:ファイル感染型 ウイルスサイズ:321または307バイト 発祥地:不明 発見日:不明 詳  細:.EXEファイルを実行すると、同じファイル名で. COMファイルを作成する。 ファイルサイズは 321または307バイト。 感染方法: 1)メモリに常駐していなければ常駐する。 2)その後、オリジナルファイルを実行する。 3)メモリに常駐し、未感染ファイルが実行される度に感染 する。 .COMファイルには感染しない。 使用割り込み命令: INT 21h、INT 24h 識別方法:321または307バイトの.COMファイルがないかチ ェックする。 備  考:7thson ウイルスは感染の際、「Ctrl」+[Break] 機能を無効にする。 メディアなどにライトプロテクト(書き込み禁止処理)が 施されている場合でも、"書き込み不可"という意味のエラ ーメッセージを表示しない。 [7THSON-2] 名  称:7THSON-2 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:284、332または350バイト 発祥地:不明 発見日:不明 詳  細:感染方法: 1)カレントディレクトリ内の.COMファイルを探し出す。 2)すでに 7thson-2 ウイルスに感染していれば、他の未感 染ファイルを探す。 3)カレントディレクトリ内の、全ての未感染.COMファイル に感染する。 4)最後に、オリジナルファイルを実行する。 使用割り込み命令: INT 24h 識別方法:感染ファイルは 284、332または350バイト増加 する。 備  考:メディアなどにライトプロテクト(書き込み禁止 処理)が施されている場合でも、"書き込み不可"という意 味のエラーメッセージを表示しない。 [981] 名  称:981 別  名:JOE 分  類:ファイル感染型 対  象:.COM(command.comを除く);.EXE ウイルスサイズ:981バイト、約1010バイト 発祥地:不明 発見日:1992/05 詳  細:感染方法: 1)DOSが3.0未満のバージョンであれば、 "This program requires MS-DOS 3.0 or later" と表示する。 2)メモリに常駐していなければ最上位メモリに常駐する。 3)その後、オリジナルファイルを実行する。 4)メモリに常駐し、未感染のファイルが実行される度に感 染する。 使用割り込み命令:INT 21h、INT 24h 識別方法:感染した.COMファイルは981バイト、.EXEファイ ルは1010バイト増加する。 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合でも、プログラム実行時に"書 き込み不可"という意味のエラーメッセージを表示しない。 [A&A] 名  称:A&A 別  名:A&A 対  象:ファイル感染型 ウイルスサイズ:.COM 発祥地:506バイト 発見日:不明 詳  細:[ 感染方法: 1)メモリに常駐していなければ、メモリ上位に常駐す る。 2)常駐後、オリジナルルーチンを実行する。 未感染の.COMファイルが実行される度に1つずつ感染す る。 使用割り込み命令:INT 21h、INT 24h 備  考: [A.I.D.S.] 名  称:A.I.D.S. 分  類:デマ情報 ウイルスサイズ:N/A 詳  細:−騒動を起こすために人為的に流されたウイル スのデマ情報です。この情報で触れられているAIDSウイル スやトロイの木馬は、実際に存在しますが、ここに書かれ ているようなものはありません。 −このデマ情報のオリジナルとみられる文章は以下の通り です: "There is a virus going around called the A.I.D.S. virus. It will attach itself inside your computer and eat away at your memory this memory is irreplaceable. Then when it’s finished with memory it infects your mouse or pointing device. Then it goes to your key board and the letter you type will not register on screen. Before it self terminates it eats 5mb of hard drive space and will delete all programs on it and it can shut down any 8 bit to 16 bit sound cards rendering your speaker useless. It will come in E-mail called "Open:Very Cool! : )". Delete it right away. This virus will basicly render your computer useless. You must pass this on quickly and to as many people as possible!!!!! You must! 日本語訳: 「A.I.D.S.ウィルスと呼ばれるコンピュータウィルスが流 行っています。このウイルスは、あなたのコンピュータに 入り込んで、メモリを食べてしまいます。食べられたメモ リは元に戻すことはできません。メモリを食べ尽くした後 には、マウスやポインティングデバイスに感染します。そ してキーボードへ感染して、タイプされた文字がスクリ ーン上に表示されないという事態が起こります。ウィルス は自滅する前に、ハードディスクの容量を5MB食べてし まい、ハードディスク上のプログラムをすべて消去してし まうことでしょう。また8bitから16bitのサウンドカ ードは何でもシャットダウンしてしまい、スピーカーを使 い物にならないようにします。このウィルスは"Open:Very Cool! : )"というタイトルの電子メールで送信されてきま す。ただちに削除してください。このウイルスは根本的に あなたのコンピューターを使い物にならなくするもので す。できるだけ多くの人にできるだけ早くこの事を知らせ てください!!!!絶対に!」 −他にも下記のようなメールもあります。 There is a virus out now being sent to people via email… it is called the A.I.D.S VIRUS. It will destroy your memory、 sound card and speakers、 hard drive and it will infect your mouse or pointing device.. as well as your keyboards making what you type no able to register on the screen. It self terminates only after it eats 5MB of hard drive space & will delete all programs. It will come via E-mail called "OPEN: VERY COOL! : )". Delete it immediately !! It will basically render your computer useless. PASS THIS ON QUICKLY & TO AS MANY PEOPLE AS POSSIBLE! ! THANKS!! ^_^ 日本語訳: 「現在、電子メールにて送信されてくるウィルスに... A.I.D.S.ウィルスというものが存在します。このウィルス はあなたのメモリ、サウンドカードやスピーカー、ハード ディスクを破壊します。そしてあなたのマウスやポインテ ィングデバイス、また文字をタイプしてもディスプレイに 文字が表示されないようにキーボードにまで感染します。 このウィルスはハードディスクの容量を5MB食べ、すべ てのプログラムを消去した後に自滅します。このウィルス は"Open:Very Cool! : )"という電子メールで送信されてき ます。ただちに消去してください。このウイルスは根本的 にあなたのコンピューターを使い物にならなくするもので す。」 [ABBA] 名  称:ABBA 別  名:CARZY, SATANBUG.9849 分  類:ファイル感染型 対  象:.COM、.EXE ウイルスサイズ:9849バイト 発祥地:不明 発見日:不明 詳  細:感染方法 : - このウイルスは9849バイトという、ウイルスしてはかな り大きなサイズであるが、スタンダードなメモリ常駐型ウ イルスである。ステルス行動や暗号化などのルーチンは一切 持っていない。 - 感染したファイルを実行すると、メモリに常駐し、以 後、アクセスまたは実行した.COMと.EXEファイルすべてに 感染する。 損害 ; - ウイルスコードをコピーする以外、特に破壊活動はな い。 [ABC] 名  称:ABC 分  類:ファイル感染型 対  象:.EXE ウイルスサイズ:2912バイト 発祥地:不明 発見日:不明 詳  細:感染方法: 1)ウイルスがメモリに常駐していなければ、最上位メモリ に常駐する。 2)オリジナルファイルを実行する。 3)メモリに常駐し、未感染のファイルを実行する度に感染 する。 20K未満の.COMと.EXEファイルには感染しない。 破壊:システムの日付が14日で、ウイルスがメモリに常駐 してから55分後に、ハードディスクのデータを破壊する。 使用割り込み命令:Int 21h、 Int 24h、 INT 1Ch、 INT 16h 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合でも、プログラム実行時に"書 き込み不可"という意味のエラーメッセージを表示しない。 [ABCD] 名  称:ABCD 分  類:システム領域感染型 対  象:FD:ブートセクタ;HD:マスターブートレコード ウイルスサイズ:N/A 発祥地:不明 発見日:不明 詳  細:これはシステム領域感染型ウイルスであり、破壊 活動はない。感染したフロッピーディスクから起動すると、 メモリに常駐し、ハードディスクのマスターブートレコード に感染する。 感染したマシンから書き込み可能なフロッピーディスクに アクセスすると、フロッピーディスクのブートセクタに感染 する。 損害: 感染する以外特になし。 備  考: [ABOVE_1633] 名  称:ABOVE_1633 別  名:V3、 V3SCAN、 UVSCAN、 BOXBOX 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:1633 発祥地:不明 発見日:不明 詳  細:− カレントディレクトリ内の未感染のファイ ルを検索して感染する。ファイル名に "V3"、"SCAN"とい う文字列が含まれるファイルには感染しない。 備  考: [ABRAXAS] 名  称:ABRAXAS 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:546バイト 発祥地:不明 発見日:不明 詳  細:感染方法: 1)カレントディレクトリ内の.EXEまたは.COMファイルを探 し出す。 2)そのファイルがAbraxasウイルスに感染していれば、他 の未感染の.EXEまたは.COMファイルを探し出す。 3)カレントディレクトリ内のすべての.EXE、.COMファイル に感染する。 4)最後に、オリジナルファイルを実行する。 使用割り込み命令:Int 24h 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合でも、プログラム実行時に"書 き込み不可"という意味のエラーメッセージを表示しない。 [ABRAXAS-3] 名  称:ABRAXAS-3 分  類:ファイル感染型 対  象:.EXE ウイルスサイズ:1200バイト 発祥地:不明 発見日:不明 詳  細:感染方法: "ドレミファソラシドレ"と音を鳴らし、 "abraxas" という文字を大きな文字で表示した後、未感染の.EXEファ イルに1つずつ感染する。 その後、オリジナルファイルと同じ名前で1200バイトのフ ァイルを作成する。 破壊:オリジナルファイルにウイルスコードで上書きする ため、オリジナルファイルは破壊される。 [ACME] 名  称:ACME 分  類:ファイル感染型 対  象:.EXE ウイルスサイズ:932バイト 発祥地:不明 発見日:不明 詳  細:感染方法: 1)システムの時間が午後4時になると発病し、音を出して ハングする。 2)それ以外の時間であればカレントディレクトリ内の.EXE ファイルを探し出す。 3)感染先ファイル(.EXEファイル)と同名の923バイトサイ ズの.COMファイルを作成する。 このファイルは、「書き込み禁止」及び「不可視」の属性 を持つ。 識別方法:サイズが923バイトで不可視属性の.COMファイル がないかチェックする。 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合、プログラム実行時に"書き込 み不可"という意味のエラーメッセージを表示する。 [ADOLF_HITLER] 名  称:ADOLF_HITLER 分  類:システム領域感染型 対  象: .COM ウイルスサイズ:475bytes 詳  細:割り込み: INT 21h、INT 24h 1) メモリに常駐しているかチェックします。常駐していな ければ、上位メモリに自分自身をロードして、常駐しま す。 2) INT 21hをフックして、元のルーチンに戻ります。 感染方法: 1) ファイルに感染するときにINT 21h(AH=4Bh)をフック します。まず最初に、感染時にI/Oエラーが発生して露見し ないように、INT 24hをフックします。実行されるプログラ ムが未感染の.COMファイルであれば、感染プロセスを続行 します。 ダメージ: なし 症状:感染したファイルは、サイズが475バイト増加しま す。 [ADOLF-HITLER] 名  称:ADOLF-HITLER 別  名:ADOLF 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:475バイト 発祥地:不明 発見日:不明 詳  細:感染方法: 1)メモリに常駐していなければ、メモリ上位に常駐す る。 2)常駐後、オリジナルルーチンを実行する。 未感染の.COMファイルを実行する度に感染する。 3)ウイルスコード内に以下の文字列が含まれる "Adolf Hitler" 使用割り込み命令:Int 21h、INT 24h 備  考: [AGENT-B] 名  称:AGENT-B 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:763バイト 発祥地:不明 発見日:不明 詳  細:感染方法: 1)カレントディレクトリ内の.COMファイルを探し出す。 2)そのファイルがAgent-Bウイルスに感染していれば、他 の未感染の.COMファイルを探し出す。 3)一度に2つのファイルに感染する。 使用割り込み命令:Int 24h 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合でも、プログラム実行時に"書 き込み不可"という意味のエラーメッセージを表示しない。 [AIDS 552] 名  称:AIDS 552 分  類:ファイル感染型 対  象:.EXE ウイルスサイズ:552バイト 発祥地:不明 発見日:不明 詳  細:感染方法: 1)ウイルスがメモリに常駐していなければ、最上位メモリ に常駐する。 2)オリジナルファイルを実行する。 3)コマンド"DEGUG FILE_NAME.EXE"が実行されると感染す る。 .COMファイルには感染しない。 使用割り込み命令:Int 21h 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合、プログラム実行時に"書き込 み不可"という意味のエラーメッセージを表示する。 [AIDS552] 名  称:AIDS552 分  類:ファイル感染型 対  象:.COM、.EXE ウイルスサイズ:552バイト 詳  細:感染方法: 1) 自分自身が既にメモリに常駐しているかを確認します。 2)常駐していなければ、INT21hをフックし上位メモリに常 駐します。 3)元のファイルを実行します。 4) コマンド"DEGUG FILE_NAME.EXE"が実行されたときに感 染します。 ダメージ: なし 検出方法: 感染した.EXEファイルは約552バイト増加しま す。 注  意: ファイルに感染するとき、AIDS552はINT 24hをフックしま せん。I/Oエラーが発生した場合、エラーメッセージが表示 されます。 備  考: [AIRCOP] 名  称:AIRCOP 分  類:システム領域感染型 ウイルスサイズ:N/A 詳  細:- このウイルスはシステム領域に感染します。 - 感染ディスクから起動すると、メモリに常駐します。書 込保護されていないフロッピーを使用すると、再感染しま す。     - ウイルスは感染したシステム上に以下の文字列を表示し ます。        "Red State、 Germ Offensive.    AIRCOP." 備  考: [AIR-COP] 名  称:AIR-COP 別  名:AIR_COP, AIR_COP-1, AIRCOP.STANDARD 分  類:システム領域感染型 対  象:FD:ブートセクタ;HD:マスターブートレコード ウイルスサイズ:N/A 発祥地:台湾 発見日:1990/06 詳  細:感染方法: 1)感染したFDでマシンを起動するとメモリに常駐す る。 2)メモリ常駐後、アクセスしたすべてのライトプロテク トされていないFDのブートセクタに感染する。 破壊: 特にウイルス自身による破壊活動はないものと思われるが 感染の失敗によりディスクがクラッシュすることが多い。 その他の亜種: AirCop、AirCop-1  ・ ウイルスの常駐によりシステムメモリが1024バイト 減少する。  ・ 以下の文字列を表示することもある。 "Red State、Germ Offensive. AIRCOP." プログラムを実行するとA:ドライブのブートセクタに ウイルスを書き込む。 [AKUKU-649] 名  称:AKUKU-649 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:649バイト 発祥地:不明 発見日:不明 詳  細:感染方法: カレントディレクトリ内の未感染.COMファイルを検索して 感染する(同じファイルには再感染しない)。ファイルへ の感染の有無に関わらず、以下の4つの条件が全て揃う と、 "Akuku frajerze" というメッセージを表示する。 条件1)システム日付の年が1994年以降であること。 条件2)システム日付の月が6月以降であること。 条件3)システム日付の日が6日以降であること。 条件4)システム時刻が15:00以降であること。 破壊:感染、増殖以外の活動はなし。 備  考:ファイルに感染する際、自分の痕跡を隠す。 [ALAMEDA] 名  称:ALAMEDA 別  名:ALEMEDA, YALE 分  類:システム領域感染型 対  象:FD:ブートセクタ;HD:マスターブートレコード ウイルスサイズ:N/A 発祥地:カリフォルニア 発見日:1987 詳  細:ブートセクタに感染する。 感染したフロッピーディスクからコンピュータを起動する と、ウイルスがメモリに常駐する。 ウイルスがメモリに常駐した状態で、「Ctrl」+「ALT」+「DEL」 でマシンを再起動させた場合、ライトプロテクトがかかっ ていない5-1/4" 360 フロッピーディスクは全てウイルス感 染する。(マシンを単に再起動させただけでは、ウイルスは メモリに残っている。) [ALBANIA] 名  称:ALBANIA 分  類:ファイル感染型 対  象:Dos ウイルスサイズ:約500 bytes 詳  細:これはDOSの.COMと.EXEファイルに感染する。 (亜種の中には、.COMにしか感染しないものもある。)メモ リに常駐しない直接感染型である。 感染ファイルが実行されると、カレントディレクトリに. Comと.Exeがないか探し、みつかったらコードをコピーして 感染する。 損害: 感染するだけで特に破壊活動はない。 備  考:感染したファイルのコードの末尾に“ALBANIA” というテキストが含まれている。 [ALFA] 名  称:ALFA 分  類:ファイル感染型 対  象:.COM;.EXE 発祥地:不明 発見日:1991/11 詳  細:感染方法: 1)感染ファイルを実行するとメモリに常駐する。 2)常駐後、DOSのCHKDSKを使用するとト−タルシステムメ モリと使用可能なフリ−メモリが1、280byteから1、344byte のあいだで減少しているのが確認できる。 3)実行した.COMファイルと.EXEファイルの最後にウイル スコ−ドを追加して感染するが、小さな.COMファイルには 感染しない。 4)感染ファイルの増加サイズはさまざま。感染ファイル のタイムスタンプは変更されない。 −感染ファイルには文字列は一切含まれない。 −感染増殖以外の活動については不明。 変種: Alfa−1150(Yankee Doodle-1150): Alfaウイルスの初期バ ージョン。感染ファイルの増加サイズは1、150byteから1、 165byteまでのあいだ。.EXEファイルには重感染し、その度 に1、152byteずつサイズが増加する。メモリ中のサイズは1、 280byte。 発祥地: 不明 発見日: 1991年11月 Alfa−1202(Yankee Doodle-1202): Alfaウイルスの後期バ ージョン。Alfa−1150ウイルスと異なり、.EXEファイルに 重感染しない。感染ファイルの増加サイズは1、202byteから 1、217byteまでのあいだ。メモリ中のサイズは1、344byte。 Alfa−1712: 感染ファイルを実行すると,システムメモリ 上位,DOSの640K境界下に常駐し、割り込み番号21hにフッ クを掛ける。常駐後、ト−タルシステムメモリと使用可能 なフリ−メモリが3、008byte減少する。常駐後,実行した. COMファイルと .EXEファイルの最後にウイルスコ−ドを追 加して感染する。感染ファイルの増加サイズは1、712byteか ら1、731byteのあいだ。感染ファイルのタイムスタンプは" 14-25-12 12:01a"に変更される。 発祥地: USSR 発見日: 1992年7月 Alfa−Tired(Tired): 感染ファイルを実行すると、シス テムメモリ上位,DOSの640K境界下に常駐し、割り込み番号 21hにフックを掛ける。常駐後、ト−タルシステムメモリと 使用可能なフリ−メモリが3、760byte減少する。常駐後、実 行した.COMファイルと.EXEファイルの最後にウイルスコ− ドを追加して感染する。感染ファイルの増加サイズは1、 748byteから1、766byteのあいだ。感染ファイルのタイムス タンプは変更されない。 発祥地: USSR 発見日: 1992年 [ALIEN-1] 名  称:ALIEN-1 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:571バイト 発祥地:不明 発見日:不明 詳  細:感染方法: ウイルスがメモリに常駐していなければ、上位メモリに常 駐する。 その後、オリジナルファイルを実行する。 すでに常駐していれば、直接オリジナルファイルを実行す る。 1)未感染ファイルが実行される度に感染する。 2)メディアなどにライトプロテクト(書き込み禁止処理) が施されている場合、プログラム実行時に"書き込み不可" という意味のエラーメッセージを表示する。 使用割り込み命令:Int 21h 識別方法:感染ファイルは571バイト増加する。 [ALIEN-3] 名  称:ALIEN-3 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:625バイト 発祥地:不明 発見日:不明 詳  細:感染方法: 1)ウイルスがメモリに常駐していなければ、最上位メモリ に常駐する。 2)システムの時間が毎時33分から60分であれば、画面上に " "(ダブルクォーテーションマーク)を表示する。 3)感染後、オリジナルファイルファイルを実行する。 使用割り込み命令:Int 21h 識別方法:感染ファイルは625バイト増加する。 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合、プログラム実行時に"書き込 み不可"という意味のエラーメッセージを表示する。 [ALLERBMU] 名  称:ALLERBMU 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:359バイト 発祥地:不明 発見日:不明 詳  細:感染方法: 1)カレントディレクトリ内の.COMファイルを探し出す。 2)感染していれば、他の未感染の.COMファイルを探す。 3)未感染のファイルがあれば1つずつ感染していく。 4)未感染.COMファイルの有無に関わらず、システムの日付 が月曜日であれば発病する。 ハードディスク上のファイルを全て破壊し、以下のメッ セージを表示する。 "+ ALLERBMU NORI + (c) 1991........................" 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合、プログラム実行時に"書き込 み不可"という意味のエラーメッセージを表示する。 [ALPHA743] 名  称:ALPHA743 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:743バイト 発祥地:不明 発見日:不明 詳  細:感染方法: カレントディレクトリ内の未感染.COMファイルを検索して1 つずつ感染する。 ファイルへの感染の有無に関わらず、システムの日付が 1993年以降で3〜12月の各月5日であれば発病し、 以下のメッセージを表示する。 "Your PC has ALPHA virus. Brought to you by the ARCV Made in ENGLAND" 破壊:感染、増殖以外の活動はなし。 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合、 プログラム実行時に"書き込み不可"という意味のエラーメ ッセージを表示する。 [AM_ACCESSIV] 名  称:AM_ACCESSIV 別  名:JETDB_ACCESS-1 分  類:マクロ型 対  象:.MDB ウイルスサイズ:N/A 発祥地:USA 発見日:1998年3月7日 詳  細:感染方法:  感染ファイルのオープン時にカレントディレクトリ内の すべてのMDBファイルに感染する。 使用マクロ: Autoexec − Microsoft Access データベースに感染する初のウィル ス。 − 1998年3月7日に作成されたと思われる。 ウィル ス作者は「Jerk1N」と自称し、「DIFFUSION Virus Team」 という団体への参加を呼びかけている。 − このウイルスは「Virus」というモジュールと「 Autoexec」というマクロからなる。 − 感染したデータベース・ファイルを開いたときに、ウ ィルスはカレント・ディレクトリ内でMDB ファイル全てを 探して感染する。 − ウイルスは、ウィルスモジュールとウィルスマクロを 転写することにより、.MDBファイルへ感染する。 −  .COMファイルや.EXEファイルへの感染とは違い、ファ イル・サイズの増加から感染を正確に識別することはでき ないが、ほとんどの場合ファイル・サイズが変更される。 − このウイルスの感染は以下の手順でデータベース・フ ァイルをMicrosoft Accessで開くことでチェックできる: (1) メニューバーの「ツール」→「オプション」→「表 示」を表示して、「隠しオプション」チェックボックスを チェックする。次に、ファイルの「モジュール」タブ画面 を選択する。モジュール欄に「Virus」というモジュールが あれば、次に進む。 (2) メニューバーの「ツール」→「マクロ」を選択して、 サブメニューの「マクロの実行」を選択する(Microsoft Access 97の場合。Access 95ではメニューバーの「ツー ル」→「マクロ」を選択すると、「マクロの実行」が表示 される。) マクロ名リストにマクロ名「Autoexec」があれ ば、そのデータベース・ファイルは感染している。 − このウイルスは中国語や日本語のようなダブル・バイ トのMicrosoft Access 97ファイルにも感染できる。 − このウイルスは本来Microsoft Access 97を対象として 作成されたが、コードからみてMicrosoft Access 95にも感 染増殖できる。 SQLデータベースには感染しない。 備  考:「JETDB_ACCESS-1」マクロウイルス手動駆除方 法 1.感染した.MDBファイルをテンポラリのフォルダへ移動す る。その際、移動先フォルダには他に.MDBァイルが存在し ないように注意する。2.Microsoft Accessで感染ファイル を開く。3.メニューバーの「ツール」→「オプション」→ 「表示」を表示して、「表示」オプション内の「隠 しオブ ジェクト」及び「システムオブジェクト」チェックボック スをチェックする。 その後に「更新」ボタンをクリックす る。4.ファイルの「マクロ」タブ画面を選択する。 すると マクロ名「Autoexec」が表示される。5.同マクロを選択し て、マウスを右クリックする。ポップアップ・メニューか ら「削除」を選択して実行する。その後で次に進む。6.フ ァイルの「モジュール」タブ画面を選択する。 するとモジ ュール名「Virus」が表示される。7.同モジュールを選択し て、マウスを右クリックする。ポップアップ・メニューか ら「削除」を選択して実行する。以上でマクロウイルスの 削除は終了する。 [AM_ACCESSTDU] 名  称:AM_ACCESSTDU 別  名:AM.TOX.A 分  類:マクロ型 対  象:.MDB ウイルスサイズ:N/A 発祥地:不明 発見日:不明 詳  細:感染方法:  感染ファイルのオープン時にカレントディレクトリ内の すべてのMDBファイルに感染する。 使用マクロ: Autoexec 使用モジュール: TDU − このウイルスは「TDU」というモジュールと「 Autoexec」というマクロからなる。 − 感染したデータベース・ファイルを開いたときに、ウ ィルスはカレント・ディレクトリ内でMDB ファイル全てを 探して感染する。 − ウイルスは、ウィルスモジュールとウィルスマクロを 転写することにより、.MDBファイルへ感染する。 − ウイルスのステルス行動として、「オブジェクトを隠 す」オプションをオフにする。また、[ツール]→[オプ ション]コマンドを削除する。 − 以下のプロパティーを無効にする: AllowSpecialKeysAllowBreakIntoCodeAllowBypassKey 備  考: [AMILIA] 名  称:AMILIA 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:1614バイト 発祥地:不明 発見日:不明 詳  細:感染方法: 1)ウイルスがメモリに常駐していなければ、最上位メモリ に常駐する。 2)オリジナルファイルを実行する。 3)メモリ内に常駐し、未感染のファイルを実行する度に感 染する。 破壊: 1)システムの日付が日曜日であれば発病し、下記メッセ ージを表示しシステムがハングする。 "Amilia I virii - [NUKE] 1991 By Rock Steady/ NUKE" 2)システムの時刻が午後4時から5時の間であれば、「笑い 顔」があちこちに表示される。 使用割り込み命令:Int 21h、Int 24h 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合でも、プログラム実行時に"書 き込み不可"という意味のエラーメッセージを表示しない。 [ANCIENT] 名  称:ANCIENT 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:738バイト 発祥地:不明 発見日:不明 詳  細:感染方法: カレントディレクトリ内の未感染.COMファイルを検索して 1つずつ感染する。 その後、画面をクリアするか、もしくはどれかキーを押す まで色とりどりのアスタリスク"*"を表示し続ける。 この時、奇妙な音を約5分間に渡り鳴らす。最後にオリジ ナルプログラムを実行する。 その他の破壊活動はないものと考えられる。 備  考:1)メディアなどにライトプロテクト(書き込み 禁止処理)が施されている場合、プログラム実行時に"書き 込み不可"という意味のエラーメッセージを表示する。 2)同じファイルに再感染することもある。 [ANDROMDA] 名  称:ANDROMDA 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:1140バイト 発祥地:不明 発見日:不明 詳  細:感染方法: 1)カレントディレクトリ内の.COMファイルを探し出す。 2)未感染のファイルが見つかるまで検索を続ける。 3)一度に2つのファイルに感染する。 破壊:感染、増殖以外の活動はなし。 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合、プログラム実行時に"書き込 み不可"という意味のエラーメッセージを表示する。 [ANGARSK] 名  称:ANGARSK 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:238バイト 発祥地:ロシア 発見日:不明 詳  細:感染方法: カレントディレクトリ及びその上の全てのディレクトリ内 にある32768バイト未満の.COMファイルに感染する。 破壊:感染、増殖以外の活動はなし。 識別方法: 1)日付と時刻は感染した日時に更新される。 2)感染ファイルは約238バイト増加する。 [ANIMUS] 名  称:ANIMUS 別  名:COOKIE 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:7360/7392バイト 発祥地:不明 発見日:不明 詳  細:感染方法: カレントディレクトリ内で、未感染の.COMまたは.EXEファ イルに感染する。 一度に2つか3つのファイルに感染できる。 備  考:1)メディアなどにライトプロテクト(書き込み 禁止処理)が施されている場合、プログラム実行時に"書き 込み不可"という意味のエラーメッセージを表示する。 2)プログラムは高級言語で書かれている。 [ANNA] 名  称:ANNA 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:742バイト 発祥地:イギリス 発見日:不明 詳  細:感染方法: 1)カレントディレクトリ内の.COMファイルを探し出す。 2)そのファイルがANNAウイルスに感染していれば、他の未 感染.COMファイルを探し出す。 3)一度に感染するファイルは1つだけ。 4)カレントディレクトリに未感染ファイルが見当たらなけ れば、他のディレクトリを探す。 5)システムの日付が12月の時に発病し、 "Yole from theARcV................" というメッセージが表示される。 破壊:感染、増殖以外の活動はなし。 備  考:1)メディアなどにライトプロテクト(書き込み 禁止処理)が施されている場合、プログラム実行時に"書き 込み不可"という意味のエラーメッセージを表示する。 2)ファイルを暗号化する。 [ANSIBOMB.2_O.BAS] 名  称:ANSIBOMB.2_O.BAS 別  名:Virus.Dropper 分  類:その他(ウイルス作成ツール) 対  象:DOS ウイルスサイズ:47164byte 詳  細:   これはウイルス作製ツールです。ウイルスそのものでは ありませんので、このプログラムが他のファイルやシステ ムに感染することはありません。  このプログラムを実行すると"BOMB.ANS"というファイル を作ります。このファイルにはテキスト形式でウイルスコ ードが書かれています。実行時に引数を与えてやることに より、様々な亜種が作れます。 [ANTI_DAF] 名  称:ANTI_DAF 分  類:ファイル感染型 対  象: .COM ウイルスサイズ:561bytes 詳  細:1) カレントディレクトリに未感染の.COMファイ ルを探して、感染します(一度に1つのファイルにだけ感染 します)。 2) 現在の月が11月で、現在の曜日が月曜かチェックして、 そうであれば、次のメッセージを表示します。そのあと、 ハードディスク上のすべてのデータを破壊します。 "The Anti_Daf virus.. DAF-TRUCKSE indhoven.. Hugo vdGoeslaan 1..postbus 90063..6500 PREindhoven、 TheNethe rlands. .. DAF sucks..... (c) 1992 DarkHelmet & The Virus Research Centre" ダメージ: このウイルスは、ハードディスク上のすべての データを破壊することがあります。 注  意: 1) メモリに常駐しません。 2) INT 24hをフックしないので、感染時に、エラーメッセ ージが現れます。 症状:感染したファイルは、サイズが561バイト増加しま す。 [ANTICMOS.A] 名  称:ANTICMOS.A 別  名:GAXELLE, LENART, LIXI, READIOSYS 分  類:システム領域感染型 対  象:FD:ブートセクタ;HD:マスターブートレコード ウイルスサイズ:N/A 発祥地:不明 発見日:1994/01 詳  細:感染方法: −このウイルスに感染したフロッピーディスクでマシンの 起動動作を行うとハードディスクのシステム領域(マスタ ーブートレコード)に感染する。 −このウイルスに感染したハードディスクでマシンを起動 すると、メモリーに常駐してファイルの入出力を監視す る。その後、書き込み可能なフロッピーディスクにアクセ スすると、そのディスクのブートセクタに感染する。 −ハードディスクに感染するタイミングは起動時のみで、 それ以降は行わない。ただし、フロッピーディスクへは約 28秒アクセスがないと、次の読み書きで強制的に感染す る。 −DOSのCHKDSKコマンドを実行すると、全メモリが2、048バ イト減少しているのが確認できる。 発病: −システムのハード環境によっては、CMOS設定を変更する ことがある。その場合、ウイルスが完全に常駐する前にシ ステムはハングしてしまう。 −CMOSメモリを破壊する発病ルーチンが組み込まれている が、作者の意図で発病しないようにしたか、あるいはバグ で発病しないようになっている。 備  考:このウイルスはフロッピーディスクの起動を自 分のブートセクタで行う非常に珍しいウイルスである。そ のため、他のウイルスの様にルートディレクトリの一部を 破壊するという可能性は無い。この特徴から弊社では当 初、「READIOSYS」というウイルス名称を付けている。 [ANTI-DAF] 名  称:ANTI-DAF 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:561バイト 発祥地:不明 発見日:不明 詳  細:感染方法: カレントディレクトリ内の未感染.COMファイルを検索して1 つずつ感染する。 システムの日付が11月でありかつ月曜日であれば発病し、 以下のメッセージを表示した後ハードディスク上のデータ を全て破壊する。 "The Anti-DAF virus.. DAF-TRUCKSE indhoven.. Hugo vd Goeslaan 1..postbus 90063..6500 PREindhoven 、 The Netherlands. .. DAF sucks..... (c) 1992 Dark Helmet & The Virus Research Centre" 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合、プログラム実行時に"書き込 み不可"という意味のエラーメッセージを表示する。 [ANTIEXE] 名  称:ANTIEXE 別  名:CMOS4, D3, NEWBUG 分  類:システム領域感染型 対  象:FD:ブートセクタ;HD:マスターブートレコード ウイルスサイズ:N/A 発祥地:不明 発見日:不明 詳  細:感染方法:−このウイルスに感染したフロッピ ーディスクでマシンの起動動作を行うとハードディスクの システム領域(マスターブートレコード)に感染する。 −このウイルスに感染したハードディスクでマシンを起動 すると、メモリーに常駐してファイルの入出力を監視す る。その後、書き込み可能なフロッピーディスクにアクセ スすると、そのディスクのブートセクタに感染する。 その他: −常駐後、EXEファイルを実行した時、そのファイルが正常 に実行されない場合がある。そのため、ANTIEXEと名称があ る。 −常駐時にディスクBIOSであるInt13h を IntD3h に変更す るため、D3という別名もある。 −ステルス型なのでメモリにウイルスがいる状態では、ウ イルスコードにアクセスできない。 [ANTIPRNT] 名  称:ANTIPRNT 分  類:ファイル感染型 対  象:.EXE ウイルスサイズ:593バイト 発祥地:不明 発見日:不明 詳  細:感染方法: 1)ウイルスがメモリに常駐していなければ、最上位メモリ に常駐する。 2)オリジナルファイルを実行する。 3)メモリに常駐し、未感染のファイルを実行する度に感染 する。 破壊:DOSのバージョンが3.0以降で、"PRINTER"がインスト ール済みの時、 カレントディスクのデータを破壊する。 使用割り込み命令:Int 21h、Int 24h 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合でも、"書き込み不可"という 意味のエラーメッセージを表示しない。 [ANTI-WIN] 名  称:ANTI-WIN 別  名:Anti Win v1.0 分  類:ファイル感染型, メモリ常駐型 対  象:.EXE ウイルスサイズ:632 bytes 詳  細:感染したファイルを実行すると、ウイルスは、ま ず、すでにマシンが感染していないかどうかを確認する。感 染していなければ、メモリに常駐する。 その後、アクセスした.exeファイルに感染する。感染したフ ァイルはウイルスが感染を認識できるように変更される。 損害: - いったん感染したファイルは、ウイルスがメモリに常駐 している間正常に実行できなくなり、“Access denied(アク セスできません)” または “Cannot execute  (実行できません<プログラム名>)”というエラーメ ッセージが表示される。(ウイルスのメモリ常駐を解除すれ ば正常に動作する。) 備  考:-ウイルスコードの中には以下の文字列がある。 The strings “Anti-Win 1.0” “(C) Zarathustra & Morgan” -ウイルスコード内に、WIN.INIを書き換えるような命令が書 かれているが、バグがあるためにこの命令は動作しない。 [ANXIETY.POPPY.II] 名  称:ANXIETY.POPPY.II 分  類:ファイル感染型 対  象:Windows95:32ビットPE形式ファイル ウイルスサイズ:1、072〜1、490バイト 発祥地:アメリカ 発見日:1997年10月 詳  細:感染方法: −感染ファイルを実行すると32ビットWindowsPEタイプ のファイルを検索します。そしてファイルの末尾に付着し て感染する。 発病: −特に破壊活動はないと思われます。 その他: ウィルス感染ファイルには以下の文字列が含まれている が、表示されることはない。 Anxiety.Poppy.II by VicodinESfeel the pain、 mine not yours! All alone and I don’t understand A cry for help and no one answers Will I last for more than a week Will a taste the gunpowder Can I all end it all and make it easy Is it sick to ask Is it safe to cry Will I be gone soon Will I last Will you care Will I? -- If you don’t hear from me in a while -- say a prayer for me because I have left、 never to returen -- peaceful goodnight、 hopefully Vic 備  考:このウイルスの駆除方法は調査中のため、感染 ファイルを削除しオリジナルファイルを書き戻すことで対 応する必要がある。 [AOL4FREE] 名  称:AOL4FREE 分  類:デマ情報 ウイルスサイズ:N/A 詳  細:AOL4FREE、 through many iterations、 has become a fraudulent computer program、 a Virus Warning Hoax and Trojan horse program. When the program was first created、 AOL4FREE was intended to provide illegal free access to America Online. The creator was caught and pleaded guilty to fraud. Eventually、 AOL4FREE became a Virus Hoax Warning. Here is an example of the AOL4Free Hoax Warning: ***************************************************** ****** VIRUS ALERT!!! DON探 OPEN E-MAIL NOTING "AOL4FREE" Anyone who receives this must send it to as many people as you can. It is essential that this problem be reconciled as soon as possible. A few hours ago、 I opened an E-mail that had the subject heading of "AOL4FREE.COM". Within seconds of opening it、 a window appeared and began to display my files that were being deleted. I immediately shut down my computer、 but it was too late. This virus wiped me out. It ate the Anti- Virus Software that comes with Windows 5 Program along with F-Prot AVS. Neither was able to detect it. Please be careful and send this to as many people as possible、 so maybe this new virus can be eliminated. ***************************************************** ******* More recently、 AOL4FREE has become a Trojan Horse program. When executed、 this program has been shown to destroy hard drives. It contains a simple batch file、 which when executed will run the DOS DELTREE command to delete all files within its directory and any subdirectories that mightexist. If you receive an e-mail message from an unknown source with the subject "AOL4FREE" and an attached file、 simply delete the e- mail message. 備  考: [AOL4FREE.COM] 名  称:AOL4FREE.COM 分  類:その他 ウイルスサイズ:993bytes 詳  細:感染方法: −トロイの木馬型プログラムである。トロイの木馬プログ ラムは直接システムに破壊活動を行うが、感染活動は行わ ない。 - このファイルを十こすると、Cドライブのファイルを削除 する。これには以下のコマンドを使用する。 C: CDDELTREE /Y *.* 備  考:プログラムが実行されている最中であれば、 " Ctrl-C"を同時に押して終了させることができる。 [APRIL 1ST] 名  称:APRIL 1ST 別  名:SURIV 3 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:1488バイト 発祥地:イスラエル 発見日:不明 詳  細:感染方法: 1)ウイルスがメモリに常駐していなければ常駐する。 2)オリジナルファイルを実行する。 3)メモリに常駐し、未感染ファイルを実行する度に感染す る。 破壊: システムの日付が4月1日であれば発病し、次のようなメッ セージを表示する。 "APRIL 1ST HA HA HA YOU HAVE A VIRUS." メッセージを表示した後システムがハングアップする。 識別方法: ファイル内に "SURIV." という文字列を含む。 ドライブC:のルートディレクトリに、 "BUG.DAT" という不 可視属性ファイルがないかチェックする。 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合、プログラム実行時に"書き込 み不可"という意味のエラーメッセージを表示する。 [APRIL_998] 名  称:APRIL_998 分  類:ファイル感染型 対  象:.EXE ウイルスサイズ:998バイト、1104バイト(常駐時) 発祥地:不明 発見日:不明 詳  細:感染方法: 感染プログラムを実行するとウイルスがメモリに常駐して いるかチェックして、常駐していればオリジナルプログラ ムを実行する。 ウイルスは、MCB (memory control block)の上位、DOSの 640k境界下に常駐する。 破壊: システムの日付が毎年4月であればに発病し、C:ドライブの 論理セクタ0〜Feh(254)に意味のないデータを書き込む。 使用割り込み命令:Int 21h 備  考:次の名前のファイルには感染しない。 "SCAN*"、"CLEA*"、"VIRS*"、"F-PR*"、"CPAV*" [ARAGORN] 名  称:ARAGORN 分  類:システム領域感染型 対  象:FD:ブートセクタ ウイルスサイズ:N/A 発祥地:不明 発見日:不明 詳  細:ドライブAのフロッピーディスクのみ感染する。 感染、増殖以外の活動はなし。 備  考: [ARCV-2] 名  称:ARCV-2 分  類:ファイル感染型 対  象:.EXE ウイルスサイズ:693バイト 発祥地:不明 発見日:不明 詳  細:感染方法: 1)カレントディレクトリ内の.EXEファイルを探し出す。 2)すでに感染していれば、未感染の.EXEファイルを探す。 3)未感染のファイルがあれば1つずつ感染する。 4)未感染.EXEファイルの有無に関わらず、システムの日付 が4月または各月の6日であれば発病し、 "Help .. Help .. I’m Sinking ........" と画面上に表示する。 使用割り込み命令:Int 24h その他、破壊行動はないものと思われる。 備  考:1)ウイルスの一部に欠陥があるため、感染ファ イルのほとんどは実行できず、ウイルスそのものも感染や 破壊活動ができない。 2)メディアなどにライトプロテクト(書き込み禁止処理) が施されている場合、プログラム実行時に"書き込み不可" という意味のエラーメッセージを表示する。 [ARCV-3A] 名  称:ARCV-3A 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:657バイト 発祥地:不明 発見日:不明 詳  細:感染方法: カレントディレクトリ内の未感染.COMファイルを検索して 感染する。 システムの日付が2月であれば発病して以下のメッセージを 表示する。 "I’ve just Found a Virus.. Oops.. Sorry I’m the virus...Well let me introduce myself.. I am ARCV-3 Virus、 by Apache Warrior... Long Live The ARCV and What’s an Hard ECU?.. Vote Yes to the Best Vote ARCV..." 破壊:感染、増殖以外の活動はなし。 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合、"書き込み不可"という意味 のエラーメッセージを表示する。 [ARCV-5] 名  称:ARCV-5 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:475バイト 発祥地:イギリス 発見日:不明 詳  細:感染方法: カレントディレクトリ内の未感染.COMファイルを検索して1 つずつ感染する。 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合、プログラム実行時に"書き込 み不可"という意味のエラーメッセージを表示する。 [ARCV-570] 名  称:ARCV-570 分  類:ファイル感染型 対  象:.EXE ウイルスサイズ:570〜585バイト 発祥地:不明 発見日:不明 詳  細:感染方法: 1)カレントディレクトリ内の.EXEファイルを検索する。 2)未感染ファイルを探し出して1つずつ感染する。 破壊: 感染、増殖以外の活動はなし。 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合、プログラム実行時に"書き込 み不可"という意味のエラーメッセージを表示する。 [ARCV-6] 名  称:ARCV-6 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:355バイト 発祥地:イギリス 発見日:不明 詳  細:感染方法:カレントディレクトリ内の未感染. COMファイルを検索して1つずつ感染する。 破壊:感染、増殖以外の活動はなし。 識別方法:感染ファイルは335バイト増加する。 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合、"書き込み不可"という意味 のエラーメッセージを表示する。 [ARCV-670] 名  称:ARCV-670 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:670バイト 発祥地:不明 発見日:不明 詳  細:感染方法: 1)カレントディレクトリ内の.COMファイルを探し出す。 2)そのファイルがARCV-670ウイルスに感染していれば、他 の未感染の.COMファイルを探し出す。 3)一度に感染するファイルは1つだけ。 4)システムの日付が1992年以降の12月20日〜25日であれば 発病し、 "Happy Xmas from the ARCV" というメッセージを表示した後システムがハングアップす る。 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合、プログラム実行時に"書き込 み不可"という意味のエラーメッセージを表示する。 [ARCV-7] 名  称:ARCV-7 分  類:ファイル感染型 対  象:.EXE ウイルスサイズ:541バイト 発祥地:イギリス 発見日:不明 詳  細:感染方法: カレントディレクトリ内で、未感染の.EXEファイルに1つず つ感染する。 破壊: 感染、増殖以外の活動はなし。 備  考:1)プログラム自体に欠陥があるため、感染した ファイルが実行されるとシステムがハングアップする。 2)メディアなどにライトプロテクト(書き込み禁止処理) が施されている場合、プログラム実行時に"書き込み不可" という意味のエラーメッセージを表示する。 [ARCV-718] 名  称:ARCV-718 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:718バイト 発祥地:不明 発見日:不明 詳  細:感染方法: 1)メモリに常駐していなければ、メモリ上位に常駐す る。 2)常駐後、オリジナルルーチンに戻る。 3)未感染の.COMまたは.EXEファイルを実行する度に感染 していく。 破壊: システムの日付が各年1月1日〜7日であれば発病し、 以下のメッセージを表示してシステムをハングする。 "Hello Dr Sol & Fido Lurve U lots.... " 使用割り込み命令:Int 21h [ARCV-9] 名  称:ARCV-9 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:771バイト 発祥地:不明 発見日:不明 詳  細:感染方法: 1)ウイルスがメモリに常駐していなければ常駐する。 2)オリジナルファイルを実行する。 3)メモリに常駐し、未感染のファイルを実行する度に感染 する。 .EXEファイルには感染しない。 使用割り込み命令:Int 21h、Int 24h 特に破壊活動はないものと思われる。 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合でも、プログラム実行時に"書 き込み不可"という意味のエラーメッセージを表示しない。 [ARCV-FRI] 名  称:ARCV-FRI 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:839バイト 発祥地:不明 発見日:不明 詳  細:感染方法: 1)システムの日付が4月12日であれば発病し、 カレントディレクトリ内の.COMファイルを破壊する。 2)4月12日以外の日であれば、カレントディレクトリ内の. COMファイルを探し出す。 3)そのファイルがARCV-FRIウイルスに感染していれば、他 の未感染の.COMファイルを探し出す。 4)一度に感染するファイルは1つだけ。 5)最後に、オリジナルファイルを実行する。 破壊: システムの日付が4月12日であれば、カレントディレクトリ 内の.COMファイルを破壊する。 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合、プログラム実行時に"書き込 み不可"という意味のエラーメッセージを表示する。 [ARGENTINA] 名  称:ARGENTINA 別  名:ANTI-D, ARGENTINA 1.0, DAD, XUXA 分  類:ファイル感染型 対  象:.COM(command.comを除く) ウイルスサイズ:1249バイト 発祥地:アルゼンチン(ブエノスアイレス) 発見日:1991/10 詳  細:感染方法: 1)感染ファイルを実行するとメモリーに常駐する。 2)常駐後,実行した.COMファイルの最後にウィルスコ− ドを追加して感染する。 感染ファイルのタイムスタンプは更新されない。 破壊: Argentinaの発病日は以下の4日である。その日になると、 以下のメッセージを表示する。 5月25日   "25 de Mayo Declaracion de la independencia Argentina Argentina Virus escrito por AfA - Virus benigno - ENET 35 Pulse usa tecla para continuar" 6月20日   "20 de Junio Dia de la bandera Argentina Argentina Virus escrito por AfA - Virus benigno - ENET 35 Pulse usa tecla para continuar" 7月9日 "9 de Julio Dia de la independencia Argentina Argentina Virus escrito por AfA - Virus benigno - ENET 35 Pulse usa tecla para continuar" 8月17日   "17 de Agosto Aniversario de la defuncion del Gral.San Martin Argentina Virus escrito por AfA - Virus benigno - ENET 35 Pulse usa tecla para continuar" これらのメッセージが表示されたときキーをどれか押す と、実行中のプログラムは続行される。 このウィルスには、上のメッセージの他にも別の文字列が 含まれている。 その他の亜種: − Xuxa、  ・ウイルスサイズは1413バイト。  ・システム時計が午後になると音楽を鳴らす。 − Anti-D  ・ウイルスサイズは945バイト。  ・キーボードからの「D」の入力を妨害する。 − Dad  ・メッセージの表記がスペイン語である。 [ARIANNA] 名  称:ARIANNA 分  類:複合感染型 対  象:HD:マスターブートレコード;.EXE ウイルスサイズ:3426バイト(.EXE)、3586バイト(メモリ) 発祥地:不明 発見日:不明 詳  細:1.ファイルサイズが6000〜458752バイト(1770H 〜70000H)の.EXEファイルにのみファイル感染する。 2.パーティションテーブルにも感染し、ハードディスクの 最後の9セクタを上書きする。 使用割り込み命令:Int 21h 感染方法: このウイルスは、感染プログラムまたはパーティションテ ーブルを介して感染していく。 ARIANNA に感染したファイルを実行すると、メモリに常駐 する。 すでにメモリに常駐していれば、感染したプログラムを実 行する。 ウイルスはメモリ上位に常駐する。 破壊:空きメモリが減少する。 備  考: [ARIANNA.3076] 名  称:ARIANNA.3076 別  名:C1M-0092, CM-0092-1 分  類:ファイル感染型;メモリ常駐型;ステルス型 ウイルスサイズ:3,076 bytes 詳  細:-これはファイル感染型ウイルスで、.comと.exe ファイルに感染する。感染を隠蔽するためのステルス行動を とる。 - 感染ファイルを実行するとメモリに常駐し、以後アクセス したファイルにの最後にコードをコピーして感染する。 備  考:- ウイルスコード内には、暗号化された以下の文 字列がある。 Improved ARIANNA , waiting for ADVANCED 386 Bari @1995 by AV (ANTI)-VIRUS SYSTEM [ARKA] 名  称:ARKA 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:1905バイト 発祥地:不明 発見日:不明 詳  細:感染方法: 1)ウイルスがメモリに常駐していなければ常駐する。 2)オリジナルプログラムを実行する。 3)メモリ内に常駐し、未感染のファイルが実行されると感 染する。 破壊:感染、増殖以外の活動はなし。 使用割り込み命令:Int 21h 備  考: [ARRIBA] 名  称:ARRIBA 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:1590バイト 発祥地:不明 発見日:不明 詳  細:感染方法: 1)メモリに常駐していればそのままオリジナルルーチン に戻り、 常駐していなければメモリ上位に常駐する。 2)常駐後、日付が11月20日であればメッセージを表示す る。 .COMファイルの場合、オリジナルファイルの先頭部にウ イルスコードを追加する。 また、ファイルの末尾に2バイトのIDコードを追加し、 感染していることを示す。 3).EXEファイルの場合、ファイルの末尾にウイルスコ ードを追加する。 また、ファイルの先頭を書き換え、末尾にIDコードを追 加する。 破壊:システムをハングする。 使用割り込み命令: Int 08h、 Int 21h 備  考:感染ファイルの日付と時刻は変更されない。 [ARUSIEK] 名  称:ARUSIEK 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:817バイト 発祥地:ポーランド 発見日:不明 詳  細:感染方法: 1)ウイルスがメモリに常駐していなければ常駐し、その後 感染先プログラムを実行する。 2)すでにメモリに常駐していれば、感染先プログラムがそ のまま実行される。 3)未感染ファイル実行時に感染する。 破壊: 1994年以降、メモリ常駐後に148回以上キーボードからの入 力が行われると 以下の文字列を表示する "Arusiek" その他破壊活動はないものと思われる。 使用割り込み命令: Int 21h、Int 24h 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合でも、 プログラム実行時に"書き込み不可"という意味のエラーメ ッセージを表示しない。 [ASCIIV.613] 名  称:ASCIIV.613 別  名:Ascii.613, Ascii.ow.613 分  類:ファイル感染型 対  象:DOS 詳  細:-  実行されるとメモリ常駐を行い、以降実行されたCOM形式 の実行可能ファイルに感染していきます。単に感染してい くだけでそれ以上の破壊活動はない単純なウイルスです。 [ASH] 名  称:ASH 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:280バイト 発祥地:不明 発見日:不明 詳  細:感染方法: 1)カレントディレクトリ内の全ての.COMファイルに感染 する。 (同じファイルには再感染せず、また64768バイト以上の ファイルにも感染しない。) 2)新たに感染したファイルが2つ以下の場合は、親ディレ クトリ、 またはより上位のディレクトリへと次々とさかのぼって 未感染.COMファイルに感染する。 3)日付と時刻は感染した日時に更新される。 破壊:感染、増殖以外の活動はなし。 備  考:その他の亜種: − Ash-B  ・ カレントディレクトリ内の未感染の.COMファイルを 発見して感染する。 − Ash-743  ・ ウイルスサイズが743バイト [AST-1010] 名  称:AST-1010 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:1010バイト 発祥地:不明 発見日:不明 詳  細:感染方法: 1)ウイルスは自身のコードを解読し、メモリ上位に常駐 する。 2)常駐後、カレントディレクトリ内のすべての.COMと. EXEファイルに感染する。 (同じファイルには再感染しない)。 3)システムの日付が毎月16日になるとパーティションテ ーブルに変更を加えるため、システムをが正しく起動でき なくなる。 破壊: 発病すると画面が一瞬光り、パーティションテーブルのデ ータを書き換える。 この時、4つあるパーティションレコードをそれぞれ4バ イトずつXOR命令で55に変更する。 使用割り込み命令: Int 21 備  考:1)感染ファイルの日付と時刻は変更されない。 2)メモリに常駐しているか検証する方法はAST-976ウイル スと同じ。この2つのウイルスは同時にメモリに常駐するこ とはできない。 [AST-976] 名  称:AST-976 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:976バイト 発祥地:不明 発見日:不明 詳  細:感染方法: 1)まず、ウイルスコードが読み込まれ、ウイルスはメモ リ上位に常駐する。 2)常駐後、カレントディレクトリ内のすべての.COMファ イルに感染する。 (同じファイルには再感染しない)。 3)システムの時刻が毎時17分であればパーティションテ ーブルに一部変更を加え、 システムが正常に起動しないようにする。 破壊: 発病すると画面が一瞬光り、パーティションテーブルのデ ータを一部書き換える。 この時、4つあるパーティションレコードをそれぞれ4バ イトごとにXOR命令で55に変更する。 (このためパーティションテーブルが一部変更される。) 使用割り込み命令:Int 21h 備  考:1)感染ファイルの日付と時刻は変更されな い。 2)メモリに常駐しているか検証する方法はAST-1010ウイ ルスと同じ。   この2つのウイルスは同時にメモリに常駐することはで きない。 [AT144.1] 名  称:AT144.1 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:140バイト 発祥地:不明 発見日:不明 詳  細:感染方法 :CPUが286以上のマシンで、感染ファ イルを実行するとメモリに常駐し、その後アクセスしたCOM ファイルに感染する。 損害 :なし。損害を与える亜種も存在する。 − 最も小さいウイルスの一つであり、割り込みテーブル の0000:0350を占め、COMファイルの最後に感染する。 − ファイルの増加サイズは140バイトであるが、常駐時に は使用可能メモリが144バイト減少する。最後の4バイト は、ウイルスが制御をDOSに戻すために使うFAR Call命令の アドレスである。 備  考:亜種: − サイズが132〜149バイトまでの亜種が存在する。 − 破壊活動を行う亜種はサイズが132バイトと149バイト の2つバージョンがある。 [ATAS_400] 名  称:ATAS_400 分  類:ファイル感染型 対  象: .COM ウイルスサイズ:400bytes 詳  細:実行手順: ウイルスは自分自身を暗号解読します。書き込むときI/O エラーを防ぐためにINT24hをフックして先頭を書き換えま す。 255バイト以上、64256バイト未満の未感染の.COMファイル を検索します。 システムタイムを確認し、秒が3未満ならば、以下のメッ セージを表示しま "I like to travel ...". 次に、INT 24hを解放して、元のルーチンに戻ります。 ダメージ: なし 備  考:1) 一度に1つのファイルに感染します。 2) 感染ファイルの日付と時間は置き替えられます。 [ATAS-3] 名  称:ATAS-3 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:1268バイト 発祥地:不明 発見日:不明 詳  細:感染方法: 1)メモリに常駐していなければ常駐し、オリジナルプログ ラムを実行する。 2)すでに常駐していれば、そのままオリジナルプログラム を実行する。 3)ファイルを実行すると感染する。 使用割り込み命令:Int 21h、Int 24h 識別方法:感染ファイルは1268バイト増加する。 破壊:感染、増殖以外の活動はなし。 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合でも、 プログラム実行時に"書き込み不可"という意味のエラーメ ッセージを表示しない。 [ATAS-3215] 名  称:ATAS-3215 分  類:ファイル感染型 対  象:.EXE ウイルスサイズ:3215バイト 発祥地:不明 発見日:不明 詳  細:感染方法: 1)メモリに常駐していなければ常駐し、オリジナルプログ ラムを実行する。 2)常駐していれば、そのままオリジナルプログラムを実行 する。 3)未感染ファイルが実行される度に感染する。 4)DOS 3.3のファイルだけに感染する。 使用割り込み命令:Int 21h 破壊:感染、増殖以外の活動はなし。 備  考:増加サイズは約3215バイトだが、亜種がいくつ か存在する。 [ATAS-3321] 名  称:ATAS-3321 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:3321バイト 発祥地:不明 発見日:不明 詳  細:感染方法: 1)メモリに常駐していなければ、メモリ上位に常駐す る。 2)常駐後、オリジナルルーチンを実行する(DOS 3.3上で のみウイルスが正常に動作する)。 3)未感染の.COMファイルが実行される度に1つずつ感染す る。 使用割り込み命令:INT 21h、INT 24h 破壊: 感染、増殖以外の活動はなし。 [ATAS-400] 名  称:ATAS-400 別  名:ATAS 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:400バイト 発祥地:ポーランド 発見日:不明 詳  細:感染方法: 1)感染ファイル実行後、カレントディレクトリ内の255〜 64256バイトの未感染.COMファイルに感染する。 2)一度に感染するファイルは一つだけ。 3)感染ファイルの日付と時刻は感染した日時に更新され る。 破壊:システム時刻の秒が3秒以下であれば発病し、 "I like to travel ..." というメッセージを表示し、オリジナルルーチンに戻る。 その他の破壊活動はないものと思われる。 − ウイルスコード内に以下の文字列が暗号化されて含ま れている: "ATAS(Kiev)" 使用割り込み命令:Int 24h 備  考: [ATHENS] 名  称:ATHENS 別  名:TPROJECTOR、TROJECTOR 分  類:ファイル感染型 対  象:.COM(command.comを除く);.EXE ウイルスサイズ:1463or1561バイト 発祥地:ギリシャ 発見日:不明 詳  細:感染方法: 1)ウイルスコードの暗号を解読する。 2)メモリに常駐していなければメモリ上位に常駐し、その 後オリジナルルーチンを実行する。 3)未感染の.EXE、もしくはCOMMAND.COMを除く.COMファイ ルが実行される度に感染する。 4)プログラムが感染しているかチェックする。 感染すると、ファイルの日付と時刻は感染した日時に変 更される。 ウイルスがメモリに常駐している場合、サイズ増加は確 認できない。 − 1、463byteタイプのものは、ウイルスの中に下記の文字 列が暗号化されて含まれている。 "TPROJECTOR II、(c) Armagedon Utilities、 Athens 1992" − 1、561byteタイプのものには、下記の文字列が暗号化さ れて含まれている。 "TPROJECTOR ]I[、(c) Armagedon Utilities、 Athens 1992、 Greetings to Vesselin" − "Vesselin"とはハンブルグ大学のウイルス専門家、 Vesselin Bontchev氏のことではないかと思われる。 破壊:その他破壊活動などはないものと思われる。 [ATOMIC] 名  称:ATOMIC 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:371bytes 詳  細:- このウイルスは*.COMファイルに感染します。 感染したファイルが実行されると、ウイルスは同じディレ クトリにある最初の2つの.COMファイルに感染します。 感染するとファイルの最初の371バイトを上書きします。感 染したファイルのタイムスタンプは改変されません。 - 感染後に、以下のメッセージを表示します。 "Bad command or file name" 以下の文字列がウイルスコード内に存在します。 "[TAD1A] Memory Lapse -- Toronto、 CANADA" "The Atomic Dustbin 1A -- This is just the first step" "Bad command or file name" "*.COM .. c Dustbin 1A -- This is just the first step" [ATOMIC-1A] 名  称:ATOMIC-1A 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:0バイト 発祥地:不明 発見日:不明 詳  細:感染方法: 1)システムの日付が各月25日であれば発病し、 "The Atomic Dustbin 1A -- This is almost the first step !" というメッセージを表示した後システムがハングする。 2)日付が25日ではない場合、 i)カレントディレクトリ内の.COMファイルを探 し ii)そのファイルが感染していれば、未感染の. COMファイルを探し出し iii)未感染のファイルがあれば感染する(一度の感 染でファイル2つに感染)。 感染後、 "Bad command or file name" と表示す る。 破壊:感染、増殖以外の活動はなし。 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合、 プログラム実行時に"書き込み不可"という意味のエラーメ ッセージを表示する。 [ATOMIC-1B] 名  称:ATOMIC-1B 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:0バイト 発祥地:不明 発見日:不明 詳  細:感染方法: 1)システムの日付が各月1日であれば発病し、 "The Atomic Dustbin--YOUR PHUCKED !" というメッセージを表示した後システムをハングする。 2)システムの日付が各月26日であれば、 "The Atomic Dustbin 1B -- This is almost the second step !" と表示した後ハングする。 3)1日/26日以外の日であれば: i) カレントディレクトリ内の.COMファイルを探 し出し ii) そのファイルが感染していれば、未感染の. COMファイルを探し iii)未感染の.COMファイルがあれば1つずつ感染し ていく。感染すると、 "Program execution terminated." と表示 する。 破壊:感染、増殖以外の活動はなし。 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合でも、 プログラム実行時に"書き込み不可"という意味のエラーメ ッセージを表示しない。 [ATOMIC-2A] 名  称:ATOMIC-2A 分  類:ファイル感染型 対  象:.EXE ウイルスサイズ:350バイト 発祥地:不明 発見日:不明 詳  細:感染方法: 1)カレントディレクトリ内の.EXEファイルを探し出す。 2)感染していれば、他の未感染の.EXEファイルを探す。 3)未感染のファイルがあれば1つずつ感染していく。 破壊: システムの日付が4月、もしくはそれ以外の月の6日であっ た場合、 "Help ..Help .. I'm Sinking ........" と画面上に 表示する。 ウイルスの一部に欠陥があるため、感染ファイルのほとん どは実行できず、 ウイルスそのものも活動ができない。 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合、 プログラム実行時に"書き込み不可"という意味のエラーメ ッセージを表示する。 [ATTE-629] 名  称:ATTE-629 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:629バイト 発祥地:不明 発見日:不明 詳  細:感染方法: カレントディレクトリ内の未感染.COMファイルを探し出し て1つずつ感染する。 破壊:感染、増殖以外の活動はなし。 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合、 プログラム実行時に"書き込み不可"という意味のエラーメ ッセージを表示する。 [ATTITUDE] 名  称:ATTITUDE 別  名:ATTITUDE.724、 RIOT.ETERNITY.600、 ETERNITY. 600、 ETERNITY.599、 EXE.CRYPT、 IMMORTAL 分  類:ファイル感染型 対  象:.EXE ウイルスサイズ:599〜724byte 発祥地:不明 発見日:1994年 詳  細:− 感染ファイル実行時に他の未感染ファイル に感染する。 − 破壊活動はないが、感染方法から1024byte以下のサイ ズのファイルに感染するとファイルが壊れてしまう。 − ウイルスコード内に以下の文字列が含まれる: "(c) '94 The Unforgiven/Immortal Riot" 備  考:-.EXEに感染する亜種もある。  -ATTITUDEの亜種のなかには、以下の文字列のうちいくつ かをウイルスコード内に含むものがある。  ・(c〕’94 The Unforgive/Immortal Riot  ・Eternity_II  ・Red Mercury  ・I hereby annex this sector as the property of IR! [ATTITUDE-2] 名  称:ATTITUDE-2 別  名:VCCA、IE-VCC-B 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:1Kbyte未満 発祥地:不明 発見日:1994 詳  細:− 感染ファイル実行時に他の未感染.comファ イルを探し出して感染する。ウイルスコードを内部で暗号 化するプロセスを持つ。 - 感染ファイルは上書きされる。 - 駆除不可。 備  考:-このウイルスはATTITUDEの亜種ともいえるが、 実のところ新種のウイルスと考えてもいいだろう。 ATTITUDE-2の亜種のなかには、以下の文字列のうちいくつ かをウイルスコード内に含むものがある。  ・[DreamWorld?]$"I have a dream..." ・Copy me、 so I can travel around the globe! ・Spreading my message、 manipulating yourthoughts、 your mind、 andyouractions"Love、 Peace、 Empathy!" ・(c) 93/94 Immortal Riot - All rights reserved! -.EXEに感染する亜種もある。 [ATVX_EXPLODER] 名  称:ATVX_EXPLODER 分  類:ActiveXコントロール 対  象:ocx 発祥地:http://www.halcyon.com/mclain/ActiveX 発見日:不明 詳  細: ActiveX_ExploderはActiveXコントロールを使 用した破壊プログラムのデモンストレーションです。 ActiveXの危険性啓蒙のために http://www.halcyon.com/mclain/ActiveX にて公開されています。モジュール名は「Exploder.ocx」 です。 − 破壊:  Windows95を正常にシャットダウンし、BIOSによる電源 OFFがサポートされている場合は電源OFFを行う。このプロ グラム自体に危険性はありませんが予期せぬ場所に存在す ることでパニックを起こしたり第三者のソース改変により 破壊を伴う危険性があります。 備  考:1)感染行動は行わない。 [ATVX_SHOWWORD] 名  称:ATVX_SHOWWORD 分  類:ActiveXコントロール 対  象:ocx 発祥地:不明 発見日:不明 詳  細:− ActiveX_ShowWardはActiveXコントロールを 使用したトロイの木馬式破壊プログラムです。 − 感染活動はありません。 損害:  - HD内の最近使ったMS-WordのDOCファイルを検索し、イ ンターネット経由で特定の場所へ送信する。 備  考:1)感染行動は行わない。従って、厳密な意味で は、AcriveX_ShowWordは「ウイルス」ではない。 [AUGUST16] 名  称:AUGUST16 別  名:IRON MAIDEN 分  類:ファイル感染型 対  象: .COM ウイルスサイズ:636bytes 詳  細:August16は、ファイルに感染するウイルスで す。 *.COMファイルだけに感染します。 感染は、感染しているファイルが実行されるときに起きま す。 次にウイルスは、ウイルスコードをメモリへロードしま す。 メモリに常駐した後、August16は、アクセスされる2つの*. COMファイルに感染します。 備  考: [AUGUST-16TH] 名  称:AUGUST-16TH 別  名:IRON MAIDEN 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:636バイト 発祥地:ポーランド 発見日:不明 詳  細:感染方法: 1)カレントディレクトリ内の最初の2つの.COMファイルが 感染しているかチェックする。 2)未感染であれば感染する。 3)すでに感染していたら、C:ドライブのカレントディレク トリを探しに行き、 .COMファイルが2つあるかチェックする。 4)あればそれらに感染する。 5)オリジナルファイルが実行される。 発病: 1)August 16thウイルスがオリジナルファイルを上書きし て、 ファイルの更新日時を分からないようにする。 2)感染ファイルは、 "*.COM AA"と "=!=IRON MAIDEN." の文字列を含む。 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合、 プログラム実行時に"書き込み不可"という意味のエラーメ ッセージを表示する。 [AUS-440] 名  称:AUS-440 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:440bytes 発見日:1995/08 詳  細:感染方法  ポリモフィック型ウイルスである。感染ごとに異なる暗号 化を施し、感染を発見されにくくする。  メモリー上位に常駐し、未感染.COMファイルが実行され ると、そのファイルにウイルスコードを書き加える。   損害  破壊活動は行わず、ファイルサイズが増加するだけ。 備  考: [AUSTR_PARASITE] 名  称:AUSTR_PARASITE 別  名:AUSSIE_PARASITE 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:292バイト 発祥地:不明 発見日:不明 詳  細:感染方法: 1)感染したファイルを実行すると、ウイルスがメモリに 常駐する。 トータル空きメモリが320バイト減少する。 2)ウイルスがメモリに常駐すると、.COMファイルを実行 する度にウイルス感染する。 感染ファイルは292バイト増加し、末尾にウイルスコ ードが追加される。 3)感染ファイルの日付と時刻は更新されない。 システムがハングすこともある。 また、このウイルスは以下のような文字列を持つ。 "Australian Parasite" 備  考: [AUTUMN] 名  称:AUTUMN 別  名:VIRUS 1701、 CASCADE-B 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:1701バイト 発祥地:不明 発見日:不明 詳  細:感染方法: 1)ウイルスがメモリに常駐していなければ常駐する。 2)オリジナルファイルを実行する。 3)メモリに常駐し、未感染のファイルを実行する度に感染 する。 破壊: AutumnウイルスはビデオRAMを書き換えて画面上の文字を落 下させる。 始めのうちはそれほど頻繁にこの現象は発生しないもの の、 時間が経過するにつれて落下動作・効果音ともにより激し くなる。 セミグラフィック文字は落下せず、落下する文字も自身と 異なるビデオ属性を持つ 文字の上には落ちない。モノクロのモニタでは発病しな い。 ウイルスにより、ハードディスクが破壊される場合もあ る。 使用割り込み命令:Int 21 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合、 プログラム実行時に"書き込み不可"という意味のエラーメ ッセージを表示する。 [AVIS2048] 名  称:AVIS2048 分  類:ファイル感染型 対  象:.EXE ウイルスサイズ:N/A 発祥地:不明 発見日:不明 詳  細:感染方法: 1)感染ファイルを実行すると、直接感染すると同時にメ モリに常駐する。 2)ウイルスがメモリに常駐した状態でBIOSレベルでディ スクにアクセスを行うと ランダムで発病し、メモリ上のバッファの内容を特定の 文字列に置き換える。 3)C:\DOS内のXCOPY.EXE、MEM.EXE、SETVER.EXE、EMM386.EXE など特定のファイルに直接感染する。 2重感染はしない。 破壊: ファイルのコピーを行うとコピー元ファイルから読み込ん だ内容を、 コピー先ファイル内に書き出す際に差しかえてしまう。 そのため、コピー先のファイルには差しかえられた内容が 書き込まれ破壊されてしまう。 -ウイルスによって破壊されたファイルは内部に以下の文字 列を含む。 $$ Virus AVISPA $$ Republica Argentina$$ Elijah Baley$$ Noviembre 10 de 1993 $$ This program is not an old virus variant、and it was written in Argentina by Elijah Baley. $$ 備  考: [B1334LUST] 名  称:B1334LUST 別  名:BLOODLUST、 BLOOD-L 分  類:ファイル感染型 対  象:.C* ウイルスサイズ:変化なし 発祥地:不明 発見日:不明 詳  細:感染方法: 1)カレントディレクトリ内の*.C*ファイルを探し出す。 2)Bloodlustウイルスに感染していれば他の未感染 *.C*フ ァイルを探す。 3)感染した *.C*ファイルを実行する度に感染し、 全ての *.C*ファイルが感染するまで1)〜2)を繰り返 す。 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合、 プログラム実行時に"書き込み不可"という意味のエラーメ ッセージを表示する。 [B1344Y-1] 名  称:B1344Y-1 別  名:BLOODY、 STONED.JUNE.4TH.C、 JUNE 4TH、 BLOODY -1 分  類:システム領域感染型 対  象:FD:ブートセクタ;HD:マスターブートレコード ウイルスサイズ:N/A 発祥地:台湾 発見日:1990/12 詳  細:感染方法: このウイルスに感染したフロッピーディスクでマシンの起 動動作を行うとハードディスクのシステム領域(マスタ ーブートレコード)に感染する。このウイルスに感染した ハードディスクでマシンを起動すると、メモリーに常駐し てファイルの入出力を監視する。その後、書き込み可能な フロッピーディスクにアクセスすると、そのディスクのブ ートセクタに感染する。ただしDOSのDirコマンドでディレ クトリーを表示する程度では感染はしない。 発病: 感染システムでの起動と同時に、感染ディスク、または感 染ハードディスクでシステムを何度起動したかのカウント を取る。128回目に起動すると、以下のメッセージを表示す る。 "Bloody! Jun. 4、 1989"  この1989年6月4日は、天安門事件で大量の学生が虐殺さ れた日である。このメッセージが表示された後、起動6回ご とに表示されるようになる。  このメッセージはウィルスコード内で暗号化されてお り、ブートセクターを単純に見ただけでは分からない。 360K以外のディスクの場合、感染すると使用できなくな る。 変種: Bloody!-B: 機能的にはオリジナルのウィルスと同じ。ほとんどのアン チ・ウィルス・ユーティリティで検索できないように改造 されている。 発祥地: 不明 発見日: 1992/05 備  考:感染したディスクでシステムを起動すると、シ ステムメモリ上位、DOSの640K境界下に常駐する。トータル システムメモリと使用可能なフリーメモリが2、048バイト減 少する。 感染したディスクでは、ブートセクターに含まれているDOS のエラーメッセージが全て消失してしまう。360Kディスク の場合、オリジナルのブートセクターはルートディレクト リーのあるセクター11にコピーされる。このディレクトリ ーエントリーは失われる。 ハードディスクの場合、パーティションテーブルはサイド 0、シリンダー0、セクター6にコピーされる。 [B3] 名  称:B3 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:483バイト 発祥地:不明 発見日:不明 詳  細:感染方法: 1)システムの日付が6月26日であれば、ハードディスクの データを全て破壊する。 それ以外の日であれば、すでにメモリに常駐しているか チェックしまだであれば常駐する。 2)常駐後、オリジナルファイルを実行する。 3)メモリに常駐し、未感染ファイルが実行される度に感染 する。.EXEファイルには感染しない。 使用割り込み命令:INT 21h、INT 24h 破壊: 6月26日に発病し、ハードディスクのデータを全て破壊す る。 感知方法: 感染ファイルは483バイト増加する。 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合でも、 プログラム実行時に"書き込み不可"という意味のエラーメ ッセージを表示しない。 [BAMESTRA] 名  称:BAMESTRA 分  類:ファイル感染型 対  象:.EXE ウイルスサイズ:530バイト 発祥地:不明 発見日:不明 詳  細:感染方法: 1)カレントディレクトリ内の.EXEファイルを探し出す。 2) Bamestra ウイルスに感染していれば,他の未感染.EXE ファイルを探す。 3)一度につき、 カレントディレクトリ内の.EXEファイル 2つに感染する。 4)最後にオリジナル ファイルを実行する。 使用割り込み命令:INT 24h 破壊: 感染、増殖以外の活動はなし。 識別方法: 感染ファイルは530バイト増加する。 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合でも、プログラム実行時に"書 き込み不可"という意味のエラーメッセージを表示しない。 [BANANA] 名  称:BANANA 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:N/A 発祥地:不明 発見日:不明 詳  細:感染方法: 1)カレントディレクトリ内の.COMファイルを検索する。 2).COMファイルがBananaウイルスに感染していれば他の未 感染ファイルを探す。 3)ディレクトリ内のすべての.COMファイルに感染する。 備  考: [BARROTES] 名  称:BARROTES 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:1310バイト 発祥地:不明 発見日:不明 詳  細:感染方法: 1)ウイルスに感染したプログラムを実行するとメモリに 常駐する。 2)常駐後、実行されたプログラム(COM及びEXE)に感染 する。 発病: 1月5日に発病する。 発病すると一番目のハードディスクのパーティションテ ーブルを上書きしてしまう。 そして、表示ルーチンを組み込み、画面上に何本もの縦線 をカラーで表示する。 また、画面の左上に、以下の文字列を表示する。 "Virus BARROTES pro OSoft" 縦線は、画面上に残るが、マシンを使い続けることはでき る。 備  考: [BASEDROP] 名  称:BASEDROP 分  類:ファイル感染型 対  象:.EXE ウイルスサイズ:N/A 発祥地:不明 発見日:不明 詳  細:感染方法:1)25%の確率で以下のように感染す る。カレントディレクトリ内の未感染.EXEファイルを探し 出して1つずつ感染する 。 2)1)の後、「"SLOVAKIA" と入力せよ」という意味のメッ セージを表示し、 ユーザーが "SLOVAKIA" と入力するまで他の操作はでき なくなる。 入力後、ウイルスプログラムは終了する。 3)50%の確率で未感染ファイルに感染しない。 破壊:感染、増殖以外の活動はなし。 備  考: [BCV] 名  称:BCV 別  名:SENTINEL、 SENT_BC、 SENTINL、 BC 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:4625バイト前後 発祥地:ブルガリア 発見日:1991/01 詳  細:− メモリに常駐していなければ常駐し、オリ ジナルプログラムを実行する。 − 常駐後、未感染ファイルを実行する度に感染する。 − ウイルスコードの内に以下の文字列を含む: "You won't hear me、but you'll feel me....(c) 1990 by Sentinel.Withthanks to Borland."  この文字列を画面に表示する事もある。 − 5,6種の亜種が確認されている。ソースコードを  TURBO PASCAL で書いているとみられる。 備  考: [BEER] 名  称:BEER 別  名:BEER-1、 BEER-2 分  類:ファイル感染型 ウイルスサイズ:N/A 発祥地:不明 発見日:不明 詳  細:感染方法: 1)メモリに常駐していなければ、メモリ上位に常駐す る。 2)常駐後、オリジナルルーチンに戻る。 3)未感染ファイルが実行される度に感染する。 使用割り込み命令:INT 21H、INT 24H 破壊:感染、増殖以外の活動はなし。 備  考:少なくとも3つの変種がある。 [BENOIT] 名  称:BENOIT 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:1183バイト 発祥地:不明 発見日:不明 詳  細:感染方法: 1)メモリに常駐していなければ、メモリ上位に常駐し、 その後オリジナルプログラムを実行する。 2)すでに常駐していれば、そのままオリジナルプログラム を実行する。 使用割り込み命令:INT 21h 破壊:感染、増殖以外の活動はなし。 識別方法:感染ファイルは1183バイト増加する。 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合、 プログラム実行時に"書き込み不可"という意味のエラーメ ッセージを表示する。 [BERT] 名  称:BERT 別  名:BERT-1、 BERT-M 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:2294バイト 発祥地:不明 発見日:不明 詳  細:感染方法: 1)メモリに常駐していなければ上位メモリに常駐する。 2)常駐後、オリジナルルーチンに戻る。 3)未感染の.COMまたは.EXEファイルが実行される度に感 染する。 使用割り込み命令:INT 21H 破壊:感染、増殖以外の活動はなし。 識別方法:感染ファイルは2294バイト増加する。 備  考: [BETA] 名  称:BETA 別  名:PHALCON CLOUD 分  類:ファイル感染型 対  象:.COM(command.comを除く) ウイルスサイズ:1117バイト 発祥地:不明 発見日:不明 詳  細:暗号化されたウイルスコード中に下記の文字列 が含まれている Bob Ross lives! Bob Ross is watching! Maybe he lives here... What a happy little cloud! Maybe he has a neighbour right here... You can make up stories as you go along. その他ウイルス 変種: Ministry、Elvis これらのウイルスは含まれる文字列が異なるだけで、基 本的には同じものである。 増加サイズ:1168または1250バイト 備  考: [BIT_ADDICT] 名  称:BIT_ADDICT 分  類:ファイル感染型 対  象: .COM ウイルスサイズ:477バイト 詳  細:感染方法: 1) 自分自身がメモリに常駐しているかを確認します。常駐 していなければ、INT21hをフックしメモリに常駐します。 2)元のファイルを実行します。 3) 常駐しているときに未感染のファイルを実行すると、感 染します。.EXEファイルには感染しませ ダメージ: 100個のファイルに感染した後、ハードディスク 上のすべてのデータを破壊し、以下の文字列を表示しま す。 "BIT ADDICTMZ> .... The Bit Addict says: You have a good tasting hard disk、 it was delicious !!!" 検出方法: 感染したファイルは約477バイト増加します。 注  意: ファイルに感染するとき、BIT_ADDICTはINT 24hをフックし ません。I/Oエラーが発生した場合、エラーメッセージが示 されます。 備  考: [BIT-ADDICT] 名  称:BIT-ADDICT 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:477バイト 発祥地:不明 発見日:不明 詳  細:感染方法: 1)メモリに常駐していなければ常駐する。 2)常駐後、オリジナルファイルを実行する。 3)メモリに常駐し、未感染ファイルが実行される度に感染 する。 .EXEファイルには感染しない。 使用割り込み命令:INT 21h 破壊: 感染ファイルの合計が100に達すると、ハードディスク上の データを全て破壊し、 "BIT ADDICTMZ> .... The Bit Addict says:You have a good tasting hard disk、 itwas delicious !!!" というメッセージを表示する。 感知方法:感染ファイルは477バイト増加する。 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合、プログラム実行時に"書き込 み不可"という意味のエラーメッセージを表示する。 [BKMONDAY] 名  称:BKMONDAY 別  名:VIRUS 1055 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:1055バイト 発祥地:不明 発見日:不明 詳  細:破壊: ハードディスクドライブの、先頭240シリンダを初期化す る。 識別方法: オリジナルファイルを上書きして、感染した形跡を隠して しまう。 使用割り込み命令:Int 21 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合、プログラム実行時に"書き込 み不可"という意味のエラーメッセージを表示する。 [BLACKMONDAY] 名  称:BLACKMONDAY 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:1054bytes 発祥地:不明 発見日:1998/08 詳  細:感染方法: - 感染ファイルが実行されると、まずメモリに常駐してい ないか確認する - すでに感染していて、メモリに常駐していた場合、ウイル スコードは実行されず、ホストプログラムのコードを実行す る。 - まだ感染していなければメモリに常駐し、その後、実行さ れた.EXEと.COMファイルの最後にウイルスコードを付け足 し、ウイルスコードにジャンプするように設定する。 使用割り込み命令:Int 21 備  考:- 。COMに感染した場合は"BLACKMONDAY-1"と検 出され、.EXEに感染した場合は"BLACKMONDAY"として検出さ れる。 [BLACKSUN_SHAKER] 名  称:BLACKSUN_SHAKER 別  名:BlackSun.2372, Black Sun.2372 分  類:ファイル感染型 ウイルスサイズ:2373bytes 詳  細:実行されると、まず、すでにウイルスがメモリ に これは寄生型でメモリー常駐型のウイルスです。またコ ードを暗号化しステルス機能も有しています 常駐していないかどうかを確認します。まだ感染していな い場合、INT21にフックしてメモリに常駐します。以後、ア クセスしたDOS実行型ファイルにすべて感染します。感染し たファイルは2373Bytesファイルサイズが増加します。 備  考:コード内に以下のテキストがあります。 BlackSun v1.0 "Shaker". [BLJEC] 名  称:BLJEC 別  名:BLACK JAC 分  類:ファイル感染型 対  象: .COM ウイルスサイズ:231〜440 詳  細: このウイルスは.COMファイルに感染します。感 染ファイルが実行されると、同じディレクトリ内の3つの. COMファイルに感染します。ウイルスが感染したファイルの 始 めに追加され、サイズが231〜440バイト増加します。 感染したファイルは、タイムスタンプが感染した時間に改 変されます。システムのハングアップを引き起こすことも あります。 備  考: [BLJEC-1] 名  称:BLJEC-1 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:301バイト 発祥地:不明 発見日:不明 詳  細:感染方法: システム日付が9月であればカレントドライブの最初の16セ クタ分を初期化し、 その後カレントディレクトリの全ての.COMファイルに感染 する。 破壊: システム日付が9月であれば発病しカレントドライブの最初 の16セクタ 分を初期化する。 識別方法: 感染ファイルは301バイト増加する。 備  考:感染ファイルの日付と時刻は更新されない。 [BLOODY_WARRIOR] 名  称:BLOODY_WARRIOR 分  類:システム領域感染型 対  象:.EXE ウイルスサイズ:1344バイト(ファイル)、 2768バイト(メモリ) 発祥地:イタリア 発見日:不明 詳  細:感染方法: サイズが6000(EA60h)バイト未満の.COMファイル及び全サイ ズの. EXE ファイルに感染する。 "SCAN"、"STOP"、"SHIELD"、"CLEAN"、"CV"、"DEBUG"、も しくは"TD"というファイル名の ファイルには感染しない。感染ファイルを実行すると感染 する。システムメモリ上位の、DOS 640k境界下の位置に常 駐する。 空きメモリが2768バイト減少する。 破壊: ディスクのセクタ1〜256を破壊。 システム日付が7月4〜31日であれば発病し、カレントディ スクのセクタ1〜256に 無意味なデータを書き込んで破壊する。 下記のメッセージも含む。Hello、 world! I am the Bloody Warrior. Nice to meet you. What about this virus ? Funny ? There is no hope for you. This virus was released in Milan 1993. 識別方法:感染ファイルは1344バイト増加する。 備  考:DOSコマンドで発見できることもある。 [BOB] 名  称:BOB 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:1117バイト 発祥地:不明 発見日:不明 詳  細:感染方法: 1)カレントディレクトリ内の.COMファイルを探し出す。 2)すでにBobウイルスに感染していれば、他の未感染.COM ファイルを探し出して感染する。 3)感染ファイルを実行する度に3つのファイルに感染す る。 4)システムの日付が9月7日であれば発病し、約5分後に次 のようなメッセージをどれか表示する。 "1 Bob Ross lives! 2 Bob Ross is watching! 3 Maybe he lives here....."。 破壊:9月7日に発病し、画面にメッセージを表示する。 使用割り込み命令:INT 8h 識別方法:感染ファイルは1117バイト増加する。 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合でも、プログラム実行時に"書 き込み不可"という意味のエラーメッセージを表示しない。 [BOGUS] 名  称:BOGUS 別  名:BOGUS-1 分  類:複合感染型 対  象:FD:ブートセクタ;HD:マスターブートレコード;. COM;.EXE ウイルスサイズ:変化なし 発祥地:不明 発見日:不明 詳  細:感染方法: 感染ディスクから起動すると、全システムメモリが4キロバ イト減少する。 メモリの末尾4バイトに常駐する。 プログラムが実行される度に感染する。 使用割り込み命令: INT 21h、INT 24h、INT 13h 破壊: 感染ファイルの合計が2710を超えると、ハードディスク上 のデータを全て破壊する。 備  考:1)BOGUSウイルスはファイルに感染する。 メディアなどにライトプロテクト(書き込み禁止処理) が施されている場合でも、 プログラム実行時に"書き込み不可"という意味のエラ ーメッセージを表示しない。 2)フロッピーから起動した場合、ハードディスクにアクセ スできない。 [BOMB_TROJAN] 名  称:BOMB_TROJAN 分  類:トロイの木馬型 対  象:なし ウイルスサイズ:なし 発祥地:不明 発見日:不明 詳  細:− 感染行動を行わない「トロイの木馬」型破壊 プログラム。 − 破壊ルーチンは持っていないが、メモリへの不正常駐 を行うことによりシステムの不安定を招く。 備  考: [BOOJUM] 名  称:BOOJUM 分  類:ファイル感染型 対  象:.EXE ウイルスサイズ:340バイト 発祥地:不明 発見日:不明 詳  細:感染方法: 1)メモリに常駐していなければ上位メモリに常駐する。 2)常駐後 、オリジナルファイルを実行する。 3)メモリに常駐し、未感染のファイルが実行される度に感 染する。 .COMファイルには感染しない。 使用割り込み命令:INT 21h 破壊:感染、増殖以外の活動はなし。 識別方法:感染した.EXEファイルは340バイト増加する。 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合、 プログラム実行時に"書き込み不可"という意味のエラーメ ッセージを表示する。 [BOOT0709] 名  称:BOOT0709 別  名:STONED.WHIT、 LZR、 STONED.LZR 分  類:システム領域感染型 対  象:FD:ブートセクタ;HD:マスターブートレコード ウイルスサイズ:N/A 発祥地:不明 発見日:不明 詳  細:感染方法: 1)感染したFDなどより起動すると、メモリに常駐しその 後システムの読み込みをおこなう。 2)FDへの感染は2HDのメディアのみに感染し、2DD のメディアには感染しない。 破壊:  コンピュータの内部タイマを常に監視していて、24:00に ディスクに書き込みを行うと、そのアクセスしている媒体 (HD/FD)に対して破壊活動を行う。 識別方法: システムの起動に時間がかかる。 ファイルアクセスの処理速度が低下するので、コンピュ ータの処理速度が急激に低下する印象を受ける。 備  考: [BOOTEXE.451] 名  称:BOOTEXE.451 別  名:BFD、 BFD-451 分  類:複合感染型 対  象:.EXE ウイルスサイズ:N/A 詳  細:このウイルスは、.EXEファイルのヘッダーとコ ードの開始位置の間に感染します。また、ハードディスク とフロッピーディスクのパーティションテーブルにも感染 します。 DOSのCHKDSKプログラムの"全メモリ"が2Kバイト減少しま す。ウイルスがメモリ常駐している間は、アクセスしたプ ログラムやディスクに再感染します。 ダメージ: オリジナルファイルを上書きしますので、感染 ファイルのファイルサイズは増加しません。 備  考: [BOOTEXE451-2] 名  称:BOOTEXE451-2 別  名:BOOTEXE451-1、 BFD、 BFD-B 分  類:複合感染型 対  象:FD:ブートセクタ;HD:マスターブートレコード;. COM;.EXE ウイルスサイズ:変化なし 発祥地:不明 発見日:不明 詳  細:感染方法: 1)感染ディスクから起動するとメモリに常駐する。 常駐後,実行またはオープンした.EXEファイルファイ ルに感染する。 .EXEファイルの.EXEヘッダー・エリアにウィルスコ ードを書き込んで感染する。 2)また常駐後に、ライトプロテクトを施していないフロ ッピーディスクにアクセスすると、 フロッピーディスクのブートセクタにも感染する。 ウィルスの常駐、非常駐とは無関係に感染ファイルの サイズは変わらない。 3)カレントドライブがフロッピードライブの場合、感染 ファイルを実行すると、 カレントドライブのブートセクタに感染する。 この時、ウィルスはCドライブにもアクセスするが、 Cドライブのブートセクタには感染しない。 感染済みフロッピーディスクからも、メモリに常駐で きるので注意が必要。 −感染ファイルのタイムスタンプは変更されない。 −文字列は一切含まれていない。 −ウィルスはフロッピーディスクに感染する場合、ブート セクタを上書きするので、  通常のDOSのエラーメッセージが無くなる。ウィルス感染 した5インチ(1.2M)のシ  ステムディスクで、システムを起動しようとすると、シ ステムがハングする。 使用割り込み命令:INT 13h、INT 24h 破壊: オリジナルファイルを上書きする。ファイルサイズに変化 はない。 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合でも、 プログラム実行時に"書き込み不可"という意味のエラーメ ッセージを表示しない。 [BOW] 名  称:BOW 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:5856バイト 発祥地:不明 発見日:不明 詳  細:感染方法: 1)メモリに常駐していなければ上位メモリに常駐する。 2)常駐後、オリジナルルーチンに戻る。 3)未感染の.COMまたは.EXEファイルが実行される度に感 染する。 使用割り込み命令:INT 21H 破壊:感染、増殖以外の活動はなし。 識別方法:感染ファイルは5856バイト増加する。 備  考:1)メディアなどにライトプロテクト(書き込み 禁止処理)が施されている場合、 プログラム実行時に"書き込み不可"という意味のエラ ーメッセージを表示する。2)ウイルスは高級言語で作 成されている。 [BOYS] 名  称:BOYS 別  名:BOYS-1 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:500バイト 発祥地:不明 発見日:不明 詳  細:感染方法: 1).EXEファイルを探し出し、拡張子を".SYS"に変更する。 2)カレントディレクトリ内の.COMファイルを探し出す。 3)すでにBoysウイルスに感染していれば、他の未感染の. COMファイルを探して感染する。 4)未感染ファイルに1つずつ感染し、属性を"読み出し専 用"に変更する。 5)最後にオリジナルファイルを実行する。 使用割り込み命令:なし 破壊:感染、増殖以外の活動はなし。 識別方法:感染ファイルは500バイト増加する。 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合、 プログラム実行時に"書き込み不可"という意味のエラーメ ッセージを表示する。 [BOZA] 名  称:BOZA 分  類:ファイル感染型 対  象:Windows95:32ビットPE形式ファイル ウイルスサイズ:N/A 発祥地:イギリス 発見日:不明 詳  細:感染方法: −このウイルスは、Windows95特有の32ビットPortable Executable (略称 PE) ファイルフォーマットの形式のファ イルに感染する。 −このウイルスは、Windows95のシステムコールを使用する 「直接感染型」のウイルスである。 −感染されたプログラムを実行すると、カレントディレク トリに存在するPE型実行プログラムを3つまで探し出しそ のファイルに感染する。メモリには常駐しない。 発病: −画面にVLADオーストラリア(ウイルス作成者か?)の 名前とWindows95の初のウイルスである旨を表示する。ま た、感染によってファイルが破壊される場合もある。 −ファイル内のテーブルやセクションを操作してデータの 内部にウイルスのコードを追加、またウイルス作成者の名 前をセクションに書き込んだりもする。 −プログラムの実行時にPEプログラムの制御権を奪い、感 染活動を行った後に、オリジナルのプログラムに制御を戻 す。 −破壊活動を行うコードは含まれていないが、ウイルスの プログラム自体にバグ(不具合)があるため、結果的にファ イルが破壊されてしまうことが考えられる。 備  考: [BRAIN2] 名  称:BRAIN2 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:1935バイト 発祥地:不明 発見日:不明 詳  細:感染方法: 1)システムの日付が11月17日または2月6日であれば発病 し、メッセージを表示してスピーカから音を出す。 2)メモリに常駐していなければ常駐する。 3)常駐後、オリジナルファイルを実行する。 4)2月1日、7月1日、9月1日、12月1日に発病し、画面に正 方形を点滅させる。 5)メモリに常駐し、未感染ファイルが実行される度に感染 する。 発病: 感染、増殖以外の活動はなし。 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合でも、プログラム実行時に"書 き込み不可"という意味のエラーメッセージを表示しない。 [BROTHER_300] 名  称:BROTHER_300 分  類:ファイル感染型 対  象:.EXE ウイルスサイズ:300bytes 詳  細:実行手順: 1) メモリに常駐しているかチェックします。していなけれ ば、上位メモリに自分自身をロードして、常駐します。 2) INT 21hをフックして、元のルーチンに戻ります。 感染方法: 1) ファイルに感染するときにINT 21h(AH=4Bh)をフック します。まず最初に、感染時にI/Oエラーが発生して露見し ないように、INT 24hをフックし ます。実行されるプログラムが未 感染の.EXEファイルであれば、.EXEファイルと同じ名前で 新しい.COMファイルを作成します。この新しい.COMファイ ルにウイルスが含まれています。サイズは 300バイトで ダメージ: なし 備  考: [BROTHERS-2] 名  称:BROTHERS-2 分  類:ファイル感染型 対  象: .COM ウイルスサイズ:693bytes 詳  細:1) システムタイムを確認し11月か12月で、日付 が11日と25日の間にあるかを確認します。もしそうであれ ば、以下の文字列を表示します。 "Brotherhood... I am seeking my brothers "DEICIDE" and "MORGOTH"、" 2) そうでなければ、カレントディレクトリ内の.COMファイ ルを検索します。 3) 見つかったファイルがBrothers-2に感染しているかを確 認します。感染していれば、更に検索します。 4) .COMファイルの2番目の文字が"0xADDE"であるかどうか を確認します。そうであれば、以下の文字列を表示しま "Found my brother MORGOTH!!!." 5)そして、元のファイルを実行します。また、.COMファイ ルの2番目の文字が"0x0D90"であるかどうかを確認します。 そうであれば、以下の文字列を表示しま す。 "Found my brother "DEIGOTH" !!!." 6)そして、元のファイルを実行します。 1度に1つの.COMファイルに感染します。 ダメージ: なし 検出方法: 感染したファイルは約693バイト増加します。 注  意: 1) メモリに常駐はしません。 2) INT24hをフックしません。I/Oエラーが発生した場合、 エラーメッセージが表示されます。 備  考: [BUBBLES-2] 名  称:BUBBLES-2 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:927バイト 発祥地:不明 発見日:不明 詳  細:感染方法: 1)カレントディレクトリ内の.COMまたは.EXEファイルを探 し出す。 2) Bubbles-2ウイルスに感染していれば他の未感染の.EXE または.COMファイルを探す。 3)カレントディレクトリ内の.COMと.EXEファイル全てに感 染する。 4)システムの日付が1993年以降各月13日であれば発病し、 "Bubbles 2 :Its back and better then ever Is it me or does that Make no senseat all? [IVP]. というメッセージを表示する。 使用割り込み命令:INT 24h 破壊: 感染ファイルは実行できなくなる。 識別方法: 感染ファイルは927バイト増加する。 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合でも、プログラム実行時に"書 き込み不可"という意味のエラーメッセージを表示しない。 [BUDSAVER.EXE] 名  称:BUDSAVER.EXE 分  類:デマ情報 対  象:N/A ウイルスサイズ:N/A 発祥地:不明 発見日:不明 詳  細:− 騒動を起こすために人為的に流されたウイ ルスのデマ情報です。この情報で触れられているようなウ イルスは実在しません。 − このデマ情報のオリジナルとみられる文章は以下の通 りです: DANGER! VIRUS ALERT! THIS IS A NEW TWIST. SOME CREEPOID SCAM-ARTIST IS SENDING OUT A VERY DESIRABLE SCREEN-SAVER {{ THE BUD FROGS}}. IF YOU DOWNLOAD IT、 YOU'LL LOSE EVERYTHING!!!! YOUR HARD DRIVE WILL <<>> CRASH!! DON'T DOWNLOAD THIS UNDER ANY CIRCUMSTANCES!!! IT JUST WENT INTO CIRCULATION ON 05/13/97、 AS FAR AS I KNOW!! PLEASE DISTRIBUTE THIS WARNING TO AS MANY PEOPLE AS POSSIBLE... BELOW IS WHAT THE SCREENSAVER PROGGIE WOULD LQQK LIKE! File: BUDSAVER.EXE (24643 bytes)DL Time (28800 bps): < 1 minute 備  考: [BUNG1422] 名  称:BUNG1422 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:1442バイト 発祥地:不明 発見日:不明 詳  細:感染方法: メモリに常駐していなければ、メモリ上位に常駐する。 常駐後、オ リジナルルーチンに戻る。 システム日付が9月20日であれば発病し、以下のメッセージ を表示する。 "Jonhan Bonhn - September 20 1980- L E D Z E P P E L I N -" 未感染の.COMファイルが実行される度に直接感染する。 未感染の.EXEファイル が実行されると、未感染の.COMファ イルを探し出して感染する。 使用割り込み命令:INT 21H、INT 24H 破壊:感染、増殖以外の活動はなし。 識別方法:感染ファイルは1422バイト増加する。 備  考: [BUPT] 名  称:BUPT 別  名:TRAVELLER 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:1220、1223バイト 発祥地:アメリカ 発見日:1994/07 詳  細:感染方法: 1)感染ファイルを実行するとメモリに常駐する。 2)常駐後、実行型ファイルにアクセスする度に感染す る。  コード内に次の文字列を含んでいる。 "Traveller (C) BUPT 1991.4 Don't panic I'm harmless" 数種の亜種の存在も確認されている。 備  考: [BUPTBOOT] 名  称:BUPTBOOT 別  名:WELCOMEB、 WELCOMB、 BEIJING 分  類:システム領域感染型 対  象:FD:ブートセクタ;HD:マスターブートレコード ウイルスサイズ:N/A 発祥地:不明 発見日:不明 詳  細:−このウイルスに感染したフロッピーディスク でマシンの起動動作を行うとハードディスクのシステム領 域(マスターブートレコード)に感染する。 −このウイルスに感染したハードディスクでマシンを起動 すると、メモリーに常駐してファイルの入出力を監視す る。 その後、書き込み可能なフロッピーディスクにアクセスす ると、そのディスクのブートセクタに感染する。 発病: −ウイルスコード中に次の文字列が含まれる。 "Welcome to BUPT 9146、Beijing!" −その他特に破壊活動等は行わないものと思われる。 備  考:他社製品で"Beijing"と発見される場合は、実際 には"Bloody"などと呼ばれるものであり、このウイルスと は関係がない。 [BUR-560H] 名  称:BUR-560H 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:変化なし 発祥地:不明 発見日:不明 詳  細:感染方法: 1)カレントパスから.COMファイルを探し出す。 2)すでに感染していれば、他の未感染ファイルを探し出し て1つずつ感染する。 破壊: オリジナルファイルを上書きして感染するため、ファイル サイズは変化しないがファイルは開けない。 使用割り込み命令:なし 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合、 プログラム実行時に"書き込み不可"という意味のエラーメ ッセージを表示する。 [BURGER] 名  称:BURGER 別  名:405、 GOL 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:変化なし 発祥地:不明 発見日:不明 詳  細:感染方法 1)カレントディレクトリ内の.COMファイルを探し出す。 2)Burgerウイルスに感染していれば、他の未感染の.COMフ ァイルを探す。 3) 一度に感染できるファイルは1つだけ。 4)未感染.COMファイルがなければ、アクセス中のディスク のデータを全て破壊する。 破壊: 1)オリジナルファイルを上書きする。ファイルサイズに変 化はない。 2)未感染.COMファイルがなければ、アクセス中ディスクの データを全て破壊する。 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合、プログラム実行時に"書き込 み不可"という意味のエラーメッセージを表示する。 [BURGER_560-8] 名  称:BURGER_560-8 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:変化なし 発祥地:不明 発見日:不明 詳  細:感染方法: 1)A:ドライブ上にある.COMファイルを探し出して感染す る。 2)すでにBurger_560-8ウイルスに感染していれば他の未感 染の.COMファイルを探す。 3)感染ファイルが実行される度に1つずつ感染していく。 4).COMファイルが全て 感染している場合、A:ドライブ上 の.EXEファイルを探し出す。 5).EXEファイル の拡張子を.COMに変更して感染する。 使用割り込み命令:なし 破壊: オリジナルファイルを上書きする。ファイルサイズに変化 はない。 識別方法: 感染した.EXEファイルの拡張子が.COMに変わっている。 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合、プログラム実行時に"書き込 み不可"という意味のエラーメッセージを表示する。 [BURGER-1] 名  称:BURGER-1 分  類:ファイル感染型 対  象:.COM 発祥地:不明 発見日:不明 詳  細:感染方法: - このウイルスは一度にひとつのファイルにしか感染する ことができない。 - 感染したファイルが実行されると、まず、Aドライブに. COMファイルがないかどうか探す。見つけると、そのファイル をウイルスコードで上書きし、その後、そのファイ ルの属性を「システムファイル」に変更してしま 症状: - 上書き感染であるため、もとの.COMファイルのプログラ ムは機能しなくなる。そのため、感染したファイルを実行し た場合、システムがハングアップするか、もしくは、 意味のないコードが表示されることにない。 備  考: [BURGER-2] 名  称:BURGER-2 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:560bytes 発祥地:不明 発見日:不明 詳  細:感染方法: - このウイルスは一度にひとつのファイルにしか感染する ことができない。 - 感染したファイルが実行されると、まず、カレントディレ クトリに.COMか.EXEファイルがないかどうか探す。見つける と、そのファイルをウイルスコードで上書きし てしまう。 症状: - 上書き感染であるため、もとのファイルのプログラムは 機能しなくなる。そのため、感染したファイルを実行した場 合、システムがハングアップするか、もしくは、意味のないコ ードが表示されることになる。 備  考: [BURGLAR.1150] 名  称:BURGLAR.1150 別  名:GANGRAVE 分  類:ファイル感染型 対  象:.EXE ウイルスサイズ:1150バイト 発祥地:アメリカ 発見日:1996 詳  細:感染方法: 1)最上位メモリ領域に常駐する。 2)常駐後アクセスされた.EXEファイルに感染する。 システムファンクションを利用したコマンドでファイ ルにアクセスした場合も感染する。 発病: 1)システムクロックが14分の時に感染行動を行うと発病 する。 "Burglar/H" という文字列が点滅しながら画面に表示 される。 2)感染したファイルはほとんどの場合、内容が破壊され てしまう。 −ウイルスコード内に "At the grave of Grandma" という 文字列が含まれている その他: −ウイルスのメモリ常駐中はステルス行動のため、感染フ ァイルのサイズ増加を確認できない。 −感染したシステムでは、メモリ管理ユーティリティ関連 で異常が発生する可能性がある。 −ファイル名に「V」、「S」が含まれているファイルには感染 しない。 備  考: [BUTTERFLY] 名  称:BUTTERFLY 別  名:BUTTERFLIES 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:302バイト 発祥地:不明 発見日:不明 詳  細:感染方法: 1)感染したファイルを実行すると、カレントディレクト リ内の.COMファイルに感染する。 2)感染ファイルは302バイト増加し、末尾にウイルスコ ードが追加される。 3)感染ファイルの日付と時刻は更新されない。 また、このウイルスは以下のような文字列を持つ。 "Goddamn Butterflies" 備  考: [BYE] 名  称:BYE 分  類:トロイの木馬型 対  象:なし ウイルスサイズ:N/A 発祥地:不明 発見日:不明 詳  細:このファイルはトロイの木馬タイプのウイルス である。 このファイルをwindows上で実行すると破壊活動を 開始し、ウイルスファイル(BYE.EXEとWIN.COM)も自動的 に削除される。 このファイルをDOS上で実行した場合は、特に活動を起 こさない。 破壊活動: ドライブ上とそのサブディレクトリのファイルを削除する ようなルーチンがあるが、c:\windows\command\下のファイ ルのみ削除され、c:\windowsのファイルは削除されない。 備  考:パターン337にて発見可能。 ただしトロイの木馬のため、パターンファイルにて駆除す ることはできない。発見されたファイルごと削除を行うこ と。 [BYWAY] 名  称:BYWAY 別  名:DIR.BYWAY、 DIR-II.BYWAY、 HNDV、 DIRII. THEHNDV、 CHAVEZ 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:2048バイト 発祥地:ベネズエラ 発見日:1995 詳  細:− 未感染のシステム上で感染ファイルが実行 されると起動ドライブのルートディレクトリにウイルスコ ードを含んだ CHKLIST?.MS? という名前の隠しファイルを リードオンリー属性で作成する。この名称はマイクロソフ ト社のアンチウイルスソフトで作られるチェックサムのフ ァイルと同名である。そしてすべての実行可能形式ファイ ル (.comと.exe) CHKLIST?.MS?ファイルにクロスリンクさせ る。 − 感染方法が特殊なため、駆除には以下の手順が必要で ある:  1)すべてのドライブ中のすべての実行可能ファイル(. comと.exe)を非実行可能形式の拡張子にリネームする。  2)マシンを安全なシステムディスクで起動し、c:ドラ イブのルートディレクトリに存在する「chklist」という文 字列で始まるファイル名のファイルをすべて削除する。こ れらのファイルはすべてリードオンリーの隠しファイルに なっている。  3)1)でリネームしたすべてのファイルを元の拡張子 に戻す。 − なんらかのトリガーによって音楽を鳴らしながら以下 の文字列を表示する場合がある: TRABAJEMOS TODOS POR VENEZUELA !!! − ウイルスコード内に以下の暗号化された文字列を持つ : The-HndV by:Wai-Chan、Aug94、UCV -By:W.Chan- 備  考: [CANNA615] 名  称:CANNA615 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:1568バイト(.COM、.EXE) 発祥地:不明 発見日:不明 詳  細:感染方法: 1)メモリに常駐していなければ常駐する。 2)システムの日付が金曜日で「秒」が0のときに発病し、 "LEGALIZE CANNA615"という文字と大麻の葉の絵を表示 する。 3)感染後、オリジナルプログラムを実行する。 4)メモリに常駐し、未感染ファイルが実行される度に感染 する。 破壊:感染、増殖以外の活動はなし。 識別方法:感染ファイルは1568バイト増加する。 使用割り込み命令:INT 21h、INT 24h 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合でも、 プログラム実行時に"書き込み不可"という意味のエラーメ ッセージを表示しない。 [CANNABIS] 名  称:CANNABIS 分  類:システム領域感染型 ウイルスサイズ:N/A 発祥地:不明 発見日:不明 詳  細:感染方法: 1)感染フロッピーより起動すると全システムメモリが1Kバ イト減少する。 2)コンピュータを普通に起動すると感染する。 破壊:感染、増殖以外の活動はなし。 識別方法:全システムメモリが1Kバイト減少する。 使用割り込み命令:INT 13h 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合でも、 プログラム実行時に"書き込み不可"という意味のエラーメ ッセージを表示しない。 [CANNABIS-B] 名  称:CANNABIS-B 分  類:ファイル感染型 対  象:FD:ブートセクタ ウイルスサイズ:変化なし 発祥地:不明 発見日:不明 詳  細:感染方法:感染ファイルを実行すると、A:ドラ イブのブートセクタに感染する。 破壊:A:ドライブのブートセクタに感染する。 識別方法:なし。 使用割り込み命令:なし 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合でも、 プログラム実行時に"書き込み不可"という意味のエラーメ ッセージを表示しない。 [CARBUNCL] 名  称:CARBUNCL 分  類:ファイル感染型 対  象:.EXE;.CRP ウイルスサイズ:622バイト 発祥地:不明 発見日:不明 詳  細:感染方法: 1)5/6の確率で感染する。i)カレントディレクトリ内の. EXEファイルを検索する。ii).EXEファイルを拡張子.CRPで リネームし、以下のような内容の*.bat ファイルを作成す る。 @ECHO OFF CARBUNCL RENAME J.EXE.CRP J.EXE.EXE J.EXE.EXE RENAME J.EXE.EXE J.EXE.CRP CARBBUNCL (J.EXE.EXE が感染ファイルで、CARBUNCLがウイルス) iii)上記の要領で全ての.EXEファイルに感染する。 2)1/6の確率で、5つの.CRPファイルに感染する。 破壊:感染、増殖以外の活動はなし。 識別方法:感染ファイルは877バイト増加する。 使用割り込み命令:なし 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合、プ ログラム実行時に"書き込み不可"という意味のエラーメッ セージを表示する。 [CARIOCA] 名  称:CARIOCA 分  類:ファイル感染型 対  象:.COM(command.comを除く) ウイルスサイズ:951 バイト 発祥地:不明 発見日:1990/11 詳  細:感染方法: このウイルス感染したファイルが実行されると、ウイルス がメモリに常駐し、そのあと実行された.COMファイルに感 染する。ただしCOMMAND.COMには感染しない。 感染したファイルには下記の文字列が追加される。 "EFF1E1A010203CD21" 識別方法:感染ファイルは951バイト増加する。 使用割り込み命令:Int21H その他、特にウイルス自身による破壊活動はないものと思 われる。 備  考: [CAS-927] 名  称:CAS-927 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:3+927バイト 発祥地:不明 発見日:不明 詳  細:感染方法: ウイルス自身を暗号解読し、常駐していなければ上位メモ リに常駐する。 未感染ファイルに感染し、その後オリジナルプログラムを 実行する。 63550バイト未満の未感染の.COMファイルが実行される度に 感染する。 使用割り込み命令:INT 21h、INT 28h、INT 1Ch 破壊: 偶数月で、曜日か日曜日、火曜日、木曜日、土曜日のいず れかで、 時間が11時11分11秒であれば、画面上の大文字を全て小文 字に書き換える。 備  考:備考: 1)上位メモリに常駐する。 2)感染ファイルは855バイト増加する。 3)感染ファイルの日付と時刻は更新されない。 [CASCADE] 名  称:CASCADE 別  名:BLACKJACK、 FALL、 FALLING LETTERS、 1701、 1704、 1701 MUTATION、1704FORMAT、 1704-B、 CASCADE-1621、 CASCADE-1706、 RAINDROP VIRUS 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:1701 or 1704バイト 発祥地:ドイツ 発見日:1987/10 詳  細:感染方法: −感染ファイルを実行するとメモリーに常駐する。常駐後 に実行した.COMファイルに感染する。 −オリジナルはウイルスサイズが1、701byteで、純正IBM −PCとその互換機の両方に感染する。しかし、変種はオ リジナルよりサイズが3byte大きく、純正 IBM−PCには感染しない。他の面ではオリジナルと同 じである。 発病: −常駐後、全ての文字をスクリーンの底辺に滝のように落 とし積み上げる。 その他: −ウイルスの解析と発見ができないように暗号化アルゴリ ズムを使う。マシンをチェックして、モニターのタイプ、 クロックカードの有無、現在の時間、季節など組み込んだ 高度 なランダムアルゴリズムをもとにした活動メカニズムを持 つ。 −原型は、”トロイの木馬”型プログラムであった。 −常駐暗号化型で、.COMファイルに感染する。1987年後 半、常駐.COMファイル   感染型に書き換えられた。 −このウイルスには、亜種が大変多く存在する。 1701 Mutation: 検索を回避するために、2byte変更してあ る。発見日:1991年10月 1701-B : 1701と同じだが、毎年の秋に活動する点が異な る。 1701-Yap : オリジナルのCascadeウイルスから派生。この 変種は.COMファイルに1、701byteを追加して感染する。メモ リにサイズ 2、048byteのTSRとして常駐し、割込み番号21hにフックをか ける。ウイルス検索プログラムによる検索を回避するため に、暗号化メカニズムが少し変更してある。 発祥地:不明発見日:1992年10月 1704 Format : Cascadeウイルスと同じだが、ウイルスが発 病するとディスクがフォーマットされる。1992年を除 く毎年10、11、12月に発病する。 発祥地:不明 発見日:1989年1月 1704-C : Cascade-Bと同じだが、毎年12月にウイルスが 活動する点が異なる。 1704-D : 1704と同じだが、機種選別ができないので純正 IBMマシンのみ感染。 174Y : Cascade 1704と同じであるが、ウイルスの1 byteが変更されている点が異なる。 Cascade-1621 : オリジナルのCascadeウイルスから派生。 この変種は.COMファイルに1、621byteを追加して感染する。 メモリにサイズ 1、936byteのTSRとして常駐し、割込み番号21hにフックをか ける。システム感染後に、バッチ・ファイルを実行しよう とすると、"Insufficientdisk space"というメッセージが 表示され、バッチ・ファイルは実行されない。 発祥地:不 発見日:1992年6月 Cascade-1706 : オリジナルのCascadeウイルスから派生。 この変種は.COMファイルの最後に1、706byteを追加して感染 する。メモリにサイズ 2、064byteのTSRとして常駐し、割込み番号1Ch、 21hにフッ クをかける。 発祥地:不明 発見日:1992年4月 Cascade-B: Cascade と同じだが、文字落下は起こさず、代 わりに常駐後に不規則なリブートを掛ける。 Cunning: Cascade から派生。メロディーを奏でる点が異 なる。 備  考: [CASINO] 名  称:CASINO 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:N/A 発見日:1991/04 詳  細:感染方法: −感染ファイルを実行するとメモリに常駐し、同時にCド ライブのルートディレクトリのCOMMAND.COMに感染する。 −常駐後、MS-DOSのDIRコマンド、感染ファイルの実行、ま たはファイルがオープンされると感染する。 発病: −1月、4月、8月の各月15日に感染ファイルを実行し たときに、画面上にスロットルマシンが現れる。 −FATを破壊されてしまう。 備  考: [CASPER] 名  称:CASPER 分  類:ファイル感染型 対  象:.COM;.C* ウイルスサイズ:1200バイト(.COM) 発祥地:不明 発見日:不明 詳  細:感染方法: 1)システムの日付が4月1日であればカレントディスクをフ ォーマットする。 2)それ以外の日であれば、カレントディレクトリから*.C* ファイルを探す。 3)すでにCasperウイルスに感染していれば、未感染の*.C* ファイルを探す。 4)一度に感染するファイルは1つだけ。 5)感染後、オリジナルプログラムを実行する。 破壊:システム日付が4月1日であれば発病し、カレントデ ィスクをフォーマットする。 識別方法:感染ファイルは1200バイト増加する。 使用割り込み命令:なし 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合、プログ ラム実行時に"書き込み不可"という意味のエラーメッセ ージを表示する。 [CASTEGGI] 名  称:CASTEGGI 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:2881バイト(.COM、.EXE) 発祥地:不明 発見日:不明 詳  細:感染方法: 1)メモリに常駐していなければ、常駐する。 2)感染後、オリジナルプログラムを実行する。 3)メモリに常駐し、未感染ファイルが実行される度に感染 する。 破壊:システムの日付が毎月11〜31日であれば、約6分後に 画面を消す。 識別方法:感染ファイルは2881バイト増加する。 使用割り込み命令:INT 21h、INT 24h、INT 1Ch 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合でも、 プログラム実行時に"書き込み不可"という意味のエラーメ ッセージを表示しない。 [CATHINONE.1.0] 名  称:CATHINONE.1.0 分  類:ファイル感染型, 直接感染型 対  象:EXE ウイルスサイズ:480 bytes 詳  細:感染ファイルが実行されると、カレント・ディ レクトリにあるEXEファイルを探す。未感染のEXEファイル を見つけると、そのファイルに感染し、“Cathinone v1.0 by: Evul”というテキストを表示する。その後、ウイルス は実行を終了し、宿主のプログラムが実行される。1回の 実行でウイルスが感染するEXEファイルは一つだけである。 損害: 感染する以外特になし。破壊的コードを含まない。 備  考: EXEファイルにのみ感染する。その際、ウイル スコードを暗号化する。感染ファイルが実行されると、他 のEXEファイルに直接、感染していく。 [CBRAIN] 名  称:CBRAIN 別  名:CLONE, NIPPER, PAKISTANI 分  類:システム領域感染型 対  象:FD:ブートセクタ;HD:マスターブートレコード ウイルスサイズ:N/A 詳  細:このウイルスはシステム領域に感染します。感 染ファイルを実行すると、メモリに常駐します。利用可能 メモリが3〜7Kバイト減少します。ウイルスはシステム領域 をウイルスのコードに置き換えます。感染したディスクの ラベルを、以下の文字列に改変します。 (c) Brain 以下の文字列がウイルスに存在します。 Welcome to the Dungeon (c) 1986 Basit & Amjad (pvt) Ltd. BRAIN COMPUTER SERVICES 730 NIZAB BLOCK ALLAMA IQBAL TOWN LAHORE-PAKISTAN PHONE :430791,443248,280530. Beware of this VIRUS.... Contact us for vaccination................. $#@%$@!! 備  考:パターンファイル567までは、(C)BRAINという名 称 [CCCP] 名  称:CCCP 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:510バイト発祥地:不明 発見日:不明 詳  細:感染方法: カレントディレクトリ内の未感染.COMファイルを探し出 し、 一度につき2つもしくは3つのファイルに感染する。 破壊:ウイルスがファイルに感染する際に、 その都度違う番号(0〜25までのいずれか)のフラグがファ イルにつけられる。 フラグの番号が25のファイルが実行されると、ハードディ スクのデータが全て破壊される。 識別方法:感染ファイルは510バイト増加する。 備  考: [CECE1998] 名  称:CECE1998 分  類:ファイル感染型 ウイルスサイズ:N/A 発祥地:不明 発見日:不明 詳  細:− 感染の度にウイルスコードに暗号化を掛け 発見されないようにする。 − その他発病などに関しては解析中。 備  考: [CHANGSHA] 名  称:CHANGSHA 分  類:システム領域感染型 対  象:.COM;.EXE;.TSR ウイルスサイズ:3072〜3104バイト 発祥地:中国 発見日:1992/12 詳  細:感染方法: 1)感染ファイルを実行するとシステムメモリ下位にTSRと して3、392byteのサイズで常駐する。 2)またこの時、ハードディスクのパーティションテーブ ルが未感染であれば感染する。 3)常駐後,実行またはオープンした.COMファイルと.EXE ファイルの最後にウィルス   コ−ドを追加して感染する。 感染後の.COMファイル の増加サイズは3、072byteである。   .EXEファイルの増加サイズは3、091byteから3、 104byteのあいだである。 −感染ファイルのタイムスタンプは変更されない。 −感染ファイル内のウィルスコードに以下の文字列が含ま れている。 "Welcome!" "Auto-Copy Deluxe R3.0" "(C)Copyright 1991. Mr. YaQi. Changsha China" "No one can Beyond me!" "Invalid Partition Table" "Error Loading Operating System" "Missing Operating System" "New Century of Computer Now!" 発病: −特に破壊活動などは無いものと思われる。 備  考: [CHEESY] 名  称:CHEESY 分  類:ファイル感染型 対  象:.EXE ウイルスサイズ:381バイト(.EXE) 発祥地:不明 発見日:不明 詳  細:感染方法: 1)カレントディレクトリ内の.EXEファイルを探し出す。 2).EXEファイルがCHEESYウイルスに感染していれば、未感 染の.COMファイルを探し出す。 3)ディレクトリ内の.EXEファイルに感染していく。 4)感染ファイルが実行されるとシステムがハングする。 破壊:システムをハングする。 識別方法:感染ファイルは381バイト増加する。 使用割り込み命令:なし 備  考: [CHINESE FISH] 名  称:CHINESE FISH 別  名:FISH BOOT 分  類:システム領域感染型 対  象:FD:ブートセクタ;HD:マスターブートレコード ウイルスサイズ:N/A 発祥地:台湾 発見日:不明 詳  細:感染方法: 1)このウイルスに感染したフロッピーディスクでマシン の起動動作を行うと ハードディスクのシステム領域(マスターブートレコ ード)に感染する。 2)このウイルスに感染したハードディスクでマシンを起 動すると、 メモリーに常駐してファイルの入出力を監視する。 3)その後、書き込み可能なフロッピーディスクにアクセ スすると、そのディスクのブートセクタに感染する。 −ステルス行動を行うのでウイルスのメモリ常駐中は感染 しているセクターにアクセスできない。 −Stonedウィルスに感染しているFDからウイルスを駆除 する場合がある。 −システムに感染後、プログラムが正常に作動しなくな り、実行するとシステムが ハングする場合がある。あるいは以下のようなメッセ ージが表示される。 Hello! I am FISH、 please don't kill me.   Congratulate 80th year of the Republic Of   China Building、Fish will help to kill stone   Written by Fish in NTIT. TAIWAIN 80.10.18 備  考: [CHIP_SHIT] 名  称:CHIP_SHIT 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:877バイト 発祥地:不明 発見日:不明 詳  細:感染方法: 1)システムの日付が1993年2月11日以降であれば、 "Hej! Tu wirus chipshit! Co........" と表示する。 2)それ以前であれば、 a)カレントディレクトリ内の.COMファイルを探し出す。 b)ファイルが感染していれば、他の未感染ファイルを探 し出す。 c)未感染ファイルを探し出して1つずつ感染していく。 破壊:感染、増殖以外の活動はなし。 識別方法:感染ファイルは877バイト増加する。 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合、 プログラム実行時に"書き込み不可"という意味のエラーメ ッセージを表示する。 [CHIPSHIT] 名  称:CHIPSHIT 分  類:ファイル感染型 対  象: .COM ウイルスサイズ:877bytes 詳  細:実行手順: 1) システムタイムを確認し、1993年2月11日以降である と、画面に以下の文字列を表示します。 "Hej! Tu wirus chipshit! Co........" 2) 1993年2月11日以前であれば、 a) カレントディレクトリ内の.COMファイルを検索しま す。 b) 感染済みかを確認し、感染済みであれば、更に検索し ます。 c) 未感染のファイルがあれば、感染します。(一度に1 つのファイルに感染しま ダメージ: なし 症状:感染すると、ファイルサイズが877バイト増加しま す。 詳細: 1) メモリに常駐しません。 2) ファイルに感染するとき、INT 24hをフックしません。 I/Oエラーが発生すると、エラーメッセージが表示されま す。 備  考: [CHOM.718-E] 名  称:CHOM.718-E 別  名:CHOMIK 分  類:ファイル感染型 対  象:.EXE ウイルスサイズ:718バイト 発見日:1997年12月 詳  細:− 感染ファイル実行時にメモリに常駐する。 − 常駐後は未感染ファイルを実行する度に感染する。 − マシンのWARMBOOT時に以下の文字列を表示する場合が ある: “CHOMIK ATAKUJE” − その他の破壊活動はない 備  考: [CHOM-718] 名  称:CHOM-718 分  類:ファイル感染型 対  象:.EXE ウイルスサイズ:718byte 発祥地:不明 発見日:1997年 詳  細:− 感染ファイル実行時にメモリに常駐する。 − 常駐後は未感染ファイルを実行する度に感染する。 − マシンリセット時に文字列を表示する場合がある。 − その他の破壊活動はない 備  考: [CHRISTMAS] 名  称:CHRISTMAS 別  名:VIRUS 600、 XMAS IN JAPAN、 JAPANESE CHRISTMAS 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:600バイト 発祥地:日本 発見日:1989/09 詳  細:感染方法: −感染ファイルを実行するとメモリーに常駐する。常駐後 に実行した.COMファイルに感染する。 発病: −感染した.COMファイルを12月25日に実行すると、 "A Merry christmas to you" または "Jingo Bell、jingo bell、jingo all the way." と表示 する。 −このメッセージは点滅し、しばらく何もしないで放って おくと、メッセージは消え ファイルが正常に実行され る。しかし、別の感染ファイルを実行すると再度メッセ ージが表 示される。 備  考: [CHUANG] 名  称:CHUANG 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:970バイト 発祥地:不明 発見日:不明 詳  細:感染方法: カレントディレクトリ内の未感染.COMファイルを探し出 し、1つずつ感染する。 感染の有無に関わらず、システムの日付が12〜31日であ り、なおかつシステムの時刻が22時以降であれば発病し、 ハードディスクのデータを全て破壊する。 破壊:ハードディスクのデータを全て破壊することがあ る。 識別方法:感染ファイルは970バイト増加する。 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合、 プログラム実行時に"書き込み不可"という意味のエラーメ ッセージを表示する。 [CIVIL_510] 名  称:CIVIL_510 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:2080バイト(.COM) 発祥地:不明 発見日:不明 詳  細:感染方法: 1)メモリに常駐していなければ常駐する。 2)感染後、オリジナルプログラムを実行する。 3)メモリに常駐し、未感染ファイルが実行される度に感染 する。 .EXEファイルには感染しない。 破壊:感染、増殖以外の活動はなし。 識別方法:感染ファイルは2080バイト増加する。 使用割り込み命令:INT 21h、INT 24h 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合でも、 プログラム実行時に"書き込み不可"という意味のエラーメ ッセージを表示しない。 [CIVIL_WAR] 名  称:CIVIL_WAR 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:599バイト(.COM) 発祥地:不明 発見日:不明 詳  細:感染方法: 1)メモリに常駐していなければ、最上位メモリに常駐す る。 2)感染後、オリジナルプログラムを実行する。 3)メモリに常駐し、未感染ファイルが実行される度に感染 する。 .EXEファイルには感染しない。 破壊:感染、増殖以外の活動はなし。 識別方法:感染ファイルは599バイト増加する。 使用割り込み命令:INT 21h、INT 24h 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合でも、 プログラム実行時に"書き込み不可"という意味のエラーメ ッセージを表示しない。 [CIVIL510] 名  称:CIVIL510 分  類:ファイル感染型 対  象: .COM ウイルスサイズ:2080バイト 詳  細:実行手順: 1) 自分自身がメモリに常駐しているかを確認します。常駐 していなければ、INT21hをフックし上位メモリに常駐しま す。 2)元のファイルを実行します。 3) 常駐しているときに未感染のファイルを実行すると、感 染しま ダメージ: なし 検出方法: 感染したファイルは約2080バイト増加します。 注  意: ファイルに感染するとき、Civil510はINT 24hをフックしま す。I/Oエラーが発生した場合、エラーメッセージが表示さ れます。 備  考: [CIVILWAR] 名  称:CIVILWAR 分  類:ファイル感染型 対  象:.COM、.EXE ウイルスサイズ:599bytes 詳  細:実行手順: 1) 自分自身がメモリに常駐しているかを確認します。常駐 していなければ、INT21hをフックし上位メモリに常駐しま す。 2)元のファイルを実行します。 3) 常駐しているときに未感染のファイルを実行すると、感 染しま ダメージ: なし 検出方法: 感染したファイルは約599バイト増加します。 注  意: ファイルに感染するとき、CivilWarはINT 24hをフックしま す。I/Oエラーが発生した場合、エラーメッセージが表示さ れます。 備  考: [CK] 名  称:CK 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:1163バイト(.COM、.EXE) 発祥地:不明 発見日:不明 詳  細:感染方法: 1)メモリに常駐していなければ常駐する。 2)感染後、オリジナルプログラムを実行する。 3)メモリに常駐し、未感染ファイルが実行される度に感染 する。 破壊:常駐後、しばらくするとスピーカから音を鳴らす。 識別方法:感染ファイルは1163バイト増加する。 使用割り込み命令:INT 21h、INT 24h、INT 13h 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合でも、 プログラム実行時に"書き込み不可"という意味のエラーメ ッセージを表示しない。 [CLINT] 名  称:CLINT 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:N/A 発祥地:不明 発見日:不明 詳  細:感染方法:カレントディレクトリ内の未感染. COMまたは.EXEファイルを探し出し、 一度に4つのファイルに感染する。 その後、以下のような表示を行う。 "memory allocation error !" 破壊:オリジナルファイルをウイルスコードで上書きする ため、ファイルが破壊される。 識別方法:感染ファイルが実行されると上記メッセージを 表示する。 備  考: [CLONEWAR] 名  称:CLONEWAR 別  名:ACME、 TREKWAR 分  類:ファイル感染型 対  象:.EXE ウイルスサイズ:228〜547バイト 発祥地:アメリカ 発見日:1992/10 詳  細:− カレントディレクトリ内の未感染ファイル を検索し、一回に一つのファイルに感染する。 − コンパニオン型感染:感染ファイルと同名の.comファ イルをリードオンリーの隠しファイル属性で作成する。コ ンパニオンファイルの日時はそれが作成された日時であ る。 − コンパニオン型感染ではなく、上書き感染を行う亜種 も存在する。この場合、感染ファイルは破壊される。 − 感染ファイルを実行すると「実行失敗」を意味するメッ セージが表示される。 − 作成された.comファイル内には以下の文字列が含まれ ている: "*.EXE COM" 備  考: [CLS] 名  称:CLS 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:835バイト 発祥地:不明 発見日:不明 詳  細:感染方法: メモリに常駐していなければ上位メモリに常駐する。 常駐後、オリジナルプログラムを実行する。 ファイルのサイズが129〜64512バイトの未感染ファイルに 感染する。 使用割り込み命令: INT 21h、INT 08h、INT 13h 破壊:画面を1時間に一度消去する。 備考:感染したファイルのタイムスタンプは更新されな い。 識別方法:感染ファイルは853バイト増加する。 備  考: [CMDR] 名  称:CMDR 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:4096バイト(.COM) 発祥地:不明 発見日:不明 詳  細:感染方法: 1)メモリに常駐していなければ常駐する。 2)感染後、オリジナルプログラムを実行する。 3)メモリに常駐し、未感染ファイルが実行される度に感染 する。 .EXEファイルには感染しない。 破壊:感染、増殖以外の活動はなし。 識別方法:感染ファイルは4096バイト増加する。 使用割り込み命令:INT 21h 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合、 プログラム実行時に"書き込み不可"という意味のエラーメ ッセージを表示する。 [CMOSKILL] 名  称:CMOSKILL 分  類:トロイの木馬型 対  象:なし ウイルスサイズ:29バイト 発祥地:不明 発見日:不明 詳  細:破壊活動を行うトロイの木馬。CMOSデータを全 て削除する。 識別方法:なし。 使用割り込み命令:なし 備  考:このウイルスはファイル、パーティションテ ーブル、ブートセクタには感染しない。 [COL_MAC] 名  称:COL_MAC 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:1022バイト(.COM、.EXE) 発祥地:不明 発見日:不明 詳  細:感染方法: 1)カレントディレクトリ内の.COMまたは.EXEファイルを探 し出す。 2)COL_MACウイルスに感染していれば、未感染の.COMまた は.EXEファイルを探す。 3)一度につき、カレントディレクトリ内の.COMまたは.EXE ファイル2つに感染する。 4)発病すると、文字をスクリーンのあちこちに表示する。 これはENTERキーが押されるまで続く。 破壊:感染、増殖以外の活動はなし。 識別方法:感染ファイルは1022バイト増加する。 使用割り込み命令:INT 24h 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合でも、プログラム実行時に"書 き込み不可"という意味のエラーメッセージを表示しない。 [COMMY] 名  称:COMMY 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:998バイト 発祥地:不明 発見日:不明 詳  細:感染方法: ウイルス自身を暗号解読し、システムの時間が0〜10分であ り、かつDOSのバージョン3.0以降を使用しているときに、 4567〜64520バイトサイズの.COMファイルに一つずつ感染す る。 その後オリジナルのプログラムが実行される。 ウイルスは、すでにPATHコマンドで設定されているパスを 利用して検索する。 ウイルス感染すると、感染ファイルの更新時刻を暗号化し て感染の識別をする。 破壊:感染、増殖以外の活動はなし。 備  考:1)感染ファイルは998バイト増加する。 2)感染ファイルの日付は更新されない。 3)感染ファイルの時刻は更新される。 [COMO] 名  称:COMO 分  類:ファイル感染型 対  象:.EXE ウイルスサイズ:2020 or 2030バイト(.EXE) 発祥地:不明 発見日:不明 詳  細:感染方法: 1)カレントディレクトリ内の.EXEファイルを探し出す。 2)すでに感染していれば、他の未感染ファイルを探す。 3)未感染ファイルには1/2の確率で感染する。 感染方法:未感染ファイルに感染する。 感染ファイルが合計3つになると、以下のメッセージを表示 する。 This is the COMO-LAKE virus (rel .1.1).......... I'm a non-destructive virus developed to study the worldwide diffusion rate. I was released in September 1990 by a software group resident near como lake (north Italy)..... Don't worry about your data on disk. My activity is limited only.to auto-transferring into another program file.Perhaps you've got many files infected. It's your task to find and delete them、best wishes. Press a key to excute the prompt. 破壊:感染、増殖以外の活動はなし。 識別方法:感染ファイルは2020または2030バイト増加す る。 使用割り込み命令:なし。 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合でも、 "書き込み不可"という意味のエラーメッセージを表示しな い。 [COMP-3351] 名  称:COMP-3351 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:3351バイト 発祥地:不明 発見日:不明 詳  細:感染方法: 1)カレントディレクトリ内の.EXEファイルを探し出す。 2)このファイルと同名の不可視属性の*.COMファイルを作 成する。 この新しい.COMファイルが、増加サイズ3351バイトのウイ ルス本体となる。 破壊:感染、増殖以外の活動はなし。 識別方法:感染ファイルは3351バイト増加する。 備  考:ウイルスファイルは圧縮ファイルなので、解凍 しない限りウイルスであることが認識できない(PKLITEの ような実行型圧縮ファイル)。 [COMPAN-83] 名  称:COMPAN-83 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:83バイト 発祥地:不明 発見日:不明 詳  細:感染方法: 1)メモリに常駐していなければ常駐する。常駐後、オリジ ナルプログラムを実行する。 2)常駐していれば、オリジナルプログラムがそのまま実行 される。 3)感染した.EXEファイルを実行すると、不可視属性で83バ イトサイズの.COMファイルを作成する。この.COMファイル がウイルス本体となる。 破壊:感染、増殖以外の活動はなし。 識別方法:感染ファイルは83バイト増加する。 使用割り込み命令:INT 21h 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合、プログラム実行時に"書き込 み不可"という意味のエラーメッセージを表示する。 [COMSPEC] 名  称:COMSPEC 分  類:ファイル感染型 ウイルスサイズ:3424バイト 発祥地:不明 発見日:不明 詳  細:感染方法: COMMAND.COMを実行し、C:\DOSディレクトリ内にあるどれか 6つのファイルと同じ名前でウイルスファイルを6つ作成 し、カレントディレクトリに保存する。 C:\DOSというディレクトリが存在しなければ、"COMSPEC"と いうファイルを作成する。 破壊:C:\DOSから実行するとファイルを6つ上書きする。 識別方法:感染ファイルは3424バイト増加する。 [COMSYSEXE] 名  称:COMSYSEXE 分  類:ファイル感染型 対  象:.COM;.EXE;.SYS ウイルスサイズ:N/A 発祥地:不明 発見日:不明 詳  細:感染方法: 1)メモリに常駐していなければ常駐し、オリジナルプログ ラムを実行する。 2)常駐していれば、オリジナルプログラムをそのまま実行 する。 感染方法:未感染の.EXE、.COM、SYSファイルを実行する度 に感染する。 破壊:感染、増殖以外の活動はなし。 使用割り込み命令:INT 21h 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合、プログラム実行時に"書き込 み不可"という意味のエラーメッセージを表示する。 [CONNIE-1.0] 名  称:CONNIE-1.0 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:1761バイト 発祥地:不明 発見日:不明 詳  細:感染方法: COMMAND.COMを含む、全ての.COMファイルに感染する。 感染したファイルを実行すると、ウイルスがメモリに常駐 する。 トータル空きメモリが3520バイト減少する。 ウイルスがメモリに常駐すると、.COMファイルを実行、フ ァイルオープン、コピーする度にウイルス感染する。 感染ファイルは1761バイト増加し、末尾にウイルスコード が追加される。 感染ファイルの日付と時刻は更新されない。 また、このウイルスは以下のような文字列を持つ。 "This is Written by Dark Slayer in Keelung TAIWAN P:\ COMMAND.COM" [CONNIE-2.0] 名  称:CONNIE-2.0 別  名:DSME.CONNIE.2708 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:2760 〜 2960バイト 発祥地:不明 発見日:不明 詳  細:感染方法: 1)COMMAND.COMを含む、全ての.COMファイルに感染する。 2)感染したファイルを実行すると、ウイルスがメモリに 常駐する。 3)ウイルスがメモリに常駐すると、.COMファイルを実 行、ファイルオープン、コピーする度にウイルス感染す る。 −感染ファイルは、感染前に比べて2760〜2960バ イト増加し、ファイルタイムスタンプの年号が100年分 増加します。 [CONVERTED] 名  称:CONVERTED 別  名:NEW_1、 TPVO.3783、 COMPBACK.3783、 TVPO.3783 分  類:複合感染型 対  象:FD:ブートセクタ;HD:マスターブートレコード;. COM;.EXE ウイルスサイズ:3783バイト 発祥地:台湾or日本 発見日:1996/07 詳  細:感染方法: 1)感染FDがマシンの起動時にFDDに入っていた場 合、または感染ファイルが実行されるとウイルスがメモリ に常駐し、マスターブートレコードが感染する。 2)ウイルスのメモリ常駐後に実行、もしくはコピーされ たファイルに感染する。 3)ウイルスのメモリ常駐後にアクセスされたFDのブ ートセクターに感染する。 − ウイルスのステルス行動によりウイルスのメモリ常駐 中はファイルへの改変が発見できない。 − ウイルスのメモリ常駐中にFDに対し"DIR"コマンドを 行ったり、読み書きを行うとエラーが起る場合がある。 − ウイルスコード内に以下の文字列が含まれている: "PKZIP" "ARJ" "RAR" "LHA" "TELIX" "BACKUP" "MSBACKUP" [CONVERTED-1] 名  称:CONVERTED-1 別  名:TPVO.3783、 COMPBACK.3783、 TVPO.3783.A 分  類:複合感染型 対  象:FD:ブートセクタ;HD:マスターブートレコード;. COM;.EXE ウイルスサイズ:3776-3783バイト 発見日:1996/06/17 詳  細:感染方法: 1)感染ファイルを実行すると、メモリに常駐する。 2)ウイルスのメモリ常駐後に実行、もしくはコピーされた ファイルに感染する。感染されたファイルの最後にウイル スコードを付け加える。 − ウイルスのステルス行動によりウイルスのメモリ常駐 中はファイルへの改変が発見できない。 − ウイルスのメモリ常駐中にFDに対し"DIR"コマンドを 行ったり、読み書きを行うとエラーが起る場合がある。 損害: ファイルサイズが増える以外、特になし。 [COPYR_UG] 名  称:COPYR_UG 別  名:UNGAME 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:766バイト 発祥地:不明 発見日:不明 詳  細:−メモリに常駐していなければメモリ上位に常 駐する。 −3〜61441バイトまでの未感染ファイルを実行する度に感 染する。 −ウイルス常駐時にはフリーメモリ量が768バイト減少す る。 −ウイルス感染の有無を判断するために感染時にファイル の末尾に以下の文字列を付加する。 UnGame(C)Dr −4096秒毎にビデオモードとタイマーハンドラを調べ、発 病条件を満たすかどうか判断する。発病条件が揃った場合 は音楽を鳴らし、以下のメッセージを表示する。 ’Come On、 no.51、 You Time is Up.’ [COSSIGA] 名  称:COSSIGA 別  名:COSSIGA-1 分  類:ファイル感染型 対  象:.EXE ウイルスサイズ:N/A 発祥地:不明 発見日:不明 詳  細:感染方法: 一度につきカレントディレクトリ内の未感染.EXEファイル1 つに感染する。 感染の有無に関わらず、システムの日付が1991年10月17日 以降であれば以下のメッセージを表示する。 "COSSIGA ?! NO GRAZZIE ! By Amissi dee Panoce (c)1991 " 破壊:オリジナルファイルはウイルスコードで上書きされ るため破壊される。 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合、プログラム実行時に"書き込 み不可"という意味のエラーメッセージを表示する。 [CR-2480B] 名  称:CR-2480B 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:2480バイト 発祥地:不明 発見日:不明 詳  細:感染方法:カレントディレクトリ内の未感染. COMファイルに1つずつ感染する。 破壊:感染、増殖以外の活動はなし。 識別方法:感染ファイルは2480バイト増加する。 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合、プログラム実行時に"書き込 み不可"という意味のエラーメッセージを表示する。 [CRAZY] 名  称:CRAZY 分  類:システム領域感染型 ウイルスサイズ:N/A 発祥地:不明 発見日:不明 詳  細:感染方法: このウイルスはファイル、パーティションテーブル、ブ ートセクタには感染しない。 ウイルスを実行すると、カレントディレクトリの中にサブ ディレクトリを50個作成し、 各々のサブディレクトリ内にさらにサブディレクトリを50 個作成する。 破壊:感染、増殖以外の活動はなし。 識別方法:なし。 使用割り込み命令:なし 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合、プログラム実行時に"書き込 み不可"という意味のエラーメッセージを表示する。 [CRAZY-2] 名  称:CRAZY-2 別  名:CRAZY2 分  類:トロイの木馬型 対  象:DOS, Win9x ウイルスサイズ:4,096 bytes 詳  細:   これはトロイの木馬型不正プログラムです。他のファイ ルへの感染活動は行いません。一個のプログラムなので駆 除はできません。ファイルを削除してください。  このトロイの木馬は起動されるとカレントディレクトリ の下にランダムな数字列の名前の新規ディレクトリを作成 しつづけます。これによりディスクスペースが減少し、最 悪の場合はシステムハングを招く可能性もあります。 [CRAZYBOOT] 名  称:CRAZYBOOT 分  類:ファイル感染型 対  象:FD:ブートセクタ;HD:マスターブートレコード ウイルスサイズ:N/A 発祥地:不明 発見日:不明 詳  細:感染方法: −このウイルスに感染したフロッピーディスクでマシンの 起動動作を行うとハードディスクのシステム領域(マスタ ーブートレコード)に感染する。 −このウイルスに感染したハードディスクでマシンを起動 すると、メモリーに常駐してファイルの入出力を監視す る。その後、書き込み可能なフロッピーディスクにアクセ スすると、そのディスクのブートセクタに感染する。 −ハードディスクの場合、オリジナルのパーティションテ ーブルは保存しない。 更に区画情報の保存位置を変えるので、感染したシステム をフロッピーディスクから起動すると、Cドライブ(第1 ハードディスク)にアクセスできなくなる。 また、FDISK /MBRや同様の仕組みを持つ駆除プログラムで はこのウィルスは駆除できない。 駆除すると、データが破壊されてしまう。 −ステルスを行っているので、ウイルス常駐時には、ウイ ルスコードにアクセスできない。 −フロッピーディスクの場合もオリジナルのブートセクタ は保存しない。 発病: −感染したシステム起動時および、ディスクBIOSのセクタ 読み込みが行われるとウイルス内のカウンタを1づつ加算 する。同時に、カウンタをチェックして、8995回目に なると、ビープ音を鳴らし以下のメッセージを表示して、 システムをハングさせる。  "Don’t PLAY with the PC !"  "Otherwise you will get in ’DEEP、DEEP’ trouble !..."  "Crazy Boot Ver. 1.0" [CRAZY-I15] 名  称:CRAZY-I15 分  類:ファイル感染型 対  象:.EXE ウイルスサイズ:1402bytes 詳  細:Crazy-I15は、ファイルに感染するウイルスで す。*.COMファイルに感染します。 感染しているファイルが実行されるとき、ウイルスは、自 分自身をメモリへロードします。 この後でアクセスされるすべてのファイルに感染します。 感染したファイルはサイズが1402バイト増加します。 [CREATE.COM] 名  称:CREATE.COM 分  類:トロイの木馬型 対  象:なし ウイルスサイズ:N/A 発祥地:不明 発見日:不明 詳  細:- このウイルスプログラムは、実行されるとカ レントディレクトリに"CAPTURE.CAP"という0bytesのファイ ルを作成する。もしこの名前のファイルすでにデ ィレクトリに存在していたら、そのファイルの内容を削除し 0bytesにする。 損害: - "CAPTURE.CAP"というファイルの内容を削除し0bytesに する。 備  考:-  "CREATE.COM "は" PLAYCAP.EXE""KBCAP.COM "とウイルスと関連があるものと考えられる。これらのウイ ルスはすべて 「CAPTURE.CAP」ファイルを必要とする。 "CREATE.COM"は「 CAPTURE.CAP」ファイルを作り、"KBCAP.COM"は「CAPTURE. CAP」ファイルにごみコードを付け加え、" PLAYCAP.EXE"は「 CAPTURE.CAP」ファイルの内容を表示させ [CREPATE] 名  称:CREPATE 分  類:複合感染型 対  象:.COM;.EXE ウイルスサイズ:2910バイト(ファイル) 発祥地:不明 発見日:不明 詳  細:感染方法: 感染したファイルは全て2910バイト増加し、ファイル末尾 にウイルスコードが追加され、さらに(ファイル作成日時の 情報を示す)ヘッダーが書き換えられる。 破壊:ハードディスクをフォーマットする。 - "*AN.???" もしくは "*LD.???" という名前のファイルに は感染しない。 - 感染ファイルの末尾に"Crepa (C)bye R.T."というがあ る(この文字列は簡単に変更できる)。 - DOSのChkdskコマンドを実行すると、空きメモリが4Kバイ ト減少しているのが確認できる。 使用割り込み命令:INT 21h [CRUMBLE] 名  称:CRUMBLE 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:778バイト(.COMと.EXE) 発祥地:不明 発見日:不明 詳  細:感染方法: 1)カレントディレクトリ内の.COMまたは.EXEファイルを探 し出す。 2)既にCrumbleウイルスに感染していれば未感染の.COMま たは.EXEファイルを探す。 3)一度につき、カレントディレクトリ内の.COMまたは.EXE ファイル2つに感染する。 4)システムの日付が金曜日であればに発病し、 "falling letter"というメッセージを表示した後、画面上の文字を秒 おきに落下させる。 破壊:金曜日に発病し、画面上の文字を落下させる。 識別方法:感染ファイルは778バイト増加する。 使用割り込み命令:INT 24h 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合でも、プログラム実行時に"書 き込み不可"という意味のエラーメッセージを表示しない。 [CRUNCHER] 名  称:CRUNCHER 分  類:ファイル感染型 ウイルスサイズ:N/A 発祥地:不明 発見日:不明 詳  細:感染方法: 1)メモリに常駐していなければ常駐し、オリジナルプログ ラムを実行する。 2)常駐していれば、そのままオリジナルプログラムを実行 する。未感染ファイルを実行する度に感染する。 破壊:感染、増殖以外の活動はなし。 使用割り込み命令:INT 21h、INT 24h 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合でも、プログラム実行時に"書 き込み不可"という意味のエラーメッセージを表示しない。 [CSFK] 名  称:CSFK 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:5+918バイト 発祥地:不明 発見日:不明 詳  細:感染方法: ウイルス自身が暗号解読し、メモリに常駐していなければ 常駐する。 常駐後他のファイルに感染し、その後オリジナルプログラ ムを実行する。 ファイルサイズが25〜63500バイトの未感染の.COMファイル に感染する。 使用割り込み命令:Int 21h 破壊:感染、増殖以外の活動はなし。 備  考:1)メモリ常駐型。(MCB) 2)感染ファイルは918バイト増加する。 3)感染ファイルのタイムスタンプは更新されない。 [CSL-2] 名  称:CSL-2 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:709バイト (.COM) 発祥地:不明 発見日:不明 詳  細:感染方法: 1)メモリに常駐していなければ常駐する。 2)感染後、オリジナルプログラムを実行する。 3)メモリに常駐し、未感染ファイルが実行される度に感染 する。 .EXEファイルには感染しない。 破壊:感染、増殖以外の活動はなし。 識別方法:感染ファイルは709バイト増加する。 使用割り込み命令:INT 21h 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合、プログラム実行時に"書き込 み不可"という意味のエラーメッセージを表示する。 [CUBAN] 名  称:CUBAN 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:1501バイト発祥地:不明 発見日:不明 詳  細:感染方法: メモリに常駐していなければ、メモリ上位に常駐する。 常駐後、オリジナルプログラムを実行する。 システムの日付が各月30日であれば発病し、ハードディス クのデータを全て破壊する。 未感染.COMファイルが実行される度に感染していく。 また、.EXEファイルが実行される度に未感染の.COMファイ ルを探し出して感染する。 使用割り込み命令:Int 21H、Int 24h 破壊:ハードディスクのデータを全て破壊することがあ る。 識別方法:感染ファイルは1501バイト増加する。 [CV4] 名  称:CV4 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:321バイト 発祥地:不明 発見日:不明 詳  細:感染方法:感染すると次のようなメッセージを 表示する。 "This file infected with COMVIRUS 1.0." その後、カレントディレクトリ内の未感染.COMファイルに1 つずつ感染していく。 破壊:感染、増殖以外の活動はなし。 識別方法: 1)感染ファイルは321バイト増加する。 2)感染ファイルを実行すると上記メッセージが表示され る。 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合、プログラム実行時に"書き込 み不可"という意味のエラーメッセージを表示する。 [CVIRUS] 名  称:CVIRUS 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:変化なし 発祥地:不明 発見日:不明 詳  細:感染方法: 1)カレントディレクトリ内の、10kバイト以上の.EXEまた は.COMファイルを探し出す。 2)すでに Cvirusウイルスに感染していれば、他の未感染 の.COMまたは.EXEファイルを探す。 3)一度につき、カレントディレクトリ内の.COMまたは.EXE ファイル1つに感染する。 4)感染後、オリジナルプログラムを実行する。5)どのフ ァイルにも感染できなかった場合、ハードディスクのブ ートセクタとFATを破壊する。 破壊:ハードディスクのブートセクタとFATを破壊する。 識別方法:なし。 使用割り込み命令:なし 備  考:1)メディアなどにライトプロテクト(書き込 み禁止処理)が施されている場合、プログラム実行時に"書 き込み不可"という意味のエラーメッセージを表示する。 2)感染ファイルは破壊され実行できない。 [CVIRUS_2.1] 名  称:CVIRUS_2.1 別  名:HLLCo-NMAN-4317-A, HLLO.4317, HLL.ow, HLLO. 4096, HLLO.4317.a, HLLO.CVIRUS.3_.0, HLLO.Cvirus 分  類:ファイル感染型、 上書き感染型 対  象:.EXEウイルスサイズ:約6,286バイト 詳  細:DOSの実行ファイルである.EXEファイルに直接感 染していく。ステルス技術は使用しない。未感染ファイル に感染することで自己複製していく。 実行されたウイルスは、感染ファイルにウイルスコードを 上書きし、実行ファイルを無効にする。このため、感染フ ァイルからウイルスを除去し元通りにすることはできず、 それ以上の感染を防ぐには、感染ファイルを削除するほか ない。 [CVIRUS19] 名  称:CVIRUS19 別  名:NOWHERE MAN、 VMESSI 分  類:ファイル感染型 対  象:.COM;.EXE 発祥地:不明 発見日:不明 詳  細:− ファイルサイズが6300バイト以上のcom、 exeファイルにのみ感染する。ファイルの先頭から6286バイ トは感染時に上書きされてしまう。感染時にファイルの作 成日時の情報は更新されない。 − 感染に成功すると以下のメッセージが表示される: "Out of memory" − 感染できなかった場合、以下のメッセージが表示され る: "All files infected. Mission complete." − ウイルス内に以下の文字列が含まれている: "NMAN" "BMAN "*.EXE" [CVIRUS2.0] 名  称:CVIRUS2.0 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:N/A 発祥地:不明 発見日:不明 詳  細:感染方法: - このウイルスは直接感染型ウイルスで、実行されると未 感染ファイルにウイルスコードを直接上書きする。そのため 感染されたファイルは壊れて実行できなくなる。 - FDやHDのシステム領域に感染しない。 損害: - 感染されたファイルの実行はできなくなる。駆除は不能 ですので、すべての感染ファイルを削除しなくてはならな い。 [CYBER] 名  称:CYBER 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:1092バイト(.COM、.EXE) 発祥地:不明 発見日:不明 詳  細:感染方法: 1)カレントディレクトリ内の.COMまたは.EXEファイルを探 し出す。 2)すでにCyberウイルスに感染していれば、未感染の.COM または.EXEファイルを探す。 3)一度につき、カレントディレクトリ内の.COMまたは.EXE ファイル2つに感染する。 4)感染後、オリジナルプログラムを実行する。 破壊:感染、増殖以外の活動はなし。 識別方法:感染ファイルは1092バイト増加する。 使用割り込み命令:INT 24h 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合でも、プ ログラム実行時に"書き込み不可"という意味のエラーメッ セージを表示しない。 [CYBER101] 名  称:CYBER101 分  類:ファイル感染型 対  象:.COM、.EXE ウイルスサイズ:N/A 詳  細:実行手順: 1) カレントディレクトリ内の.COMか.EXEファイルを検索し ます。 2) そのファイルがCyber101に感染しているかを確認しま す。 3)そうであれば、更に検索します。 4) カレントディレクトリ内の全ての.COM、.EXEファイルに 感染します。 5) 元のファイルを実行します。 ダメージ: なし 検出方法: 感染したファイルは約946バイト増加します。 注  意: 1) メモリに常駐はしません。 2) ファイルに感染するとき、INT 24hをフックします。I/O エラーが発生した場合、エラーメッセージが表示されま す。 [CYBERCIDE] 名  称:CYBERCIDE 別  名:BUTTHEAD、 PONY、 MLP、 CCID001、 DARTHVADER分   類:ファイル感染型 対  象:.COM ウイルスサイズ:2299byte 発祥地:不明 発見日:1993 詳  細:− メモリに常駐していなければメモリ上位に 常駐し、オリジナルプログラムを実行する。 − 未感染ファイルを実行する度に感染する。 − ウイルスコード内に以下の文字列が含まれる: "CYBERCIDE" [CYBERTECH] 名  称:CYBERTECH 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:1076バイト(.COM) 発祥地:不明 発見日:不明 詳  細:感染方法: 1)システムの日付が1993年以前であれば、カレントディレ クトリ内の.COMファイルを探し出す。 2)すでにCybertechウイルスに感染していれば他の未感染 の.COMファイルを探す。 3)カレントディレクトリ内の.COMファイルに1つずつ感染 していく。 4)日付が1993年以降であれば次のようなメッセージを表示 する。 "The previous year you have been infectedby a virus without knowing or removeing it. To be gentle to you I decided to remove myself from your system . I suggest you better buy ViruScan of McAfee to ensure youself complete security of your precious data. Next time you could be infected with a malevolent virus. May I say goodbye to you for now... CyberTech Virus-Strain A (c)1992 John Tardy of Trident." その後、ファイルを元の状態に戻す。 破壊:感染、増殖以外の活動はなし。 識別方法:感染ファイルは1076バイト増加する。 使用割り込み命令:INT 24h 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合でもプログラム実行時に"書き 込み不可"という意味のエラーメッセージを表示しない。 [CYEER101] 名  称:CYEER101 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:946バイト(.COM、.EXE) 発祥地:不明 発見日:不明 詳  細:感染方法: 1)カレントディレクトリ内の.COMまたは.EXEファイルを探 し出す。 2)すでにCyber101ウイルスに感染していれば、他の未感染 の.COMまたは.EXEファイルを探す。 3)一度につき、カレントディレクトリ内の.COMまたは.EXE ファイル2つに感染する。 4)感染後、オリジナルプログラムを実行する。 破壊:感染、増殖以外の活動はなし。 識別方法:感染ファイルは946バイト増加する。 使用割り込み命令:INT 24h 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合でもプログラム実行時に"書き 込み不可"という意味のエラーメッセージを表示しない。 [DA'BOYS.A] 名  称:DA'BOYS.A 別  名:DALLAS COWBOYS VIRUS 分  類:システム領域感染型 対  象:FD:ブートセクタ;HD:マスターブートレコード ウイルスサイズ:N/A 発祥地:アメリカ 発見日:不明 詳  細:− ウイルスのメモリ常駐時にCOM4のシリアル ポートが使用不能になる。 − 感染したFDはアクセスエラーや起動不能になる場合 が多い。 − CHKDSKコマンドではメモリの減少がわからない。 備  考: [DADA] 名  称:DADA 分  類:ファイル感染型 対  象:.EXE ウイルスサイズ:1358〜1372バイト 発祥地:不明 発見日:1992/01 詳  細:− メモリに常駐していなければ下位メモリに TSRとして常駐し、次にオリジナルファイルを実行す る。 − メモリ常駐時に実行された未感染ファイルに感染す る。 − ウイルスコード中に以下の文字列が含まれている: "PATH=.EXE" − ウイルス常駐時には使用可能コンベンショナルメモリ 量が64Kバイトになってしまう。結果的に64Kバイトを超え る.EXEファイルは実行できなくなる。 − ファイル日付と時刻はウイルス感染時に更新される。 [DAISY] 名  称:DAISY 分  類:ファイル感染型 対  象:.EXE ウイルスサイズ:なし 発祥地:不明 発見日:不明 詳  細: − 画面に"笑い顔"と以下のメッセージを表示する: "Hi、I’m Crazy Daisy!... I’ll format your HARD DISK ! ... Say goodbye to yourfiles!" − Aドライブの未感染.EXEファイルを探し全てに感染す る。 − 感染活動後、システムがハングする。 − 感染ファイルを実行すると、無作為に次のようなメッ セージを表示する。 "1. Pretty day today - isn’t it? 2. Don’t worry - sing a song! 3. Life isn’t easy! 4. Don’t halt your computer! -Let’s be friends!" 備  考:メディアにライトプロテクト(書き込み禁止処 理)が施されてもプログラム実行時に"書き込み不可"とい う意味のエラーメッセージを表示しない。 [DAMAGE-B] 名  称:DAMAGE-B 別  名:DAMEGE 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:1110バイト 発祥地:イタリア 発見日:1991/05 詳  細:− 感染ファイル実行時にメモリに常駐してい なければ常駐し、オリジナルファイルを実行する。 −常駐後、1KB以上の未感染のファイルが実行される度に感 染する。 −発病日に、ハードディスクをフォーマットする。 − 感染ファイル内に以下の文字列を持つ: "DAMAGE!!!!" 備  考:メディアにライトプロテクト(書き込み禁止処 理)が施されている場合、プログラム実行に"書き込み不可 "という意味のエラーメッセージを表示する。 亜種: Damege:ウイルスサイズは1063バイト。  システム時刻が 14:59:53の時、発病する。発病すると大 きなダイアモンドの形が画面の中央に表示される。表示さ れたダイアモンドは小さく分割されていき、画面表 示をクリアしていく。その後、カレントドライブの一部をフ ォーマットしてしまう。破壊されたファイルの読み書きを行 うと "Sector not found"エラーが起 こる。ウイルスの常駐中はDOSのCHKDSKコマンドを行っても ファイルエラーは発見できない。 [DAME] 名  称:DAME 別  名:TRIGGER 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:なし 発祥地:カナダ 発見日:1993 詳  細:感染方法: 1)メモリに常駐していなければ常駐する。 2)次にオリジナルファイルを実行する。 3)メモリに常駐し、未感染のファイルが実行される度に感 染する。4)ファイル感染後、システムの時刻が午前00:00 から00:30であれば次のメッセージを表示する。 "Don’t worry、you are not alone at this hour.... This Virus is NOT dedicated to Sara..its dedicated to her Groove (...That’s my name).. This Virus is only a test therefor .. be ready for my Next Test...". 破壊:感染、増殖以外の活動はなし。 使用割り込み命令:INT 21h、INT 24h 備  考:1)メディアなどにライトプロテクト(書き込み 禁止処理)が施されている場合でもプログラム実行時に"書 き込み不可"という意味のエラーメッセージを表示しない。 2)感染する前にウイルス自体が暗号化する。暗号化の方法 は毎回違う。 3)ウイルス名称は「Dark Angel’s Multiple Encryptor」 もしくは「Dark Avenger’s Multiple Encryptor」の略称 と考えられる。 [DAME-1] 名  称:DAME-1 分  類:File Infector 対  象:.EXE ウイルスサイズ:2,786〜2,900バイト 詳  細:カレントディレクトリの.EXEファイルにウイル スコードをコピーし、拡張子を.COMに変えて保存する。そ のため、元の.EXEファイルは変更されない。新たに作成さ れた.COMファイルは,ユーザに気づかれにくくするために ,システムファイルや隠しファイルとして設定される。 実行されたウイルスは、EXEファイルを探す(例 TEST. EXE)。EXEファイルを見つけると,そのファイルにウイル スコードをコピーし、拡張子をCOMに変更して保存する(例  TEST.COM)。新たに作成されたCOMファイルは、ユーザに 気づかれにくくするために、隠しファイルとして設定され る。以後、TEST.EXEを実行しようとすると、TEST.COMが実 行されてしまう。DOSモードでは、同じファイル名がある と、COMファイルの方が優先的に実行されるようになってい るためである。 [DANUBE] 名  称:DANUBE 分  類:複合感染型 対  象:HD:マスターブートレコード;.COM(command.com を除く);.EXE ウイルスサイズ:N/A 発祥地:不明 発見日:不明 詳  細:−数多いJerusalemウイルスから派生したウイル スの中でも特殊なもの。  複合感染型で.COMと.EXEファイル、ブートセクタに感染 する。 −感染したプログラムが実行されるとメモリに常駐する。 常駐量は5バイトである。 DOSの MEM /C コマンドを実行すると通常の常駐プロ グラム同様、常駐が表示される。 −常駐後に実行されたすべての.com、.exe型ファイル( command.comは除く)に感染する。 またアクセスしたディスクのブートセクターにも自分の コードを書き込み感染する。 −感染したディスク(HD、FD)からマシンが起動され た場合、ウイルスはDOSのシステム がロードされる前 にメモリに常駐する。 −ウイルスの持つバグのため、360KBフォーマットのFDに は感染できない。 −Jerusalem 参照。 [DARK_AVENGER] 名  称:DARK_AVENGER 別  名:AMILIA、 BLACK AVENGER、 BORODA、 EDDIE、 DIANA 、 RABID AVENGER、VAN SOFT、 DARK AVENGER 1801、 DARK AVENGER-C、 DARK AVENGER-D、PS!KO、 EVIL MEN、 DARK AVENGER.1E、 DARK QUEST、 1800、 BULGARIAN VIRUS、 SOFIA VIRUS 分  類:ファイル感染型 対  象:.COM;.EXE;.OVL;.SYS;.TSR ウイルスサイズ:約1800バイト 発祥地:ブルガリア 発見日:1989/09 詳  細:感染方法: 1)メモリに常駐していなければ常駐する。 2)常駐後、オリジナルファイルを実行する。 3)メモリに常駐し、オープンした実行型ファイルにことご とく感染する。従って、XCOPYやCOPYコマンドを使用した場 合でも転送元と転送先の両ファイルに感染する。 発病: ディスクのブートセクタを参照し、起動されたプログラム 数を記憶する 。プログラムが16回実行されるとランダムク ラスタを上書きする。(上書きされたセクタ部分は修復可 能になる。)その後、クラスタ数はブートセクタに保存さ れる。最後に、変更されたブートセクタがディスクに書き 戻される。 −ウィルスの著作権を示す文字列 "The Dark Avenger、 copyright 1988、 1989" と、以下のメッセージを持つ。  "This program was written in the city of Sofia."  "Eddlie lives.... Somewhere in Time!"  "Diana P." その他: −Jerusalemウィルスと同じサイズだが、まったく別のウィ ルスである。 −メディアなどにライトプロテクト(書き込み禁止処理) が施されている場合、プログラム実行時に"書き込み不可" という意味のエラーメッセージを表示する。 [DARK_AVENGER-B] 名  称:DARK_AVENGER-B 別  名:AMILIA、 BLACK AVENGER、 BORODA、 EDDIE、 DIANA 、 RABID AVENGER、VAN SOFT、 DARK AVENGER 1801、 DARK AVENGER-C、 DARK AVENGER-D、PS!KO、 EVIL MEN、 DARK AVENGER.1E、 DARK QUEST、 1800、 BULGARIAN VIRUS、 SOFIA VIRUS 分  類:ファイル感染型 対  象:.COM;.EXE;.OVL;.SYS;.TSR ウイルスサイズ:約1800バイト 発祥地:ブルガリア 発見日:1989/09 詳  細:Dark Avengerと同じであるが、以下の点が異な る。 感染.COMファイルに重感染して、感染する度に1、800byte追 加する。更に常駐型でシステムメモリ下位にTSRとして常駐 するのではなく、システムメモリ上位に常 駐する。 ウイルスコードに以下の文字列を持つ。 "Eddie lives...somewhere in time!" "Diana P." "This program was written in the city of Sofia" "(C)1988-1989 Dark Avenger" [DARK_AVENGER-C] 名  称:DARK_AVENGER-C 別  名:AMILIA、 BLACK AVENGER、 BORODA、 EDDIE、 DIANA 、 RABID AVENGER、VAN SOFT、 DARK AVENGER 1801、 DARK AVENGER-C、 DARK AVENGER-D、PS!KO、 EVIL MEN、 DARK AVENGER.1E、 DARK QUEST、 1800、 BULGARIAN VIRUS、 SOFIA VIRUS 分  類:ファイル感染型 対  象:.COM;.EXE;.OVL;.SYS;.TSR ウイルスサイズ:1、800byte〜1、814byte 発祥地:ブルガリア 発見日:1989/09 詳  細:Dark Avengerウィルスに類似。感染後のファイ ルの増加サイズは1、800byteから1、814byteのあいだであ る。著作権の表示も以下のように変更され ている:"(C) 1988-89 Dark Avenger" [DARK-END] 名  称:DARK-END 別  名:DARK END.1188 分  類:ファイル感染型 対  象:.EXE ウイルスサイズ:1188バイト 発祥地:不明 発見日:1992/12 詳  細:感染方法: 1)メモリに常駐していなければメモリ上位に常駐し、オ リジナルプログラムを実行する。 2)常駐時に実行された未感染ファイルに感染する。 破壊: 発病日にCドライブのデータを破壊する。 − ウイルスコード内に以下の文字列を含む: "(c)Dark End." − ウイルス常駐中はカーソルがちらちら動くなど画面表 示がおかしくなったり、システムがハングしたりすること もある。 − 感染してもファイル日付と時刻は更新されない。 [DARTH_VADER] 名  称:DARTH_VADER 別  名:DARTH-# 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:200〜345バイト 発祥地:ブルガリア 発見日:1991/05 詳  細:− メモリに常駐していなければ常駐する。 − メモリ常駐時にコピーを行うとコピー先ファイルに感 染する。 − 上書き感染のため、ウイルスが感染したファイルはほと んどの場合破損し、実行できない。 − 感染してもファイルの日時は更新されない。 [DASHEL] 名  称:DASHEL 別  名:1804 分  類:ファイル感染型 対  象:.EXE ウイルスサイズ:1804〜1805バイト 発祥地:ドイツ 発見日:1993/01 詳  細:− カレントディレクトリ内の未感染ファイル のうち一つを検索して感染する。 − ウイルス感染時にファイルの日時は更新される。 [DATACRIME] 名  称:DATACRIME 別  名:1168、 COLUMBUS DAY 分  類:ファイル感染型 対  象:.COM(command.comを除く) ウイルスサイズ:1168 or 1280バイト 発祥地:オランダ 発見日:1989/04 詳  細:感染方法: 1)感染ファイル実行時、メモリに常駐していなければ常 駐し、次にオリジナルファイルを実行する。 2)常駐後、未感染のファイルが実行される度に感染す る。 ファイル名の7文字目が"D"のファイル(例:command. com)には感染しない。 − システムの日付が4月1日〜10月12日の間であれば、全 ての.COMファイルに感染する。 − システム日付が10/12日以降の時、感染ファイルが実行 されるとハードディスクにローレベルフォーマットをか け、以下のメッセージを表示する: "DATACRIME VIRUS Released:1 March 1989." 備  考:メディアにライトプロテクト(書き込み禁止処 理)が施されている場合プログラム実行時に"書き込み不可 "という意味のエラーメッセージを表示する。 [DATACRIME II] 名  称:DATACRIME II 別  名:DATACRIME II B 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:1514(II) or 1460(IIb)バイト 発祥地:不明 発見日:不明 詳  細:− システム日付が10月12〜31日、かつ月曜以 外の曜日であった場合、ハードディスクのシリンダ0をロ ーレベルフォーマットし、以下のメッセージを表示する: "DATACRIME-2 VIRUS." 備  考: [DATALOCK.920.A] 名  称:DATALOCK.920.A 別  名:V920、 DATALOCK 分  類:ファイル感染型 対  象:.EXE;command.com ウイルスサイズ:920バイト 発祥地:アメリカ 発見日:1990/11 詳  細:− ウイルス常駐時に実行されたファイルに感 染する。 − 発病すると拡張子が .?BF のファイルは、以下のエラ ーメッセージは表示され、オープンできない。 "Too many files open" "out of file handles"  − 感染ファイルは末尾に以下の文字列を持つ: "DataLock version 1.00" − ウイルス常駐中はシステムメモリとフリーメモリの空 きが2048バイト減少する。 − 感染時にファイル日付と時刻が更新される。 [DATARAPE!V2.0] 名  称:DATARAPE!V2.0 別  名:DATA_RAPE_2.0 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:1875〜1890バイト 発祥地:不明 発見日:不明 詳  細:− メモリに常駐していなければ常駐し、オリ ジナルプログラムを実行する。 − 未感染ファイルを実行する度に感染する。 備  考: [DATA-RAPE-2.0] 名  称:DATA-RAPE-2.0 分  類:ファイル感染型 対  象:.COM、.EXE ウイルスサイズ:1875-1890bytes 詳  細:割り込み: INT 21h 実行手順: 1)メモリに常駐しているかチェックします。していなけれ ば、上位メモリに自分自身をロードして、常駐します。 2)INT 21hをフックして、元のルーチンに戻ります。 感染方法: ファイルに感染するときにINT 21h(AH=4Bh)をフックし ます。実行されるプログラムが未感染の.COMか.EXEファイ ルであれば、感染プロセスを続行しま ダメージ: なし 症状:感染したファイルは、サイズが1875〜1890バイト増加 します。 備  考: [DAVIS] 名  称:DAVIS 分  類:ファイル感染型 対  象:.EXE ウイルスサイズ:1776〜1965バイト 発祥地:マレーシア 発見日:1992/05 詳  細:− メモリに常駐していなければ常駐し、オリ ジナルプログラムを実行する。 − 未感染ファイルを実行する度に感染する。 − メモリ常駐後、15〜30分が経過すると数分おきにビ ープ音を鳴らしながら以下の文字列を表示する: レトトトトトトトトトトトトトトトトトトトトトトトトトソウ DAVIS V1.01 ウ テトトトトトトトトトトトトトトトトトトトトトトトトトエウ Author : Davis ウウ Date : mm/dd/yy ウ ウ VIRUS STATION COPY ウ タトトトトトトトトトトトトトトトトトトトトトトトトトル Hi ! How are you today ? Don’t worry about ! DAVIS VIRUS will follow youforever and ever ! Don’t care me! I really do not damage your disk or data.But.. ........................make Funny to you sometime. − ウイルス常駐中には総システムメモリとフリーメモリ 量が1776バイト減少する。 − 感染してもファイルの日時は更新されない。 備  考:メディアにライトプロテクト(書き込み禁止処 理)が施されていてもプログラム実行時に"書き込み不可" という意味のエラーメッセージを表示しない。 [DAY_10] 名  称:DAY_10 別  名:DAY/10, DAY10, SYP 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:674バイト 発祥地:不明 発見日:1991/11 詳  細:- このウイルスはCOMファイルにのみ感染する。 感染ファイルを実行すると、実行可能なCOMファイルを探 す。見つけると、そのファイルがすでに感染しているか否 かを確認し、すでに感染していれば他の未感染ファイルを 探す。 損害: - 感染に成功すると、ウイルスはその日の日付を確認す る。もし10日であれば、ハードディスクのMBRを破壊する。 このため、マシンをブートすることができなくなってしま う。 − ウイルスコード内に以下の文字列が含まれる: "DM?COM#" − 感染するとファイルの日時が更新される。 備  考:- すべてのドライブの異なるディレクトリにあ るCOMファイルを対象に感染することができる。ただし、一 度に感染するファイルは1つだけである。 - メディアにライトプロテクト(書き込み禁止処理)が 施されている場合、プログラム実行時に"書き込み不可"と いう意味のエラーメッセージを表示する。 [DBASE] 名  称:DBASE 分  類:ファイル感染型 対  象: .COM ウイルスサイズ:1864bytes 詳  細:実行手順: 1) 既にメモリに常駐しているかを確認します。常駐してい なければ、INT21hをフックし、常駐します。 2)元のファイルを実行します。 3) 常駐している状態で、未感染ファイルを実行すると、感 染します。.EXEファイルには感染しません。 ダメージ: 感染するとサイズが約1864バイト増加します。 ウイルスはシステムを時々停止させます。 症状:ウイルスはINT21hをフックします。ウイルスが 活動していると、.DBFデータファイルを開く時上位バイト 下位バイトを切り替えます。また、ウイルスは"BUG.DAT" という名前の隠し属性を持ったファイルをルートディ レクトリに作成します。そのファイルには、感染した. DBFファイル名が記述されています。 注  意: メモリに常駐します。 I/Oエラーが発生した場合、エラーメッセージが表示されま す。 [DEATHPR_TROJAN] 名  称:DEATHPR_TROJAN 分  類:トロイの木馬型 ウイルスサイズ:105 KB 詳  細:これはトロイの木馬型不正プログラムである。 16bit NEタイプのExeプログラムで、Win3.xx, 95,98,NT上で 実行することができる。 実行されると、Autoexec.batファイルを改ざんして、起動時 に c:\config.sys,c\windows\win.ini, c:\windows\win.com, c:\dos\ansi.sys, c:\io.sys, c\msdos.sys, c:\image. idx, c:\386part.par, c:\dblspace.bin, c:\image.dat, c :\image.bak, c:\drive.qaを削除してしまう。 その後、「ファイルが削除されてしまってもう二度とバック アップをとることはできないよ」というウイルス作者からの メッセージが表示される。 [DECIDE-2] 名  称:DECIDE-2 別  名:DEICIDE II 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:1335バイト 発祥地:不明 発見日:不明 詳  細:− カレントディレクトリ内の未感染の.COMフ ァイルを検索して感染する。 − 発病日に以下のようなメッセージを表示する。 As the good times of DECIDE will be remembered、I started to make a new virus.You are not facing the dark tombs of "Morgoth".Humble regards to:Pazuzu、 Kingu、Absu Mummu Tiamat、Baxaxaxa Baxaxaxa、Yog Sothoth IakSakkath、Kutulu、Humwawa Xaztur、Hubbur Shub Niggurath. Also my lovely regards go to Stephanie、the only one who makes my heart beatstronger. Want to make love with a Moribid Angel? Glenn greets ya.Press a keyto start the program... − メディアにライトプロテクト(書き込み禁止処理)が 施されている場合、プログラム実行時に"書き込み不可"と いう意味のエラーメッセージを表示する。 備  考:Deicideウイルスとは無関係と考えられる。 [DEFINE-1] 名  称:DEFINE-1 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:なし 発祥地:不明 発見日:不明 詳  細:− カレントディレクトリ内の未感染のファイ ルを検索して感染する。一度に感染するファイルは1つだ け。 − メディアにライトプロテクト(書き込み禁止処理)が 施されている場合、プログラム実行時に"書き込み不可"と いう意味のエラーメッセージを表示する。 [DEI] 名  称:DEI 別  名:DEICIDE.666.A 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:666bytes 発見日:10-23-1990 詳  細:感染ファイルを実行すると、まずルートディレ クトリをチェックして、.COMファイルがないかどうかを探 す。もし、カレントディレクトリがFDであり、そのフロッ ピーにcommand.comが見つかれば、ウイルスは、FDのブート セクターを上書きする。 また、カレントディレクトリがHDDだった場合は、上書きし ようとするが、これは失敗する。 さらに以下のテキストを画面に表示する。 “Deicide! Glenn (666) says : BYE BYE HARDDISK!! Next time be carefull with illegal stuff……” また、ルートディレクトリにある.COMファイルすべてに感 染し、以下のテキストを表示する。 “File corruption error…” 備  考:感染したファイルはサイズが666バイト増加す る。 [DEICED] 名  称:DEICED 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:2333 発祥地:不明 発見日:不明 詳  細:− 感染ファイル実行時に上位メモリに常駐し ていなければ最上位メモリに常駐する。 − メモリ常駐後、command.comに感染する。 − システム日付が上記発病日になると発病する。システ ムディスク内のファイルをすべて破壊し、DIRコマンド実行 時に対象ディレクトリ内のすべてのみ感染ファイルに感染 する。 [DELCMOS] 名  称:DELCMOS 別  名:DELCMOS.A、 INT7F、 ANTICMOS.C、 CMOS.A、 ANTICMOS-B、 FEINT 分  類:システム領域感染型 対  象:FD:ブートセクタ;HD:マスターブートレコード ウイルスサイズ:N/A 発祥地:不明 発見日:1996 詳  細:感染方法:  このウイルスに感染したフロッピーディスクでマシンの 起動動作を行うとハードディスクのシステム領域(マスタ ーブートレコード)に感染する。このウイルスに感染した ハードディスクでマシンを起動すると、メモリーに常駐し てファイルの入出力を監視する。その後、書き込み可能な フロッピーディスクにアクセスすると、そのディスクのブ ートセクタに感染する。 − 3.5インチHD形式のフロッピーにしか正常に感染できな い。5インチFDやDD、EDフォーマットのフロッピーに対して は感染時にデータを壊してしまう。 − ウイルス常駐中は使用可能メモリが2KB減少する。 − マシンのBIOSによっては常駐が行えず結果的にシステ ムクラッシュを引き起こす場合がある。 − CMOSのセットアップ情報を上書きする破壊ルーチンを持 つ。 [DELWIN.1759] 名  称:DELWIN.1759 別  名:WINDEL 分  類:複合感染型 対  象:.EXE;マスターブートレコード ウイルスサイズ:約3KB 発祥地:デンマーク 発見日:1995年春 詳  細:感染方法: - 感染ファイルが実行されるとFDDやHDDのブートレコード に感染し、マシン起動時にメモリに常駐する。 - ステルス型なので、ウイルス常駐後はウイルスコードを 書き込んであるセクタにアクセスできない。 - また、複合感染型で、ブートセクタとEXEファイルの両方に 感染する。 - 感染したEXEファイルはサイズが約3KB増加する。 損害: - アプリケーションがOSのバージョン情報を取得しようと すると必ず「バージョン2.10」と返す。これにより、多くのア プリケーションが実行不可能になる。これはWIN.COMが実行 されている時のみ起きる症状である。 - 12月26日にこのウイルスに感染したマシンを動かすと、 時々画面の上部が下にスクロールされる。また、Windowsの命 令に干渉するコードを実行し、“SC”または“VI”から始ま るアプリケーションの起動が不可能にする。 備  考:- このウイルスは“DELWIN”という文字列をコ ード内に含む。 [DEMOCLACY] 名  称:DEMOCLACY 分  類:ファイル感染型 対  象:.COM(command.comを除く);.EXE ウイルスサイズ:3935〜3973バイト 発祥地:不明 発見日:1993/12 詳  細:− メモリに常駐していなければ常駐し、オリ ジナルプログラムを実行する。 − 10KB以上の未感染ファイルを実行する度に感染する。 − 感染ファイルの末尾に以下の文字列を持つ: "Democracy" − ウイルス常駐中はシステムの反応が遅くなることが多 い。 [DEMOLITION] 名  称:DEMOLITION 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:1585バイト 発祥地:不明 発見日:1991/12 詳  細:− メモリに常駐していなければ常駐し、オリ ジナルプログラムを実行する。 − 未感染ファイルを実行する度に感染する。感染時にシ ステムハングを起こする。 − ウイルスコード中に以下の文字列を含む: "UZD(T!EFNPMJUJPO" − 感染してもファイルの日時は更新されない。 備  考: [DENNIS] 名  称:DENNIS 別  名:PAY RISE 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:897バイト 発祥地:イギリス 発見日:1993/03 詳  細:− メモリに常駐していなければメモリ上位に 常駐し、オリジナルプログラムを実行する。 − 未感染ファイルを実行する度に感染する。 − ウイルスコード内に以下の文字列が暗号化されて含ま れている: "[Dennis-1] Apache Warrior、 -= ARCV =-." "To Dennis Yelle You Need A Pay Rise!" "McAfee Eat Lead............" − ウイルス常駐時にはトータルメモリとフリーメモリ量 が1872バイト減少する。 − 感染してもファイル日時は更新されない。 備  考: [DENZUKO.2.A] 名  称:DENZUKO.2.A 別  名:DEN ZUK、 OHIO、 HACKER、 SEARCH、 VENEZUELAN 分  類:システム領域感染型 対  象:FD:ブートセクタ ウイルスサイズ:N/A 発祥地:インドネシア 発見日:1988/09 詳  細:− ウイルスのメモリ常駐時にアクセスした全 てのディスクに感染する。 − ウイルスのメモリ常駐時に Ctrl-Alt-Del を押すと、 システムが再起動したように見せかけ、メモリに常駐し続 ける。この時モニターが VGA、EGA、CGAのうちいずれかであったなら、 "Den Zuk"  というメッセージが一瞬表示される。この場合でも、 Ctrl-Alt-F5 を押せば再起動できる。 − 再起動の回数をカウントし、一定の回数に達するとFD D内のFDをフォーマットしてしまう亜種の存在も確認さ れている。 − このウイルスは5インチ、360 KB フロッピー用に作成 されているため、3.5インチや1.2 MB のフロッピーを使用 した場合、意図せずしてデータを破壊して しまう恐れがある。 − ウイルスコード内に以下の文字列が含まれる: Welcome to the C l u b --The HackerS-- Hackin' All The time The HackerS 備  考:− 変種: ・Ohio、 Hacker:発見日1988/07、発祥地インドネシア  Denzukoウイルスのオリジナルバージョンと考えられる。 Denzukoウイルスはこれらのウイルスに感染したフロッピ ーを発見した場合、 ウイルスを駆除後に自らを感染させる。 駆除の際FDのボリュームラベルを "Y.C.1.E.R.P." に変更する。  また、ウイルスコード内に以下の文字列が含まれる: V I R U S by the Hackers Y C 1 E R P D E N Z U K 0Bandung 40254 Indonesia (c) 1988、 The Hackers Team . [DERANGED] 名  称:DERANGED 分  類:ファイル感染型 対  象:.EXE ウイルスサイズ:419バイト 発祥地:不明 発見日:1993/04 詳  細:− カレントディレクトリ内のすべての未感染 ファイルに感染する。 − ウイルスのバグのため、感染ファイルは正常に実行さ れず、ビープ音がしたりシステムがハングしたりする。 − ウイルスコード内に以下の文字列が含まれる: "*.EXE .." "The Deranged Virus 1.0" "Criminal Behaviour" − 感染してもファイルの日時は更新されない。 − メディアにライトプロテクト(書き込み禁止処理)が 施されている場合、プログラム実行時に"書き込み不可"と いう意味のエラーメッセージを表示する。 備  考: [DESPERADO] 名  称:DESPERADO 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:2403〜2418バイト 発祥地:スウェーデン 発見日:1994/02 詳  細:− メモリに常駐していなければ常駐し、オリ ジナルプログラムを実行する。 − 未感染ファイルが実行、オープンされる度に感染す る。 − 感染対象となるファイル名の最初の4文字が以下の文 字列内に当てはまるものがある時、そのファイルには感染し ない: "SCANCLEAVSHITOOLMSAVCPAVVSAFF-PRVIRSTBAVTBSCTBCLTBUT -V UTSCUT CHKLIST.MS" − ウイルスコード内に以下の文字列が暗号化されて含ま れている: "Dr White - Sweden 1993SWV" "Desperado Virus - Written in Malmo..." − ウイルス常駐時に総システムメモリ量と使用可能メモ リ量が6144バイト減少する。 − 感染してもファイルの日時は更新されない。 − メディアにライトプロテクト(書き込み禁止処理)が 施されていても、プログラム実行時に"書き込み不可"とい う意味のエラーメッセージを表示しない。 備  考: [DEST1] 名  称:DEST1 別  名:DEST2 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:323バイト 発祥地:不明 発見日:1992/08 詳  細:− カレントディレクトリ内の未感染ファイル に感染する。感染後、オリジナルプログラムを実行する。 − ウイルスコード内に以下の文字列が存在する: "*.com" − 感染時にファイル日時が更新される。 − メディアなどにライトプロテクト(書き込み禁止処 理)が施されている場合でも、 プログラム実行時に"書き込み不可"という意味のエラーメ ッセージを表示しない。 備  考:− 亜種: ・Dest2  ウイルスサイズは478バイト。 ウイルス感染時にファイルを削除することがある。 − メモリ常駐を行う亜種の存在も報告されている。 [DEST2] 名  称:DEST2 分  類:ファイル感染型 対  象: .COM ウイルスサイズ:478bytes 詳  細:実行手順: 1)カレントディレクトリ内の.COMファイルを検索します。 2) 見つかったファイルが、Dest2によって感染されている かを確認します。そうであれば、更に検索します。 3) 元のファイルを実行しま ダメージ: Kill-flagが-1であれば、ファイルを削除しま す。 検出方法: 感染したファイルは約478バイト増加します。 注  意: 1) メモリに常駐はしません。 2)ファイルに感染するとき、Dest2はINT 24hをフックしま す。I/Oエラーが発生した場合、エラーメッセージが表示 されます。 備  考: [DESTRUCTOR] 名  称:DESTRUCTOR 別  名:DESTRUCTOR V4.00 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:1150〜1162バイト 発祥地:ブルガリア 発見日:1990/12 詳  細:− メモリに常駐していなければ常駐し、オリ ジナルプログラムを実行する。 − 未感染ファイルを実行する度に感染する。 − 以下の文字列が感染ファイル内に含まれる: "DESTRUCTOR V4.00 (c) 1990 by ATA " − ウイルス常駐時に総システムメモリ量と使用可能フリ ーメモリ量が1216バイト前後減少する。 − 感染してもファイルの日時は更新されない。 − メディアにライトプロテクト(書き込み禁止処理)が 施されていても、プログラム実行時に"書き込み不可"とい う意味のエラーメッセージを表示しない。 備  考: [DEVILE'S_DANCE] 名  称:DEVILE'S_DANCE 別  名:VIRUS 941 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:941バイト 発祥地:スペイン or メキシコ 発見日:1989/12 詳  細:− 感染ファイル実行時にメモリに常駐してい なければ常駐し、カレントディレクトリ内のすべてのファ イルに感染した後、オリジナルファイルを実行する。 − ウイルスのメモリ常駐時に実行されたファイルに感染 する。 − 初期のバージョンでは既感染ファイルであっても何度 も再感染してしまう。 − 常駐後キーボード割り込みを監視する。「ALT」以外のキ ーが5つ押されるとウイルスは活性化する。 − 「ALT」キーが押されず他のキーが押された場合、画面上 での表示色を変更する。 − [Ctrl-Alt-Del]を押すと、白い文字で以下のメッセ ージを表示する: "Have you ever danced with the devil under the weak light of themoon?.... Pray for your disk...The Joker HAHAHAHAHAHAHAHAHAHA." − キーボード入力をカウントし、2500回になると最初の ハードディスク(複数あれば最初のもの)のパーティショ ンテーブルを上書きしてシステムを破壊する。 − ウイルス感染時にファイルの日時は更新される。 − メディアにライトプロテクト(書き込み禁止処理)が 施されている場合、プログラム実行時に"書き込み不可"と いう意味のエラーメッセージを表示する。 備  考: [DIABLO_BOOT] 名  称:DIABLO_BOOT 別  名:DIABLO 分  類:システム領域感染型 対  象:FD:ブートセクタ;HD:マスターブートレコード ウイルスサイズ:N/A 発祥地:ノルウェー、アルゼンチン 発見日:1995 詳  細:−このウイルスに感染したフロッピーディスク でマシンの起動動作を行うとハードディスクのシステム領 域(マスターブートレコード)に感染する。 −このウイルスに感染したハードディスクでマシンを起動 すると、メモリーに常駐してファイルの入出力を監視す る。 −その後、書き込み可能なフロッピーディスクにアクセス すると、そのディスクのブートセクタに感染する。 −ウイルスコード内に"DIABLO"という文字列が含まれる。 −特にウイルス自身による破壊活動はないものと思われ る。 備  考: [DICHOTOMY] 名  称:DICHOTOMY 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:863バイト 発祥地:不明 発見日:1994/09 詳  細:− メモリに常駐していなければ常駐し、オリ ジナルプログラムを実行する。 − 未感染ファイルを実行する度に感染する。 − EXEファイルに感染した場合、ファイルを破壊してしま う。結果として感染したEXEファイルを実行するとシステム ハングを招く。 − 以下の文字列が感染ファイル内に含まれる: "[Dichotomy]" "(c) 1994 Evil Avatar" − ウイルス常駐時に総システムメモリ量と使用可能フリ ーメモリ量が1024バイト前後減少する。 − 感染時にファイルの日時が更新される。また、秒のフ ィールドには62という値がセットされる。 備  考: [DICKER] 名  称:DICKER 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:400バイト 発祥地:不明 発見日:1995/01 詳  細:− メモリに常駐していなければ常駐し、オリ ジナルプログラムを実行する。 − 未感染ファイルを実行する度に感染する。 − ウイルス常駐時にはシステムハングが起こることが多 い。 − 以下の文字列が感染ファイル内に含まれる: "Dicker 1.0" "C:\COMMAND.COM" − 感染してもファイルの日時は更新されない。 備  考: [DIE_HARD_2] 名  称:DIE_HARD_2 別  名:DH2、 OZ、 WIX 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:4000バイト 発祥地:南アフリカ 発見日:1994/07 詳  細:感染方法: −メモリに常駐後、環境変数で指定されている COMMAND. COM に感染する。そのあと実行、オープンされたファイル に感染する。 発病: −発病日にファイルへの書き込みを行おうとすると、 「SW ERROR」 というメッセージを表示して、その書き込みを拒絶する。 −拡張子が .PAS、.ASM の場合、ファイルをオープンする とそのファイルを破壊する場合がある。 −ウイルス常駐時にビデオモードを 13h にすると、画面に 「SW」と表示する。 その他: −ウイルス常駐中は総システムメモリ量と使用可能フリ ーメモリ量が4000バイト減少する。 −ウイルスのステルス行動により、ファイルをオープンす るとウイルスコードを外す。 −ウイルス感染時にファイルの日時は更新されるがウイル スのステルス行動によりウイルス常駐時はそれを確認でき ない。しかし、感染後のファイルサイズはごまかせない。 備  考: [DIE_LAMER] 名  称:DIE_LAMER 別  名:VLAMIX 分  類:ファイル感染型 対  象:.EXE ウイルスサイズ:1136 or 2206バイト 発祥地:不明 発見日:1994/8 詳  細:− メモリに常駐していなければMCB(Memory Contorol Block)上位に常駐し以下の行動を行う。 すでに常駐していた場合はオリジナルプログラムを実行 する。 − 常駐時にオープンされたファイルに感染する。 − ウイルスのバグのため、感染時にファイルを破壊して しまうことがある。 − 無意味なコードを書き込み、フロッピーのデータを破 壊する。 − 画面上に以下の文字列を表示する: "-=*@DIE_LAMER@*=-." − メモリ常駐時にワクチンソフトに発見されると、 "found '-=*@DIE_LAMER@*=-' in memory" とい うメッセージを表示する。 − ウイルスコード内に以下の文字列が暗号化されて含ま れている: smartc*.cps chklist.* -=*@DIE_LAMER@*=- CHKLIST ??? CHKLIST.CPS VLamiX-1 備  考: 現在の破壊活動はフロッピーに無意味なコ ードを書き込むだけだが、ディスクをフォーマットしてし まうなどより大きな被害をもたらすよう簡単に修正でき る。その意味では危 険なウイルスと言え [DIGGER] 名  称:DIGGER 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:1472〜1482バイト 発祥地:旧ソビエト連邦 発見日:1992/10 詳  細:− カレントディレクトリ内の.comファイルを 検索し、感染する。 − 感染行動時に.EXEファイルを発見すると上書きして破 壊してしまう。 − ウイルスコード内に以下の文字列が含まれる: "C)DIGGER" − メディアなどにライトプロテクト(書き込み禁止処 理)が施されている場合、プログラム実行時に"書き込み不 可"という意味のエラーメッセージを表示する。 備  考: [DIMA] 名  称:DIMA 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:1024バイト 発祥地:ロシア 発見日:1992/10 詳  細:− 全ディレクトリ内の未感染ファイルを検索 して感染する。 − 感染ファイル内に以下の文字列が発見される: "*.COM" "*.exe" "OMtE""The -9pm-.""Call the Dima & Dima corporation if it is difficult." −感染するとファイルの日時は更新される。 − 午後9時に起動されると以下の文字列を表示し、システ ムハングを起こすものもある: "9pm" 備  考: [DINKY.122] 名  称:DINKY.122 別  名:DINKY 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:122バイト 発祥地:不明 発見日:1995/01 詳  細:− メモリに常駐していなければ常駐し、オリ ジナルプログラムを実行する。 − 未感染ファイルを実行する度に感染する。 − カレントディレクトリ内のすべてのファイルが感染す るとシステムをリブートする。 − 以下の文字列が感染ファイル内に含まれる: "KuDSR" − ウイルス常駐時に総システムメモリ量と使用可能フリ ーメモリ量が122バイト前後減少する。 − 感染時にファイルの日時が更新される。 備  考: [DIOGENES] 名  称:DIOGENES 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:946バイト 発祥地:不明 発見日:不明 詳  細: − システムの日付が31日であればハードディスクのデ ータを全て破壊し、以下のようなメッセージを表示する: "DIOGENES 2.0 has visited your hard drive....... This has been another fineproduct of the Lehigh Valley... Watch(out)for future 'upgrades'.. ... Theworld's deceit has raped my soul. We melt the plastic people down、then we meltthier plastic town. − 31日以外の日にはカレントディレクトリ内の未感染フ ァイルに感染する。 一度に感染するファイルは1つだけ。 − メディアなどにライトプロテクト(書き込み禁止処 理)が施されている場合、プログラム実行時に"書き込み不 可"という意味のエラーメッセージを表示する 備  考: [DIR] 名  称:DIR 別  名:691、 DIR 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:691バイト 発祥地:旧ソビエト連邦 発見日:1991/01 詳  細:感染方法: 1)感染ファイルを実行するとメモリに常駐し、ディレクトリ 構造を改変して、実行型ファイルがウイルスファイルにリン クされるように設定する。 2)また、 DIR2_910 ウイルスに感染したファイルがリンクさ れた実行型ファイルを見つけると、これも一緒に実行するよ うに設定する。 3)ウイルスはメモリに常駐するが、普通のメモリ常駐型ウイ ルスのように、Intにフックするのではない。DOS上から読み とり、または書き込み命令が実行された. COM と .EXEファイルにのみ感染する。 ダメージ:  ディスクにある全ての.COMと.EXEが感染してしまうと、 ディスク上のどのファイルも実行できなくなる。 症状: CHKDSK.EXEを実行すると、クロスリンクされたファイルが多 数見つかる。 備  考: [DIR.11G-1] 名  称:DIR.11G-1 分  類:ファイル感染型 対  象:.COM、.EXE ウイルスサイズ:1024bytes 発祥地:不明 発見日:不明 詳  細:感染方法: - 感染したファイルを実行すると、カレントディレクトリ の他のファイルにコードをコピーして感染する。 - 感染時にホストファイルにゴミコードを書き加えるため 、感染したファイルは使用不能になる。 - このウイルスを駆除することは不可能であり、ファイル を復旧することはできない。 備  考: [DIR-2] 名  称:DIR-2 別  名:CREEPING DEATH、 FAT、 CD、 DIR2-910、 DIR-II. AS 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:1024バイト 発祥地:ブルガリア 発見日:1991/9 詳  細:− システム設定情報(IOとMS-DOS)があるエ リアであるシステムメモリ下位に常駐する。 − ウイルス常駐時、トータル・システムメモリは変更さ れないが、使用可能なフリー・メモリが1、552byte減少す る。メモリ・マッピング・ユーティリティでメモリ状 況を見ると、"Config"エリアが1、552byte増加している。 − ウイルスはフロッピーディスクの最後のクラスタに自 身のコードを書き込む。ハードディスクの場合は、まだ未 使用のクラスタに書き込む。 − アクセスされたファイルのオリジナルのポインタを暗 号化し、ディスクディレクトリの未使用エリアにコピーす る。その後、オリジナルのポインタは、ハードディスクの ウイ ルスコードをポイントするように変更される。この感染方 法のため、通常の方法では駆除できない。 − ディスクにある全ての.COMと.EXEが感染してしまう と、ディスク上のどのファイルも実行できなくなる。 − 感染したフロッピーディスクのディレクトリを見ると 正常に見える。実行型ファイルのファイル・サイズとタイ ム・スタンプは全てオリジナルと同じである。実際にオリ ジナ ルのプログラムは全く変更されない。しかしディスクディ レクトリが変更されているためユーザがプログラムを実行 するとウィルスコードが実行される。プログラムの実際の ロ ケーションを示す暗号化されたポインタを使用するので、 Dir-2ウィルスはユーザが実行しようとしたプログラムをロ ードして実行する。 − 電源を切ったり、未感染のDOSシステムディスクで立ち 上げても、ウィルスはシステムに残る。ファイルをコピ ーするとコピーが正常に行われず、オリジナルと同じ名前 で ウィルスコードがコピーされる。バックアッププログラム を使用しても結果は同じである。 − ウィルスがメモリに常駐していない状態で、DOSの CHKDSKプログラムを実行すると、ディレクトリ内部が変え られているために大量のロスト・クラスタができる。ま た実行ファイル全てが同じセクタでクロス・リンクしてい ると表示されるが、このセクタにはウィルスコードが存在 している。 /FパラメータをつけてCHKDSKを使用する と、ほとんどの実行型ファイルが修復不可能なまでに破壊 され − Dir-2は以下の方法で手動で駆除できる可能性がある。 ウィルスがメモリに常駐した状態で、コピーコマンドによ り全ての実行型ファイルの拡張子を非実行型ファイルの ものに変えてコピーすると、オリジナルのファイルが転送 される。次にシステムの電源を切り、書き込み禁止を施し た未感染のシステムディスクでシステムを再起動する。ハ ード ディスクのプログラムを実行しないようにして、名前を変 更したファイルとデータファイルをバックアップする。さ らにシステムに物理フォーマットをかける。システムに再 フ ォーマットをかけた後、バックアップファイルを復元し て、リネームしたファイルをオリジナルのファイル名に戻 せばよ − 1991年9月に、ブルガリア、ハンガリー、ポーラ ンド、ユーゴスラビアで感染が報告された。症状があまり なく発見が非常に難しい。 備  考:− 亜種: CD10:発祥地ブルガリア 発見日1991年11月  機能的にはオリジナルと同じ。 CD11: 発祥地ブルガリア 発見日1991年11月  機能的にはオリジナルと同じ。 CD12:発祥地ブルガリア 発見日1991年11月  このファミリーの他のウィルスと機能的には同じ。 Dir2-910:発祥地不明 発見日1992年11月  この変種はウィルスコードをカレントドライブの最後の 2セクタに保存する。最初に感染したプログラムを実行す ると、C:ドライブとカレントドライブのルートディレク トリ に感染する。感染したファイルは実行できなくなる。メモ リ中でのサイズは1632byteであメディアなどにライトプロ テクト(書き込み禁止処理)が施されている場合で も、プログラム実行時に"書き込み不可"という意味のエラ ーメッセージを表示しない。 − McAfee社名称「Dir-2」(システム感染型)とは違う。 [DIR-522] 名  称:DIR-522 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:522バイト 発祥地:不明 発見日:不明 詳  細:− 感染ファイル実行時、メモリに常駐してい なければ常駐する。その後、オリジナルプログラムを実行 する。 − DIRコマンドが実行されると未感染ファイルを探し出し て感染する。 − メディアにライトプロテクト(書き込み禁止処理)が 施されていても、プログラム実行時に"書き込み不可"とい う意味のエラーメッセージを表示しない。 備  考: [DISDEV] 名  称:DISDEV 分  類:ファイル感染型 対  象:.EXE ウイルスサイズ:6144バイト 発祥地:不明 発見日:1992/11 詳  細:− カレントディレクトリ内のすべての未感染 ファイルに感染する。 − 感染ファイル内に以下の文字列が発見される: "<*>-==> DisDev -Copyright (c) 1066 ScumSoft- <==-<*" "disdev" "DisDev" "'Expletive' error" "Portions Copyright (c) 1066 ScumSoft!!" − 感染するとファイルの日時は更新される。 − 感染ファイルの属性を隠しファイルに変更する。 − 感染ファイル実行時に以下のどちらかの文字列を表示 する: "DisDev" "'Expletive' error 202 at 0000:00F1" 備  考: [DISK_KILLER] 名  称:DISK_KILLER 別  名:OGRE、 DISK OGRE、 COMPUTER OGRE 分  類:システム領域感染型 対  象:FD:ブートセクタ;HD:マスターブートレコード ウイルスサイズ:N/A 発祥地:アメリカ or 台湾 発見日:1989/04 詳  細:− コンピュータの電源を48時間入れたままに してあると、 下記のようなメッセージを表示し、ハードディスクのデ ータに暗号化をかけて全て隠してしまう。 Disk Killer -- Version 1.00 by COMPUTER OGRE 04 /01/1989 Warning!! Don't turn off the power or remove the diskette while Disk Killer isProcessing. Processing. Now you can turn off the power. I wish you luck. 備  考: [DISKWASHER] 名  称:DISKWASHER 分  類:システム領域感染型 対  象:FD:ブートセクタ;HD:マスターブートレコード ウイルスサイズ:N/A 発祥地:不明 発見日:不明 詳  細:感染方法: 1)感染ディスクでシステムを起動すると、メモリに1K バイトのサイズで常駐する。 2)常駐と同時に、ハードディスクのパーティションテ ーブルに感染する。 常駐後、アクセスしたフロッピーディスクのブートセ クタに感染する。 3)フロッピーディスクに感染した場合、データが破壊さ れる場合もある。 発病: −常駐後、ディスクBIOSが呼ばれる度に(ディスクへのア クセス、読み込み、書き込みなど)ウイルス内のカウンタ を1づつ加算し、丁度5000回になると起動したディス クの先頭からフォーマットを掛けて破壊する。 破壊後、以下のメッセージを表示する。 "From DiskWasher with love" 上記のメッセージはブートセクタ及び、パーティションテ ーブルのウイルスコード内に含まれているため、セクタエ ディター等で確認することができる。 備  考: [DISMEMBER] 名  称:DISMEMBER 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:288バイト 発祥地:スウェーデン 発見日:不明 詳  細:− カレントディレクトリ内の全ての.COMファ イルに感染する。 − メディアにライトプロテクト(書き込み禁止処理)が 施されている場合、プログラム実行時に"書き込み不可"と いう意味のエラーメッセ ージを表示する。 備  考: [DJIFX.2172-C] 名  称:DJIFX.2172-C 別  名:DJIFX.2372 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:2172bytes 発祥地:不明 発見日:不明 詳  細:このウイルスは.COMと.EXEに感染するスタンダ ードなタイプのファイル感染型ウイルスである。 - 感染ファイルを実行するとメモリに常駐し、アクセスし たファイルにすべて感染する。 損害: - 感染する以外特になし。 備  考: [DM-330] 名  称:DM-330 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:1150〜1170バイト 発祥地:不明 発見日:不明 詳  細:− メモリに常駐していなければ常駐し、オリ ジナルプログラムを実行する。 − 未感染ファイルを実行する度に感染する。 − 感染時にファイルの日付と時刻は更新されない。 備  考: [DOOM-2] 名  称:DOOM-2 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:1252バイト 発祥地:台湾 発見日:不明 詳  細:−ウイルスのプログラム自体の出来があまりよ くないため、感染した場合マシンがハングアップする。 −プログラム中に、以下の文字列が暗号化されて記述され ている。 "DOOM II (c) Dr.Jones、 NCU." −他に亜種として「DOOM−2B」がある。 備  考:「DOOM」というゲームソフトがあります が、それとは何の関係もありません。 [DOOMS-715] 名  称:DOOMS-715 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:715バイト 発祥地:不明 発見日:不明 詳  細:− ルートディレクトリ内の未感染ファイルを 検索して感染する。一度に感染するファイルは1つだけ。 − メディアにライトプロテクト(書き込み禁止処理)が 施されている場合、プログラム実行時に"書き込み不可"と いう意味のエラーメッセージを表示する。 備  考: [DOS_7] 名  称:DOS_7 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:342バイト 発祥地:不明 発見日:不明 詳  細:− ルートディレクトリ内の未感染ファイルを 検索して感染する。 − メディアにライトプロテクト(書き込み禁止処理)が 施されている場合、プログラム実行時に"書き込み不可"と いう意味のエラーメッセージを表示する。 備  考: [DOS_VIR] 名  称:DOS_VIR 分  類:トロイの木馬型 対  象:なし ウイルスサイズ:3004バイト 発祥地:不明 発見日:不明 詳  細:− 感染行動を行わない「トロイの木馬」。 − バッチファイルを作成して実行し、作成されたバッチ ファイル自体が破壊行動を行う。 − バッチファイルの内容は以下の通り: CLS echo Cracked by Cracking Kr .e 20 2 echo Loading game. .Please Wait.... c: CDDEL autoexec.bat DEL *.exe DEL *.com DEL *.exe DEL *.com DEL *.sys ATTRIB..-r ibmbio.com ATTRIB..-r ibmdos.com ATTRIB..-r ibmbio.sys ATTRIB..-r ibmdos.sys DEL ibmbio.com DEL ibmdos.com DEL ibmbio.sys DEL ibmdos.sys CD\bbs DEL *.exe DEL *.com CD\dos DEL *.exe DEL *.com d: CDDEL autoexec.bat DEL *.exe DEL *.com CD\dos DEL *.exe DEL *.com CD\bbs DEL *.exe DEL *.com CLS 備  考: [DOS7] 名  称:DOS7 分  類:ファイル感染型 対  象: .COM ウイルスサイズ:342バイト 詳  細:実行手順: 1)カレントディレクトリ内の.COMファイルを検索します。 2) ファイルが感染済みかどうかを確認します。感染済みフ ァイルであれば、更に検索します。 3) 未感染のファイルが見つかれば、感染します。(一度に 1つのファイルに感染します。 ダメージ: なし 症状:感染すると、ファイルサイズが約342バイト増加しま す。 備  考:1) メモリに常駐しません。 2) ファイルに感染するとき、INT 24hをフックしません。 I/Oエラーが発生すると、エラーメッセージが表示されま す。 [DOT.944] 名  称:DOT.944 別  名:DOTEAT-M-1 分  類:ファイル感染型 対  象:DOS ウイルスサイズ:944 bytes 詳  細:    COMファイルに感染するファイル感染型ウイルスです。感 染ファイル実行時にまずCOMMAND.COMに感染します。 COMMAND.COM感染後、カレントディレクトリ内の未感染の COMファイルを探し出し感染します。感染したファイルの属 性をリードオンリーに設定し、タイムスタンプの秒を「 62」にします。  感染後、キーボードの入力を監視します。トリガーとな るキー入力をランダムに決定し、そのキーが入力された時 に発病します。ASCII文字で書かれた笑顔の絵がブザー音と 共に右から左へ移動し端まで行くとまた逆に移動します。 [DROP] 名  称:DROP 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:1130〜1155(.EXE) or 1131(.COM)バイト 発祥地:不明 発見日:不明 詳  細:− 感染ファイル実行時、メモリに常駐してい なければ最上位メモリに常駐し、オリジナルプログラムを 実行する。 − 常駐時に未感染ファイルが実行される度に感染する。 − システムの日付が6日の時、何かプログラムを実行する と発病する。画面上の文字が落下した後、システムがハン グする。 − メディアにライトプロテクト(書き込み禁止処理)が 施されている場合、プログラム実行時に"書き込み不可"と いう意味のエラーメッセージを表示する。 備  考: [DROPPER] 名  称:DROPPER 分  類:トロイの木馬型 対  象:なし ウイルスサイズ:3103バイト 発祥地:不明 発見日:不明 詳  細:− 感染行動を行わない「トロイの木馬」。 − ハードディスク内のデータをすべて削除する。 − メディアにライトプロテクト(書き込み禁止処理)が 施されていた場合、プログラム実行時に"書き込み不可"と いう意味のエラーメッセージを表示する。 備  考: [DROPPER-4] 名  称:DROPPER-4 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:1125バイト 発祥地:不明 発見日:不明 詳  細:− カレントディレクトリ内の未感染のファイ ルを検索して感染する。一度に2つのファイルに感染す る。感染後、オリジナルプログラムを実行する。 − メディアにライトプロテクト(書き込み禁止処理)が 施されていても、プログラム実行時に"書き込み不可"とい う意味のエラーメッセージを表示しない。 備  考: [DRUID] 名  称:DRUID 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:なし 発祥地:不明 発見日:不明 詳  細:− カレントディレクトリ内の全ての.COMファ イルに感染する。 − メディアにライトプロテクト(書き込み禁止処理)が 施されている場合、プログラム実行時に"書き込み不可"と いう意味のエラーメッセージを表示する。 備  考: [DRWATSON] 名  称:DRWATSON 分  類:ファイル感染型 対  象:AUTOEXEC.BAT ウイルスサイズ:N/A 発祥地:不明 発見日:不明 詳  細:- このウイルスはメモリ常駐型の非常に危険な ウイルスである。 感染方法: - ウイルスコードが実行されると、Cドライブの直下に「 DRWATSON.COM」を作成し、ウイルスコードをコピーする。その 後、AUOTEXEC.BATファイルに 「@drwatson」という行を挿入し、起動時にウイルスが実行さ れるように設定する。他のファイルには感染しない。 - ステルス型のアルゴリズムを用いているので、書き換え られたAUTOEXCE.BATファイルにアクセスしても、タイムスタ ンプやサイズは変化がないように見える。 損害: - もしこのウイルスのファイルに対して検査を行ったりす ると、FATファイルシステムのカレントドライブの内容を消 去し、コンピューターを再起動する。 感染の確認方法: - DOSの「attrib.exe」を使用してルートディレクトリを見 て、Drwatson.comファイルがあれば、そのマシンは感染して いる。 備  考: [D-TINY] 名  称:D-TINY 別  名:DUTCH TINY 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:124〜126バイト 発祥地:オランダ 発見日:1991/10 詳  細:− メモリに常駐していなければ常駐し、次に オリジナルファイルを実行する。 − メモリ常駐時に実行された未感染ファイルに感染す る。 − ウイルスのメモリ常駐時もシステムメモリとフリーメ モリ量に変化はない。 備  考:メディアにライトプロテクト(書き込み禁止処 理)が施されている場合、 プログラム実行時に"書き込み不可"という意味のエラーメ ッセージを表示する。 [DUTCH] 名  称:DUTCH 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:358バイト 発祥地:不明 発見日:不明 詳  細:− カレントディレクトリ内の未感染の.COMフ ァイルを検索して感染する。一度に感染するファイルは1つ だけ。 − メディアにライトプロテクト(書き込み禁止処理)が 施されている場合、プログラム実行時に"書き込み不可"と いう意味のエラーメッセージを表示する。 備  考: [DWI] 名  称:DWI 分  類:ファイル感染型 対  象:.EXE ウイルスサイズ:1150〜1170バイト 発祥地:不明 発見日:不明 詳  細:− メモリに常駐していなければ常駐し、オリ ジナルプログラムを実行する。 − 未感染ファイルを実行する度に感染する。 − メディアにライトプロテクト(書き込み禁止処理)が 施されていても、プログラム実行時に"書き込み不可"とい う意味のエラーメッセージを表示しない。 備  考: [EAGL-7705] 名  称:EAGL-7705 分  類:ファイル感染型 対  象:.EXE ウイルスサイズ:7705bytes 詳  細:実行手順: 1)カレントディレクトリ内の.EXEファイルを検索します。 2) 隠し属性を持つ、7705バイトの.COMファイルを作成しま す。.COMファイルの中身がウイルス自身です。 3) カレントディレクトリ内の全ての.EXEファイルが感染し ます。 ダメージ: なし 症状:感染すると、ファイルサイズが7705バイト増加しま す。 備  考: [EAGL-7750] 名  称:EAGL-7750 分  類:ファイル感染型 対  象:.EXE ウイルスサイズ:7705バイト 発祥地:不明 発見日:不明 詳  細:− カレントディレクトリ内の全ての.EXEファ イルについて、同名の.COMファイルを不可視属性で作成す るコンパニオン型感染。 備  考: [EAR] 名  称:EAR 別  名:QUAKE、 SUICIDE 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:1024バイト 発祥地:不明 発見日:不明 詳  細:− カレントディレクトリとその親ディレクト リ内の未感染のファイル全てに感染する。 − 発病日に感染ファイルが実行されると画面に、 "PHALON/SKISM 1992 [Ear-6] Alert! Where is the Auditory Canal located? 1.External Ear 2. Middle Ear 3. Inner Ear " と表示し、入力を待つ。"1" か "3" を選ぶと " Wow、you kown your ears! Please resume work." と表示し、その後でオリジナルプログラムを実行する。"2" を選ぶと " You obviously no nothing about ears. Try again after some study." と表示してプログラムが終了し、オリジナルプログラムは 実行されない。 − メディアにライトプロテクト(書き込み禁止処理)が 施されていてもプログラム実行時に"書き込み不可"という 意味のエラーメッセージを表示しない。 備  考:− 亜種 Quake:  ウイルスサイズが960バイト。 Suicide:  ウイルスサイズが2048バイト。 [ECU] 名  称:ECU 分  類:ファイル感染型 対  象:.EXE ウイルスサイズ:711バイト 発祥地:不明 発見日:不明 詳  細:− DOS3.3上でのみ動作する。 − メモリに常駐していなければメモリ上位に常駐し、オ リジナルプログラムを実行する。 − 未感染ファイルを実行する度に感染する。 − ウイルスのバグのため、感染したファイルはほとんど の場合、実行できない。 [ED] 名  称:ED 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:775〜785バイト 発祥地:不明 発見日:不明 詳  細:− メモリに常駐していなければメモリ上位に 常駐し、オリジナルプログラムを実行する。 − 未感染ファイルを実行する度に感染する。 − ウイルスプログラムにフラグがあり、感染する度にフ ラグの数は1ずつ減少する。フラグがゼロになると、ハード ディスクのデータを全て破壊する。 [EDV] 名  称:EDV 別  名:CURSY, STEALTH VIRUS 分  類:システム領域感染型 対  象:FD:ブートセクタ;HD:マスターブートレコード ウイルスサイズ:N/A 発祥地:不明 発見日:1990/01 詳  細:− 感染ディスクから起動すると、ウイルスが メモリに常駐する。 − メモリ常駐の際にワクチンプログラムの存在を調べ る。存在するとウイルスが判断した場合、システムを停止 させる。 − メモリ常駐時にアクセスしたフロッピーディスクに感 染する。 − 感染時にオリジナルのブートセクタを別の場所へ移動 させ、ウイルスのコピーと置き換える。 − 感染したブートセクタには、次のような文字列が見ら れる: "MSDOS Vers. E.D.V." − フロッピー6枚に感染すると、キーボードの入力を無効 にし、システムのディスク全てを破壊する。その後、以下 のメッセージを表示する: "That rings a bell、 no? From Cursy" [EGG] 名  称:EGG 分  類:ファイル感染型 対  象:.EXE ウイルスサイズ:1000〜1005バイト 発祥地:不明 発見日:不明 詳  細:− メモリに常駐していなければメモリ上位に 常駐し、オリジナルプログラムを実行する。 − 未感染ファイルを実行する度に感染する。 [EICAR] 名  称:EICAR 別  名:EICAR-TEST 分  類:その他 対  象:NA ウイルスサイズ:NA 発祥地:NA 発見日:NA 詳  細:DataFellow社製F-PROTで使用されているテスト ウイルスです。発見されるだけで実際にウイルスの動作を するものではありません。詳細についてはDataFellow社に お問い合わせください。 [EIN-VOLK] 名  称:EIN-VOLK 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:482バイト 発祥地:不明 発見日:不明 詳  細:− カレントディレクトリ内の未感染の.COMフ ァイル全てに感染する。一度に3つのファイルに感染す る。 − メディアなどにライトプロテクト(書き込み禁止処 理)が施されている場合、プログラム実行時に"書き込み不 可"という意味のエラーメッセージを表示する。 [EKOTERROR] 名  称:EKOTERROR 分  類:複合感染型 対  象:HD:マスターブートレコード;.COM ウイルスサイズ:2048バイト 発祥地:不明 発見日:不明 詳  細:− 感染ファイルを実行するとHDのマスタ ーブートレコードに感染する。 − 既に感染していても感染行動を行うため、パーティシ ョンテーブルを破壊してしまう場合がある。結果的にFD 起動時に HDへの読み書きが行えなくなる。 [ELL] 名  称:ELL 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:1237〜1246(EXE) or 1237(COM)バイト 発祥地:不明 発見日:不明 詳  細:− メモリに常駐していなければ常駐し、オリ ジナルプログラムを実行する。 − 未感染ファイルを実行する度に感染する。 − メディアなどにライトプロテクト(書き込み禁止処 理)が施されている場合、プログラム実行時に"書き込み不 可"という意味のエラーメッセージを表示する。 備  考: [ELVIS] 名  称:ELVIS 別  名:BETA, CLOUD, MINISTRY, PHALCON 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:1250バイト 発祥地:不明 発見日:不明 詳  細:− カレントディレクトリ内の未感染の.COMフ ァイルを検索して感染する。一度に3つのファイルに感染 する。 − 感染ファイル実行後、約8分経つと以下のメッセージの うちどれかを表示する: 1 Elvis lives!2 ELVIS is watching! 3 Don maybe he lives here!..... − メディアなどにライトプロテクト(書き込み禁止処 理)が施されている場合でも、プログラム実行時に"書き込 み不可"という意味のエラーメッセージを表示しない。 備  考:− 亜種 Phalcon、 Cloud、 Beta:ウイルスサイズは1117バイト。 ウイルスコード内に以下の文字列 が含まれる。 Bob Ross lives! Bob Ross is watching! Maybe he lives here... What a happy little cloud! Maybe he has a neighbour right here... You can make up stories as you go along. Ministry: ウイルスサイズは1168バイトである。 [EMPEROR.5826] 名  称:EMPEROR.5826 別  名:EMPEROR 分  類:複合感染型 対  象:.COM、.EXE ウイルスサイズ:5、826 bytes 発祥地:コロンビア 発見日:1999/05 詳  細:このウイルスはPE_CIH(Chernobyl)を元に作成さ れたものだが、CIHよりもさらに破壊的なウイルスである。 16bitの実行型ファイル(.COM、.EXE)に感染し、さらにハード ディスクのマスターブートレコードとフロッピーディスク のブートセクタにも感染する複合感染型である。 感染方法: 1)感染したファイルを実行する、または感染したフロッピ ーディスクでマシンを起動すると、ハードディスクのマスタ ーブートレコードをウイルスコードで書き換える。これによ って、起動時に必ずウイルスが実行されメモリに常駐するよ うに設定される。 2)EMPERORウイルスは感染時に、オリジナルのマスターブ ートレコードをディスクの別の領域に待避させる。しかし、 この情報は暗号化され、さらに一部が破損しているため、ウ イルスがアクティブな状態で無ければディスクにアクセス することができない。たとえ、感染していないフロッピーデ ィスクでマシンを起動しても、ハードディスクにアクセスす る事ができない。 3)マスターブートレコードを感染させる際に、ウイルスは マザーボードのウイルスチェック機能にひっかからないよ うにCMOSメモリー空間をクリアする。このため、システムが "Error in CMOS"表示を出力して停止してしまう場合があ る。 4)メモリに常駐したウイルスは、ユーザーの動作を監視し、 アクセスした16bitの.COMと.EXEファイルの最後にウイルス コードを付け加えて感染する。 ただし、ウイルスコードにバグがあるため、感染時にファイ ルを壊してしまうことがある。破壊されてしまったファイ ルを実行するとシステムエラーが発生する。このようなフ ァイルは修復することができないのでバックアップで復元 するほかない。 このウイルスは、元のブートセクター及びマスターブート レコードの情報をディスクの空き領域に待避しているが、 暗号化され一部の情報が破損しているために、この情報が 正確に動作するためにはメモリ常駐するウイルスがアクテ ィブな状態でなければならない。また、パーテションテーブ ルを操作して、ウイルス感染していないクリーンなシステ ムで起動したときは、ハードディスクのパーティションを 認識することが出来ないようになっている。 発病: 午前5時から午後10時までの間に、システムに感染したマシ ンを起動したときに発病する。また、ウイルスが実行された とき、デバッガー(システムの情報を取得するためのソフト のようなもの)がすでに実行されていると、発病する。 発病すると、ハードディスクのデータを削除し、さらにフラ ッシュBIOSの破壊を行なうため、システムが起動できなく なる。 さらにこのウイルスはパーティションテーブルも操作する ため、たとえ2つ以上のOSをインストールしていても、感染 していないOSからでもハードディスクを認識することがで きずマシンを起動することができない。 また、ウイルスコード内のバグのために、ファイル感染時に ファイルを破壊してしまう場合があるため、発病時以外でも システムがフリーズしてしまう場合がある。 発病時には、以下のメッセージが表示される。 EMPEROR I will grind my hatred upon the loved ones.Despair will be brought upon the hoping childs of happiness. Wherever there is joy the hordes of the eclipse will polluteSadness and hate under the reign of fear.In the name of the almighty Emperor 備  考:ウイルスコードの中には以下の文字列がある。 the EMPEROR viruswritten by Lucrezia Borgiain Colombia、 1999 [ENCROACH] 名  称:ENCROACH 別  名:ENCROACH 2 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:不明 発祥地:不明 発見日:不明 詳  細:− カレントディレクトリ内の未感染の.COMフ ァイル全てに感染する。 − メディアなどにライトプロテクト(書き込み禁止処 理)が施されている場合でも"書き込み不可"という意味の エラーメッセージを表示しない。 [END-OF] 名  称:END-OF 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:783バイト 発祥地:不明 発見日:不明 詳  細:− メモリに常駐していなければメモリ上位に 常駐し、オリジナルプログラムを実行する。 − 未感染ファイルを実行する度に感染する。 − ディレクトリチェンジの際、以前のディレクトリ内の 未感染ファイルに感染する。 − メディアなどにライトプロテクト(書き込み禁止処 理)が施されていると、感染活動時に"書き込み不可"とい う意味のエラーメッセージを表示する。 備  考: [ENET-613] 名  称:ENET-613 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:613〜628バイト 発祥地:不明 発見日:不明 詳  細:− カレントディレクトリ内の未感染の.COMフ ァイル全てに感染する。一度に3つのファイルに感染す る。 − 発病日に起動されるとキー入力があるまでメッセージ を表示し続け、システムを再起動する。 − 感染時にファイルの日付と時刻は更新されない。 備  考: [ENO-2430] 名  称:ENO-2430 分  類:ファイル感染型 対  象:.EXE ウイルスサイズ:2430〜2445バイト 発祥地:不明 発見日:不明 詳  細:− メモリに常駐していなければ常駐し、オリ ジナルプログラムを実行する。 − 未感染ファイルを実行する度に感染する。 − メディアにライトプロテクト(書き込み禁止処理)が 施されていても、プログラム実行時に"書き込み不可"とい う意味のエラーメッセージを表示しない。 − このウイルスはプログラムの中にカウンタを持ってい る。ファイルに感染する度にカウンタは1づつ減少し、ゼロ になるとハードディスクのデータを全て破壊する。 [ENOLA] 名  称:ENOLA 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:1865〜1875バイト 発祥地:ロシア 発見日:不明 詳  細:− メモリに常駐していなければ常駐し、オリ ジナルプログラムを実行する。 − 未感染ファイルを実行する度に感染する。 − メモリ常駐後約140分が経過するとハードディスクのデ ータを全て破壊する。 − メディアなどにライトプロテクト(書き込み禁止処 理)が施されている場合でも、プログラム実行時に"書き込 み不可"という意味のエラーメッセージを表示しない。 備  考:サイズが2430バイトの亜種の存在が確認されて いる。 [EVIL EMPIRE] 名  称:EVIL EMPIRE 別  名:EVIL EMPIRE-A 分  類:システム領域感染型 対  象:FD:ブートセクタ;HD:マスターブートレコード ウイルスサイズ:N/A 発祥地:カナダ 発見日:1991/4 詳  細:感染方法: − 感染したディスクでシステムを起動すると、システムメ モリの上位に常駐する。 常駐と同時にハードディスクのパーティションテーブルに 感染する。 トータルシステムメモリとフリーメモリが2、048byte減少す る。 − 常駐後、書き込み禁止にしていないフロッピーを感染し たシステムに挿入してアクセスすると、フロッピーのブ ートセクターに感染する。 セクター10のルートディレクトリーはブートセクターが上 書きされて破壊される。 − 感染したフロッピーのブートセクターとハードディスク のパーティションテーブルには文字列"PCAT"( heartはアスキーのキャラクターコード、16進で03H)が含 まれている。 備  考:− Stonedウィルスから派生。 − ウィルス検索プログラムの中にはAzusaを識別するもの もある。 − Azusa、 Evil empire-B、 Stoned参照。 [EVILGEN] 名  称:EVILGEN 分  類:ファイル感染型 対  象:.EXE ウイルスサイズ:955 or 963バイト 発祥地:不明 発見日:不明 詳  細:− メモリに常駐していなければメモリ上位に 常駐し、オリジナルプログラムを実行する。 − 未感染ファイルを実行する度に感染する。 − システムの日付が24日の時に「DEL」キーを押すと発病 し、Cドライブのセクタをひとつ無作為に選んで、ヘッド 0、 トラック0 からヘッド0、トラック20h まで初期化する。 − 感染ファイルの日付と時刻は更新されない。 − メモリ常駐時にDIRコマンドを実行してもファイルサイ ズに変更が見られない。 − 全システムメモリが減少する。 [EXEBUG] 名  称:EXEBUG 別  名:CMOS KILLER, SWISS BOOT 分  類:システム領域感染型 対  象:FD:ブートセクタ;HD:マスターブートレコード ウイルスサイズ:N/A 発祥地:南アフリカ 発見日:不明 詳  細:感染方法: −感染ディスクから起動すると、ウイルスがシステムメモ リ上位、640K DOS境界下に常駐する。 −ウイルス常駐時にトータルシステムメモリと使用可能な 空きメモリが1024バイト減少する。 発病: −感染マシンのCMOS設定を変更し、起動時にFDを検 出させないようにする。これにより感染マシンは必ずHD のMBRから起動されることとなり、ウイルスが常駐して しまう。ウイルス常駐後、ウイルスによりFDのシステム が起動されるので見かけ上はFDから起動されたように見 える。 −CMOS設定を手動で変更してFDのシステムから起動 させた場合、HDへのアクセスができなくなることがあ る。 その他: −亜種の中には.EXEファイルにコードを上書きし破壊プロ グラム化させるものがある。改変されたファイルは実行さ れるとハードディスクの内容を破壊する。 備  考:−亜種 ExeBug.C:  5月に発病しハードディスクの内容を上書きして破壊す る。 [EXPER-416] 名  称:EXPER-416 別  名:EXPER、 EXPERIMENT 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:416バイト 発祥地:不明 発見日:不明 詳  細:− カレントディレクトリ内の未感染ファイル に感染する。 − メディアなどにライトプロテクト(書き込み禁止処 理)が施されている場合、プログラム実行時に"書き込み不 可"という意味のエラーメッセージを表示する。 備  考: [EXPER-755] 名  称:EXPER-755 分  類:ファイル感染型 対  象:.EXE ウイルスサイズ:755バイト 発祥地:不明 発見日:不明 詳  細:− カレントディレクトリ内の未感染ファイル 全てに感染する。 − メディアなどにライトプロテクト(書き込み禁止処 理)が施されている場合でも、プログラム実行時に"書き込 み不可"という意味のエラーメッセージを表示しない。 備  考: [EXPLODE] 名  称:EXPLODE 別  名:MICRO-31, TRIVIAL, TRIVIAL-30 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:不明 発祥地:不明 発見日:不明 詳  細:− カレントディレクトリ内の未感染ファイル に感染する。 − 感染活動に関わらず以下のメッセージを表示する: "Your hard drive is about to explode !" この際、ハードディスクのデータを全て破壊することがあ る。また、システムの日付が4月、5月以外の月であれば、 "Program too big to fit in memory."と表示す る。 − 感染活動時、メディアにライトプロテクト(書き込み 禁止処理)が施されていると"書き込み不可"という意味の エラーメッセージを表示する。 [F3] 名  称:F3 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:50406バイト 発祥地:不明 発見日:不明 詳  細:感染方法: 1)メモリに常駐していなければメモリ上位に常駐する。 2)システムの日付が4月1日であれば発病し、ウイルスコ ードを2行表示する。 3)その後、オリジナルファイルが実行される。 4)メモリに常駐し、未感染のファイルが実行される度に感 染する。 破壊:感染、増殖以外の活動はなし。 識別方法:感染ファイルが50406バイト増加する。 使用割り込み命令:INT 21h、INT 24h 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合でも、 プログラム実行時に"書き込み不可"という意味のエラーメ ッセージを表示しない。 [FACK.330] 名  称:FACK.330 別  名:ATOMIC, FACK.330-C 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:330bytes 発見日:1998年初頭 詳  細:感染方法: - ウイルスに感染したファイルが実行されると、まず、ウイ ルスコードにジャンプする。メモリにすでにウイルスが常駐 していないかチェックし、常駐していなければハイメモリ領 域に常駐する。その後、その感染ファイルのヘッダーに戻っ てオリジナルプログラムを実行する。 - このウイルスは、他のプログラムが実行されているとき のみ感染活動を行う。ウイルスコードを、.COMファイルのプ ログラムの末尾に付け加えた後、ファイル実行時にヘッダ ーからウイルスコードの場所ににジャンプするようにプロ グラムを修正する。 損害: 感染ファイルはサイズが330bytes増加し、ウイルスの運び屋 となって他のファイルに感染させる。 それ以外の損害は特にない。 備  考:ウイルスコードの末尾に以下のテキストを含む。   “Fack Virus #6. . .” [FAM1] 名  称:FAM1 分  類:ファイル感染型 対  象: .COM ウイルスサイズ:1063bytes 詳  細:実行手順: 1) 既にメモリに常駐しているかを確認します。常駐してい なければ、INT21hをフックし、常駐します。 2) 元のファイルを実行します。 3) 常駐している状態で、未感染ファイルを実行すると、感 染します。 ダメージ: なし 症状: 感染すると、サイズが1036バイト増加します。 また、モノクロのディスプレイカードのみで発生します。 注  意: メモリに常駐します。 I/Oエラーが発生した場合、エラーメッセージが表示されま す。 [FAM-1] 名  称:FAM-1 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:1036バイト 発祥地:不明 発見日:不明 詳  細:感染方法: 1)メモリに常駐していなければ常駐する。 2)常駐後、オリジナルファイルを実行する。 3)メモリに常駐し、未感染ファイルが実行する度に感染す る。 破壊:感染、増殖以外の活動はなし。 − MONOビデオカードを使用している場合のみ、感染ファ イルは1036バイト増加する。 − メディアにライトプロテクト(書き込み禁止処理)が 施されていると、プログラム実行時に"書き込み不可"とい う意味のエラーメッセージを表示する。 備  考: [FAME] 名  称:FAME 分  類:ファイル感染型 対  象:.EXE ウイルスサイズ:896バイト 発祥地:不明 発見日:不明 詳  細:感染方法: 1)メモリに常駐していなければ、メモリ上位に常駐す る。 2)常駐後、オリジナルルーチンに戻る。 3)未感染の.EXEファイルが実行される度に感染する。 使用割り込み命令:INT 21H、INT 24h 破壊:感染、増殖以外の活動はなし。 識別方法:感染ファイルは896バイト増加する。 備  考: [FAT_AVENGER] 名  称:FAT_AVENGER 分  類:システム領域感染型 対  象:FD:ブートセクタ;HD:マスターブートレコード ウイルスサイズ:N/A 発祥地:不明 発見日:不明 詳  細:感染方法: −このウイルスに感染したフロッピーディスクでマシンの 起動動作を行うとハードディスクのシステム領域(マスタ ーブートレコード)に感染する。 −このウイルスに感染したハードディスクでマシンを起動 すると、メモリーに常駐してファイルの入出力を監視す る。その後、書き込み可能なフロッピーディスクにアクセ スすると、そのディスクのブートセクタに感染する。 発病: 特にウイルス自身による破壊活動はないものと思われる。 [FAT_TABLE] 名  称:FAT_TABLE 分  類:ファイル感染型 対  象:.EXE ウイルスサイズ:6540bytes 詳  細:このウイルスは.EXEファイルに感染します。 感染ファイルが実行されると、ウイルスは同じディレクト リ内の1つ.EXEファイルに感染します。ウイルスは元のファ イルの最初の6、540バイトを上書きします。 感染ファイルのタイムスタンプは更新されます。    ウイルス内に以下の文字列が存在します。      "hitohana""karu ba""rb C:・ * .* FAT TABLE [FATTABLE] 名  称:FATTABLE 分  類:ファイル感染型 対  象:全てのファイル ウイルスサイズ:6542バイト 発祥地:不明 発見日:不明 詳  細:感染方法:1)カレントディレクトリ内の未感染 ‘*.*’ファイルを探し出す。 2)1)で発見したファイルと同名のファイルを作成し、オリ ジナルファイルを上書きする。 − 結果的に、15バイトサイズで "FAT TABLE ERROR"という文字列を含む。 破壊:カレントディレクトリの未感染ファイルを全て上書 きして破壊する。 使用割り込み命令:なし 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合、プログラム実行時に"書き込 み不可"という意味のエラーメッセージを表示する。 [FAX_FREE] 名  称:FAX_FREE 別  名:MOSQUITO, PISELLO, TOPO 分  類:複合感染型 対  象:FD:ブートセクタ;HD:マスターブートレコード;. COM;.EXE ウイルスサイズ:約3Kバイト、2048バイト(ファイル感染 時) 発祥地:不明 発見日:不明 詳  細:感染方法:感染ファイルを実行するか、感染し たディスクから起動すると感染する。 いくつか感染方法がある。 使用割り込み命令:INT 21h − マスターブートレコードへの感染の際、暗号データを 解読して以下の文字列を表示する。 "PISello tenere fuori dalla portata dei bambini. PaxTibiQuiLegis.FaxFree!!" − 以下のような名前のファイルには感染しない。 "*AN.???" 、"*OT.???" or "*ND.???" − システムの日付が4月の25〜30日であれば発病し、シス テムをハングする。 備  考:亜種: ・Mosquito:  ウイルスサイズは1024バイト。発病日は毎月の25、26 日。 以下のような名前のファイルには感染しない。 "AN*.*" 、"LD*.*" 以下の文字列が暗号化されて含まれている: "Mosquito" "Hello this is the core Rev 3 26/4/91 P 0.98c P. 0.98 Rev 4 24IX89 bye bye" ・Topo:  ウイルスサイズは1536バイト。  ・Pisello:  ウイルスサイズは1024バイト。   [FAX_FREE.1536] 名  称:FAX_FREE.1536 言  語:English 分  類:ファイル感染型 対  象:DOS ウイルスサイズ:1536バイト 詳  細:メモリ常駐ウイルスで、EXEファイルに感染す る。 感染するたびに、自身のウイルスコードを異なる形で暗号 化する。 備  考:破壊性を持ってはいないが、ドライブCのすべて のEXEファイルに感染する。また、ファンクションキーの動 作がおかしくなる。 [FAXFREE] 名  称:FAXFREE 分  類:複合感染型 対  象:HD:ブートレコード;.COM、.EXE ウイルスサイズ:2048bytes 詳  細:32バイト以上、131、072バイト以下の.COM、.EXE ファイルに感染します。パーティション・レコードに感染 します。 感染方法:感染したプログラムの実行、または感染したディ スクからのシステム起動を通じて蔓延します。感染にいく つかの方法があります。感染したプログラムが、汚染され ていないシステムで実行されると、ウイルスは最初に、ハ ードディスクのオリジナルのパーティションセクタの内容 を、最終シリンダの最終サイドの最終セクタに移動しま す。そして、最終シリンダの最終サイドの最後から9つ目か ら最後の6つ目までのセクタに自分の複製を作ります。これ らのセクタは「不良セクタ」としてマークされず、既存の 内容には関係なしに、ウイルスによって上書きされます。 ダメージ: システムをハングさせます。感染ファイルは、 ウイルスコードで、サイズが2048バイトほど増えます。 症  状: ウイルスがオリジナルのパーティションセクタ を置換しようとするときに、一部データを暗号解読する必 要があり、その暗号解読のあとに、次の文字列を表示しま す。 "PISello tenere fuori dalla portata dei bambini. PaxTibiQuiLegis.FaxFree!!" 備  考:割り込み: INT 21h このウイルスは、ファイル名が*AN.???"、*OT.???"または" *ND.???"のファイルには感染しません。 システム日付が4月25日〜30日のときにシステムをハングさ せます。このウイルスは、パーティションセクタを改変す るときに、ウイルス検出プログラムの網をかいくぐる知能 的な手法を使っています。つまり、INT 01hをフックして、 シングルステップフラグをオンにして、DOSのオリジナルの エントリにフックをかけておきます。そのあとMCB(Memory Control Block)の先頭へ自分自身を移動させて、MCBの利 用可能メモリを3Kbほど減らします。Int 13hとInt 21hをフ ックして、元のプログラムを実行します。 [FBSWV] 名  称:FBSWV 別  名:UNASHAMED 分  類:システム領域感染型 対  象:FD:ブートセクタ;HD:マスターブートレコード ウイルスサイズ:N/A 詳  細:このウイルスに感染したフロッピーディスクで マシンの起動動作を行うとハードディスクのシステム領域 (マスターブートレコード)に感染する。このウイルスに 感染したハードディスクでマシンを起動すると、メモリ ーに常駐してファイルの入出力を監視する。その後、書き 込み可能なフロッピーディスクにアクセスすると、そのデ ィスクのブートセクタに感染する。 ”the UNashamed Naked!”というメッセージを表示して、 マシンをハングアップさせるルーチンを持っているが、キ ーボードの割り込みをうまくフックできていないため発病 しない。 その他、特にウイルス自身による破壊活動はないものと思 われる。 [FCB] 名  称:FCB 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:N/A 詳  細:1)カレントディレクトリ内の.COMファイルを探 します。 2)見つかったファイルがFCBによって感染されているかを確 認します。感染していれば、更にファイルを検索します。 3)それは一度に1つのファイルだけに感染します。 4)カレントディレクトリ内の.EXEファイルを探します。 5)見つかったファイルがFCBによって感染されているかを確 認します。感染していれば、更にファイルを検索します。 6)それは一度に1つのファイルだけに感染します。 ダメージ: 元のファイルを上書きするため、ファイルサイ ズは変化しません。 注  意: メモリに常駐はしません。 INT24hをフックしません。I/Oエラーが発生した場合、エラ ーメッセージが表示されます。 [FEINT] 名  称:FEINT 別  名:ANTICMOS.C, CMOS.B, DELCMOS.B, INT7F, INT7F -E9 分  類:システム領域感染型 対  象:FD:ブートセクタ;HD:マスターブートレコード ウイルスサイズ:N/A 発祥地:スペイン 発見日:1996/01 詳  細:感染方法: このウイルスに感染したフロッピーディスクでマシンの起 動動作を行うとハードディスクのシステム領域(マスタ ーブートレコード)に感染する。このウイルスに感染した ハードディスクでマシンを起動すると、メモリーに常駐し てファイルの入出力を監視する。その後、書き込み可能な フロッピーディスクにアクセスすると、そのディスクのブ ートセクタに感染する。 − 3.5インチHD形式のフロッピーにしか正常に感染できな い。5インチFDやDD、EDフォーマットのフロッピーに対して は感染時にデータを壊してしまう。 − ウイルス常駐中は使用可能メモリが2KB減少する。 − マシンのBIOSによっては常駐が行えず結果的にシステ ムクラッシュを引き起こす場合がある。 − CMOSのセットアップ情報を上書きする破壊ルーチンを 持つが、発病ルーチンがないため、実際に破壊を行う事は ない。 − その他、破壊活動などは行わないものと思われる。 [FEIST] 名  称:FEIST 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:670 発祥地:不明 発見日:1992/01 詳  細:感染方法: 1)メモリに常駐していなければ、メモリに常駐する。 2)常駐後、オリジナルルーチンに戻る。 3)未感染のファイルが実行される度に感染する。 − ウイルスコード内に以下の文字列が含まれる "R.Feist" 破壊:ウイルス感染の影響によりプログラムが正常に実行 できない場合がある [FILLER] 名  称:FILLER 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:不明 発祥地:不明 発見日:不明 詳  細:− 実行すると、ディスクA:の、サイド0、トラ ック28、セクタ1、から8セクタを上書きして破壊する。 備  考: [FILLER.A] 名  称:FILLER.A 分  類:システム領域感染型 対  象:FD:ブートセクタ;HD:マスターブートレコード ウイルスサイズ:N/A 発祥地:ハンガリー 発見日:不明 詳  細:感染方法: 1)このウイルスに感染したフロッピーディスクでマシン の起動動作を行うとハードディスクのシステム領域(マス ターブートレコード)に感染する。 2)このウイルスに感染したハードディスクでマシンを起 動すると、メモリーに常駐してファイルの入出力を監視す る。 3)その後、書き込み可能なフロッピーディスクにアクセ スすると、そのディスクのブートセクタに感染する。 −その他、特にウイルス自身による破壊活動はないものと 思われる。 −DOSのCHKDSKコマンドで見ると「全メモリ」が8192バイト 減少している。 [FINDM-608] 名  称:FINDM-608 分  類:ファイル感染型 対  象: .COM ウイルスサイズ:608〜623バイト 詳  細:実行手順: 1) カレントディレクトリ内の.COMファイルを検索します。 2) ファイルが感染済みかを確認します。感染済みであれ ば、更に検索します。 3) 未感染ファイルが見つかると、感染します。 ダメージ: なし 症状:感染すると、ファイルサイズが608〜623バイト増加し ます。 備  考:1) 感染部分のコードは間違って書かれており、 通常感染したファイルのほとんどが実行できません(ほと んど、感染も発病もしません)。 2) メモリに常駐しません。 3) ファイルに感染するとき、INT 24hをフックしません。 4) I/Oエラーが発生すると、エラーメッセージが表示され ます。 [FINDM-695] 名  称:FINDM-695 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:695〜710バイト 発祥地:不明 発見日:不明 詳  細:− カレントディレクトリ内の未感染のファイ ルに感染する。 − ウイルスプログラムに大きな欠陥があるため感染した ほとんどのファイルは正常に実行できず、またウイルス自 体も再感染やデータの破壊ができない。 − メディアなどにライトプロテクト(書き込み禁止処 理)が施されていると、感染行動の際に"書き込み不可"と いう意味のエラーメッセージを表示する。 [FINNISH-357] 名  称:FINNISH-357 別  名:FINNISH 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:709バイト 発祥地:フィンランド 発見日:不明 詳  細:感染方法: 1)メモリに常駐していなければ、メモリ上位に常駐す る。 2)システムを起動したCOMMAND.COMが感染しているかチェ ックする。 3)未感染であれば感染し、その後オリジナルルーチンに 戻る。 4)未感染の.COMファイルが実行される度に感染する。 使用割り込み命令:INT 21H 識別方法:感染ファイルは709バイト増加する。 [FIRE] 名  称:FIRE 分  類:トロイの木馬型 対  象:なし ウイルスサイズ:4304バイト 発祥地:不明 発見日:不明 詳  細:− 感染行動を行わない「トロイの木馬」。 − 使用可能な全ドライブの全データを破壊し、音を鳴ら す。 備  考: [FISH-1100] 名  称:FISH-1100 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:1100バイト 発祥地:不明 発見日:不明 詳  細:− メモリに常駐していなければメモリ上位に 常駐し、オリジナルプログラムを実行する。 − 未感染ファイルを実行する度に感染する。 備  考: [FISH-2420] 名  称:FISH-2420 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:2420バイト 発祥地:不明 発見日:不明 詳  細:− メモリに常駐していなければメモリ上位に 常駐し、オリジナルプログラムを実行する。 − 未感染ファイルを実行する度に感染する。 備  考: [FLAGYLL] 名  称:FLAGYLL 分  類:ファイル感染型 対  象:.EXE ウイルスサイズ:不明 発祥地:不明 発見日:不明 詳  細:感染方法: 1)メモリに常駐していなければ、メモリ上位に常駐する。 2)常駐後、オリジナルルーチンに戻る。 3)未感染の.EXEファイルが実行される度に感染する。 使用割り込み命令:INT 21H 破壊:オリジナルファイルをウイルスコードで上書きする ため、ファイルが破壊される。 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合、 プログラム実行時に"書き込み不可"という意味のエラーメ ッセージを表示する。 [FLIP] 名  称:FLIP 別  名:2343, FLIP VIRUS, FLIP-2343 分  類:複合感染型 対  象:FD:ブートセクタ;HD:マスターブートレコード;. COM;.EXE;.OVL ウイルスサイズ:2343バイト 発祥地:スイス 発見日:1990/07 詳  細:感染方法: 1)感染プログラムを実行すると、メモリー上位に常駐す る。 CHKDSKコマンドを使うとシステムメモリーとフリーメモ リーの2、864byteの減少を示す。 2)常駐と同時に、ファイルのサイズに変化は見られない が、CドライブのルートディレクトリーのCOMMAND.COMに感 染する。 3)感染プログラムをフロッピーディスクから実行した場 合にも、同様に COMMAND.COMに感染するが、COMMAND.COMの ファイルサイズの変化は見ることが出来る。 4)常駐後、.COM、.EXEに感染する。 5).OVLファイルを参照する感染ファイルを実行すると、 参照した.OVLファイルも感染する。 発病: 1)感染したシステムはアロケーションエラーを起こし、 結果としてファイルリンケージエラーとなる。 この時データーファイルが破壊される場合がある。 2)毎月第二日に、EGAまたはVGAが表示可能なアダ プタを備えたシステムを、 感染したハードディスクから起 動した場合、16:00から16:59にかけて モニタ ー画面が180度逆さまになる場合がある。 − FLIPウィルスは感染した.EXEファイルのみによって他 のシステムに感染する。 感染した.COMファイルや感染したフロッピー・ディスクの ブート・セクタからは感染しない。 − 32Mバイト以上でパーティションを切ったハードデ ィスクでは、ハードディスクの論理的パーティションがつ ぶれる場合がある。この現象が起きた際には、32Mバイ ト以上のパーティションのサイズが32Mバイトよりもわ ずかに減少する可能性がある。 − ファイルのタイムスタンプの秒を表す数値を、意味の ない62という数に変更する。 − 感染ファイルには"OMICRON by PsychoBlast"という文 字列が含まれる。 変種: Flip-2153: オリジナルと類似するが、感染ファイルの増加 サイズは2、153byteで、メモリー上位に常駐する際の常駐サ イズは2、672byteである。オリジナルとの大きな違いは、 Flip-2153ウィルスがハードディスクのパーティション・テ ーブルから他のファイルに感染できることである。    発祥地: 不明  発見日: 1991年1月 Flip-2153B: Flip-2153と類似するが、主要な変化として感 染した.COMファイルからメモリに常駐して他のプログラム に感染できることが挙げられる。    発祥地: アメリカ 発見日: 1991年10月 Flip-2153C: 機能的にはFlip-2153Bと同じ。ウィルス対策 ユーティリティの検索を回避できるように改変されてい る。    発祥地: 不明  発見日: 1992年2月 Flip-2343B: 機能的にはオリジナルのFlipウィルスと同じ だが、メモリ中の常駐サイズ は2.864byteで、割り込み番 号21にフックをかける。感染ファイルからメモリに常駐す ると、感染したハードディスクからシステムを起動しなく ても、.COMファイルと.EXEファイルに感染可能になる。 Prism : 機能的にはFlip-2153に類似する。この変種は Flipウィルスを検出可能なほとんどのウィルス対策ユーテ ィリティによる検索を回避するために改変された。Flip- 2153ウィルスと同じように、感染ファイルの増加サイズは. COMおよび.EXEファイルともに2、153byteである。このグル ープの他のウィルスと同じように、このウィルスは感染フ ァイルを実行するとハードディスクのパーティ シ ョン・テーブルに感染する。    発祥地: 不明  発見日: 1992年 [FLIP-B] 名  称:FLIP-B 分  類:複合感染型 対  象:FD:ブートセクタ;HD:マスターブートレコード;. COM;.EXE ウイルスサイズ:2153バイト 発祥地:不明 発見日:不明 詳  細:− 感染ファイルを実行するとハードディスク のセクタ#1が感染しているか調べ、未感染であれば感染 し、メモリに常駐していなければ常駐する。常駐後実行さ れたファイルに感染する。 − ハードディスクから起動できなくなることがある。 − メディアなどにライトプロテクト(書き込み禁止処 理)が施されている場合でも、プログラム実行時に"書き込 み不可"という意味のエラーメッセージを表示しない。 [FLOWER] 名  称:FLOWER 分  類:ファイル感染型 対  象:.EXE ウイルスサイズ:883バイト 発祥地:不明 発見日:不明 詳  細:− カレントディレクトリの最初の未感染ファ イルに感染する。その後、ルートディレクトリのすぐ下の サブディレクトリ内にある未感染ファイルに感染し、オリ ジナルルーチンに戻る。 − 隠しファイル、リードオンリー属性のファイルには感 染できない場合がある。 − 感染ファイルには感染した順にウイルスがバージョン 番号をつける。(例:10番目に感染したファイルから感染 したファイルの番号は11。) − 11月11日に実行された場合、もしくは自らのバージョ ン番号が174以上であった場合に以下の破壊活動が行われる :  1)"FLOWER"という題の英詩を表示する: FLOWER Support the power of women Use the power of man Support the flower of woman Use the word FUCK The word is love Originally released 7 April 92  2)オリジナルファイルの先頭データを上書きして破壊 する。  3)オリジナルプログラムを実行する − 感染してもファイルの日付は更新されない。しかし時 刻は暗号化に必要なため更新される。 [FOB] 名  称:FOB 分  類:ファイル感染型 対  象: .COM ウイルスサイズ:1750-1900bytes 詳  細:実行手順: カレントディレクトリに未感染の.COMファイルを探して、 感染します(一度に1つのファイルにだけ感染します)。 50%の確率で、ウイルスは次の単語の入力をユーザに求め るメッセージを表示しま。"SLOVAKIA"。ウイルスは、ユ ーザがこの単語を入力するまで待って、プログラムを終了 します。 ダメージ: なし 注  意: 1) メモリに常駐しません。 2) INT 24hをフックしないので、感染時に、エラーメッセ ージが現れます。 症状:感染ファイルは"SLOVAKIA"という単語の入力をユーザ に要求し、ユーザが入力を行うまで、終了しません。 [FONESEX] 名  称:FONESEX 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:688バイト 発祥地:不明 発見日:1993/1 詳  細:− 感染したファイルが実行されるとカレント ディレクトリ内のCOM、EXEファイルすべてに感染する。 − 感染活動後、以下のどちらかのメッセージを表示し、 DOSプロンプトに戻る。 "Out of Memory""Program too big to fit in memory" − ウイルスコード内に以下の文字列が暗号化されていな い状態で含まれている。 "*.* *.exe \ \dos *.com d""Out of Memory" "9034600""4545388""2888100""6809100" "9038181""4540759" "8840758""8965581" "6804900" "4075240" "9038700" "7868482" − COMポートにモデムが接続されていた場合、上記の7桁 の数字列の電話番号にダイヤルするコマンドを送出する。 − 感染ファイルが688バイトより大きい場合、サイズは増 加しない。ファイル日付も更新されない。 [FORM] 名  称:FORM 別  名:FORM BOOT, FORM.A, FORM-18 分  類:システム領域感染型 対  象:FD:ブートセクタ;HD:ブートレコード ウイルスサイズ:N/A 発祥地:スイス 発見日:1990/06 詳  細:感染方法: −このウイルスに感染したフロッピーディスクでマシンの 起動動作を行うとハードディスクのシステム領域(ブート レコード)に感染する。 −このウイルスに感染したハードディスクでマシンを起動 すると、メモリーに常駐してファイルの入出力を監視す る。その後、書き込み可能なフロッピーディスクにアクセ スすると、そのディスクのブートセクタに感染する。 −このウイルスは、他のシステム領域感染型ウイルスと違 い、ハードディスク上のマスタブートレコードではなく、 ブートレコードに感染する。他には「Generic_437」が同じ タイプのウイルスである。 発病: −毎月24日にキーボード入力があるとクリッキングノイズ (パチパチという音)を発する。システムハングが起こっ たり、ブートセクタが上書きされて起動不能になったりす ることもある。 −DOSの CHKDSKコマンドを実行すると、空きメモリが 653312バイト減少しているのが確認できる。 −ウイルスのバイナリーコードに以下のメッセージを持つ ものもある。 "The FORM-Virus sends greetings to everyone who’s reading this text. FORM doesn’t destroy data! Don’t panic! Fuckings go to Corinne." 備  考:−亜種 Form II:発祥地不明、発見日1992年5月  FORM-18ウイルスから派生。機能的にはFORM-18と同じだ が、ほとんどのウイルス対策ユーティリティで検索できな いように変更されている。 FORM-18:  FORMウイルスに類似。FORM-18は各月の18日に発病し、 システム・クロックとCMOSを持つシステムのスピーカーか らクリック音を鳴らす。システム・クロックを持たないシ ステムでは、ほとんどの場合クリック音は鳴らない。 FORM-Canada:発祥地カナダ、 発見日1992年8月  FORM-18に類似するが、少し変更が加えられている。フロ ッピーディスク上で、ウイルス・コードの残りとオリジナ ルのブートセクタをフロッピーディスクの先頭の2つの使 われていない使用可能なセクタに移動させ、このセクタを 不良セクタにする。 [FR-1013] 名  称:FR-1013 分  類:ファイル感染型 対  象:.COM、.EXE ウイルスサイズ:1013〜1028bytes 詳  細:実行手順: 1) メモリに常駐しているかを確認します。常駐していなけ ればINT 21hをフックし、メモリに常駐します。次に、元の プログラムを実行します。 2) メモリに常駐していれば、直接元のプログラムを実行し ます。 感染方法: 1) INT 21h・AH=4Bによりファイルに感染します。未感染の プログラムが実行されると、感染します。 2) 感染するとき、INT 24hをフックしません。I/Oエラーが 発生すると、エラーメッセージが表示されます。 ダメージ: なし 症状:感染すると、ファイルサイズが1013〜1028バイト増加 します。 [FREDDY] 名  称:FREDDY 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:1870〜1880バイト 発祥地:ブラジル 発見日:不明 詳  細:− メモリに常駐していなければメモリ上位に 常駐し、オリジナルプログラムを実行する。 − 未感染ファイルを実行する度に感染する。同時にいく つかの未感染ファイルを探し出して感染することもある。 − 256バイトより小さい、もしくは感染後65535バイトを 越えてしまうような.comファイルには感染しない。 − command.comに感染する場合のみ一部を上書きして感染 する。この場合の増加サイズは約77バイトである。 − ウイルスは何かのきっかけにより、ダミーのクリティ カルエラーハンドラーをオリジナルのベクタに上書きして インストールする。その後、カレントドライブを確認する が、この時エラーがあるとシステムがハングする。その後ブ ートセクタが上書きされ、システムは無限ループに陥りハ ングする。 − ウイルス内に以下の文字列が暗号化されて含まれてい る: "FREDDY KRG 0" − メディアにライトプロテクト(書き込み禁止処理)が 施されていると、感染時に"書き込み不可"という意味のエ ラーメッセージを表示する。 [FRIDAY_13TH] 名  称:FRIDAY_13TH 別  名:1808(EXE), 1813(COM), FLO, FRIDAY_THE_13TH, ISRAELI, ISRAELIAN, JERUSALEM, RUSSIAN, VIRUS 1813 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:1813(COM) or 1808(EXE)バイト 発祥地:イスラエル 発見日:1987/10 詳  細:感染方法: −メモリに常駐していなければ常駐しオリジナルファイル を実行する。 −メモリ常駐後、実行されたcommand.com以外の未感染ファ イルに感染する。 発病: −システムの年号が1987年であれば、ファイルに感染する のみで破壊活動は行わない。 −システム日付が1987年以外の年で各月13日の金曜日であ れば発病し、実行されたファイルを全て削除する。 −その他の日には常駐後約30分が経過すると、小さな長方 形(ウインドウ)を画面に表示し、コンピュータの処理速 度を下げる。ディレイループは毎秒18.5回繰り返される。 この”ブラック・ウインドウ”または”ブラック・ボック ス”はディスプレーの左下に表示され、スクリーンをスク ロールすると同じようにスクロールして常にディスプレイ 左下に留まる。 −オリジナルはウイルスコード内に "sUMsDos" というID文 字列を持っている。 −Suriv 3.00 Virus(Jerusalemより発見されたのは後であ る)から派生したウイルスと考えられる。最も古くから存 在するウイルスであり、亜種が多数存在する。 −メディアなどにライトプロテクト(書き込み禁止処理) が施されている場合、感染行動時に"書き込み不可"という 意味のエラーメッセージを表示する。 備  考:−「JERUSALEM」の亜種 ・Suriv 3.00:  「JERUSALEM」ウイルスの原形となったウイルスと考えられ ている。感染したプログラムが実行された後、30秒後に発 病する。 ・1361、 1600、 1767、 A-204、 Anarkia、 Apocalypse、 Barcelona、 Captain Trips、 Carfield、 CNDER、 Clipper、 Count、 Discom、 IRA、 Mendoza、 Messina、 Miky、 Mummy、 Nemesis、 Nov 30.、 Payday、 Phenome PSQR、 Pipi、 Puerto、 Spanish、 Sub-Zero、 T13、 Timor Triple、 Virus #2、 Westwood :  これらの亜種はすべてトリガーとなる日付が違うだけであ る。まれにウイルス検索プログラムを逃れるための改変が 行われているものもある。 ・Century:  この亜種は2000年1月1日に発病し、      "Welcome to the 21st Century" というメッセ ージを表示する。 ・Moctezuma:  この亜種は感染時に暗号化される。感染量は2228byteで ある。 ・GP1、 Jerusalem.GP1:  この亜種はノベル社製ネットウェアのログインパケット を捕獲しそこに含まれているパスワードをネットワーク全 体にブロードキャストする。ネットウェア2.0以降はこの活 動は行えない。 − その他のJERUSALEM系ウイルスについては、Jerusalem B、 MULE(別名:Frere Jacques)、 Sunday、 Danubeを参 照。 [FRODO.FISH.6.B] 名  称:FRODO.FISH.6.B 別  名:3584, EUROPEAN FISH VIRUSES, FISH 6, STEALTH VIRUS 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:3584バイト 発祥地:ドイツ 発見日:1990/05 詳  細:感染方法: 1)感染ファイルを実行すると、使用可能なフリーメモリ ー下位に常駐する。 2)常駐後、COMMAND.COMに感染し、実行した.COM、.EXEフ ァイルにも感染する。 破壊: 1)CHKDSK /Fを実行すると、ファイルのクラスターが破壊 されたり、 ファイルがクロスリンクしてしまう。 2)ビデオ書き込みの速度を遅らせ、ディスプレーが点滅 する。 3)下記メッセージを画面に表示する。マシンがハングす る場合もある。 "FISH VIRUS #6 - EACH DIFF BONN 2/90 ’~knzyvo}’" −ウィルスは自分自身を暗号化するが、感染ファイルの最 後付近に文字列 "FISH FI"があるので感染プログラムを発 見できる。しかし、この文字列はしばらくたつと消えてし まう。 −感染ファイルの増加サイズは 3、584byteである。しか し、常駐後に、DIRコマンドを使用しても感染ファイルのサ イズ増加が分からない。 −常駐後にCHKDSKコマンドを実行すると、感染ファイルの ファイル・アロケーション・エラーを表示する。 −ハードディスクに書き込みプロテクトを掛けるユーティ リティーを使用しても、これをかわして感染する。 −4096ウィルスの変更バーションであり、メモリー常駐後 に頻繁にウィルス自身を再暗号化する。 そのため、ウィルス常駐後にシステムメモリーを調べる と、幾つもの魚の名前を発見できる。 [FRODO.FRODO.A] 名  称:FRODO.FRODO.A 別  名:100 YEAR, 4096, 4096-1, ANTICAD.4096.A, FRODO, IDF, VIRUS 4096 分  類:ファイル感染型 対  象:.COM;.EXE;.OVL;.TSR ウイルスサイズ:4096バイト 発祥地:イスラエル 発見日:1990/01 詳  細:感染方法: −感染ファイルを実行すると、システムメモリーに常駐す る。 −常駐後に、実行した61440バイト未満の.COMファイル及び 全サイズの.EXEファイルに感染する。更にオープンされた ファイル(COPY等の対象となったもの)にも感染する。 発病: −システムの日付が9月21日以降であれば発病し、ブートセ クタを書き換える。 感染ディスクから起動すると、 "FRODO LIVES" というメッセージが表示される。 ウイルスコード自体に欠陥があるため、感染ファイルを 9月21日以降に実行してもシステム領域は書き換えられ ないが、システムは破壊される。 −データファイルにも感染する場合がある。 −ウイルス感染のフラグ(目印)として感染ファイルのタイ ムスタンプの年数を100年進める。 (DOSでは下2ケタしか表示しないので、DOSの"DIR"コマン ドでは発見されにくい)。 −4096が常駐している時は、この感染されたデーターファ イルは何事もないように使用できるが、常駐が外れると、 このデータファイルは破壊されてしまう。 −変種: 4096-B: 4096と同じであるが、発見されないよう暗号メカ ニズムが変わった点が異なる。 4096-C: 4096と同じであるが、以下の点が異なる。 DOSのChkDskを使用しても、ファイルのクロスリンクまたは クラスターの消失が起こっていることが分からない。 更に、DIRコマンドで示されるディスクの開きスペースが、 ChkDskが示す値より大きく表示される。 発祥地: 不明  発見日: 1991年 4096-D: 4096-Cと機能的には同じ。幾つかのアンチ・ウィ ルス・プログラムで発見できない点が異なる。 発祥地: 不明  発見日: 1992年4月 4096-E: 4096-Cと機能的には同じ。幾つかのアンチ・ウィ ルス・プログラムで発見できない点が異なる。ファイル・ サイズは5、648byte。 発祥地: 不明  発見日: 1992年10月 備  考:CHKDSK /Fは使用してはならない。 [FVHS] 名  称:FVHS 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:不明 発祥地:ロシア 発見日:不明 詳  細:− カレントディレクトリとその親ディレクト リ内の未感染のファイルを検索し、一回に3つのファイル に感染する。上書き感染のため、オリジナルファイルは破 壊される。 − メディアなどにライトプロテクト(書き込み禁止処 理)が施されていると、感染行動の際に"書き込み不可"と いう意味のエラーメッセージを表示する。 備  考: [FYODOR_145] 名  称:FYODOR_145 分  類:ファイル感染型, 上書き感染型 対  象:.COM ウイルスサイズ:145バイト 詳  細:.COMファイルにのみ感染する。感染ファイルが 実行されると、カレント・ディレクトリのサブ・ディレク トリを調べ、.COMファイルへの感染を図る。エラーが発生 したり、感染できる.COMファイルがないときには、“Bad Command or Filename.”というメッセージを表示する。 損害: 感染ファイルの上位145バイトにウイルスコードを上書 きするため、感染したファイルは復元不可能である。さら なる感染を防ぐためには、感染ファイルを除去するしかな い。 [G2_DROPPER] 名  称:G2_DROPPER 分  類:その他 ウイルスサイズ:N/A 発祥地:不明 発見日:不明 詳  細: これはウイルスを生成するプログラムであ り、感染はしない。実行されると、ファイル感染型のウイル スを作成しはじめる(ただし、G2.DATファイルがないと、 うまく実行されない)。このとき、ユーザは以下の特性を 独自に設定できる。 1.ウイルス名 2.作者名 3.暗号化する/しない 4.デバッグを無効にする機能を使う/使わない 5.感染対象となるファイルサイズ(最小値と最大値を設 定する) 6.感染するファイル数(最大値を設定する) 7.感染ファイルの種類(.COMファイル/.EXEファイル) 8.COMMAND.COMに感染する/しない 9.発病日(発病日に実行すると、ハードディスクをフォ ーマットする) [G2-118-1] 名  称:G2-118-1 別  名:MPCA, PS-MPC 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:422Bytes 発祥地:不明 発見日:不明 詳  細:このウイルスはシンプルな直接感染型のウイル スで、.COMファイルに感染する。 感染方法: - 感染したファイルを実行すると、カレントディレクトリ のすべての.COMファイルに感染し、その後、ホストプログラ ムのコードを実行する。 - このウイルスはメモリに常駐しない。感染するときは、. COMファイルの真ん中にウイルスコードを付け加える。また、 感染対象のファイルの最初の3バイトを書き換えて、先にウ イルスコードが実行されるように修正する。 - ウイルスコードは一部暗号化されている。 損害: - ウイルスコードをコピーする以外特に破壊活動はない。 備  考:感染したファイルはサイズが422バイト増加する 。 [G2-78-1] 名  称:G2-78-1 分  類:ファイル感染型 対  象:.com 詳  細:これは16bit OS用に書かれたウイルスで、他の ファイルに感染する以外の動作は何も行いません。ステル ス行動や暗号化行動もありません。 しかしこのウイルスに感染したファイルは、一番後ろにコ ードが付け足されます。このコードはとても複雑に作られ ており、さらに、バグがあるため、ウイルスを駆除するこ とができません。この意味ではこのウイルスはとても破壊 的です。 [GALICIA] 名  称:GALICIA 別  名:ANTI-TEL, CAMPANA, GALICIA.800, KAMPANA.MP. 800, KAMPANA-800, TELEFONICA 分  類:システム領域感染型 対  象:FD:ブートセクタ;HD:マスターブートレコード ウイルスサイズ:N/A 詳  細:Galiciaは、システム領域に感染するウイルスで す。 ハードディスクのパーティションテーブルとフロッピーデ ィスクのブートセクタに感染します。 感染は、ウイルスに感染しているディスケットからシステ ムが起動されるときに起きます。起動シーケンスが完了し ている必要はありません。その場合でも、ウイルスは感染 します。 感染に加えて、Galiciaにはペイロードが含まれています。 5月22日の午前12時に次に示すメッセージを表示します。 Galicia contra telefonica! [GALILEO] 名  称:GALILEO 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:760バイト 発祥地:不明 発見日:不明 詳  細:感染方法: 1)システムの日付が月曜日であれば、ハードディスクのデ ータを全て破壊する。 2)カレントディレクトリ内の未感染.COMまたは.EXEファイ ルを探し出す。 3)カレントディレクトリ内の未感染の.COM及び.EXEファイ ルに感染する。 破壊: システムの日付が月曜日であれば発病し、ハードディスク のデータを全て破壊する。 使用割り込み命令:INT 24h 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合でも、プログラム実行時に"書 き込み不可"という意味のエラーメッセージを表示しない。 [GANEU] 名  称:GANEU 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:1527バイト(.COM),1531〜1547バイト(. EXE) 発祥地:不明 発見日:不明 詳  細:感染方法: −感染ファイルを実行すると、メモリに常駐する。 −常駐後、ファイルを実行すると、カレントディレクトリ を検索して、発見した最初の未感染の.COMまたは.EXEファ イルに感染する。 −.COMファイルの場合は、2、500バイト以上から62、000バイ ト未満、.EXEファイルの場合は、4、090バイト以上のファイ ルに感染する。 発病: −メモリ常駐後、ファイルを実行した日が5月17日場合、ビ ープ音に続き以下のメッセージをゆっくり表示して、シス テムをハングさせる。  "Beware of the BUG !!!" −上記のメッセージは暗号化されている。 −カレントドライブがA:またはB:の場合は感染しな い。 [GENERIC] 名  称:GENERIC 分  類:システム領域感染型 対  象:FD:ブートセクタ;HD:マスターブートレコード 詳  細:−「Generic」ウイルスとは、フロッピーのブ ートセクタまたはハードディスクのパーティション・テ ーブルに感染したシステム領域感染型の未知ウイルス(ユ ーザが使用したパターンファイルに情報が含まれていない ウイルス)を意味する。 したがって、これは特定ウイルスを差しているのではな く、「検索によるシステム型未知ウイルス発見機能」によ って新種ウイルスなどが発見された場合にも表示される。 −そのため、実際にはウイルスではなく、何らかの原因に よってFDのブートセクタやHDのパーティションテーブ ル内のコードが書き換わってしまった状態や、通常とは違 った常駐方式を取るデバイスドライバなどを「ウイルスの 可能性あり」として発見している場合もある。 Windows95システム上でGenericウイルス発見の警告があっ た場合には、まず以下の点を確認する。 1)ウイルス発見場所: 発見場所が「メモリ中」、「HDのシステム領域」、「F Dのブートセクタ」のいずれであるかを確認。 2)「ファイルシステム」と「仮想メモリ」の状態: 「システムのプロパティ」から「パフォーマンス」のメニ ューを参照する。「パフォーマンスの状態」の「ファイル システム」と「仮想メモリ」の表示が「32ビット」である 場合、ウイルス感染の可能性は低い。表示が「MS−DOS互換 モード」になっている場合は実際のウイルス感染の疑いが ある。 備  考:【Generic発見回避処理】 1)「FDのブートセクタ」発見の場合:  FD内のファイルをすべてバックアップし、FDをフォ ーマットします。 2)「HDのシステム領域」発見の場合: 注)ウイルスの駆除はいつの場合にも、必ず成功するとは 限りません。万が一の場合を考え、重要なデータは必ずバ ックアップをお取りいただいた上で下記作業を行ってくだ さい。 HDに対してMBR(マスターブートレコード)の初期化を 行います。 「Windows95起動ディスク」でシステムを起動し、コマン ドプロンプトから下記を実行して下さい。   A:\> FDISK /MBR 数秒しますとすぐコマンドプロンプトに戻りますので、フ ロッピーを抜いてマシンの電源を落として下さい。 3)「メモリ中」発見の場合: デバイスドライバなど何らかのプログラムの常駐をGeneric として発見している可能性があります。 Adaptec社製「EZ-DRIVE」など、一般にシステムに変更を加 えるプログラムである場合が多いです。 config.sys、autoexec.batなどにおいて組み込まれている ドライバやプログラムをチェックし、常駐プログラムから はずしていただく、ドライバを組み込む順番をご変更いた だくなどの対応を行って見てください。上記のようなプロ グラムを特にご使用いただいてない場合は、念のため重要 なデータのバックアップをお取りいただいた上で、 2) 「HDのシステム領域」発見の場合: の作業を行って見 てください。 [GENERIC_408] 名  称:GENERIC_408 別  名:B1, NYB, STONED.I 分  類:システム領域感染型 対  象:FD:ブートセクタ;HD:マスターブートレコード ウイルスサイズ:N/A 発祥地:不明 発見日:不明 詳  細:感染方法: −このウイルスに感染したフロッピーディスクでマシンの 起動動作を行うとハードディスクのシステム領域(マスタ ーブートレコード)に感染する。 −このウイルスに感染したハードディスクでマシンを起動 すると、メモリーに常駐してファイルの入出力を監視す る。その後、書き込み可能なフロッピーディスクにアクセ スすると、そのディスクのブートセクタに感染する。 発病: −トリガらしきものがあるが、タイミングを満たさない。 また、発病らしきルーチンがあるが特に被害はないように 思われる。 −フロッピーディスクに感染する場合、オリジナルのブ ートセクタをルートディレクトリエントリの最終セクタに 保存する。そのため、感染時にデータの一部が破壊されて しまう場合がある。 −ステルス型なので、ウイルス常駐後ではウイルスコード を書き込んであるセクタにアクセスできない。また、フロ ッピーディスクのフォーマット時にエラーが発生しフォ ーマットできなくなる場合がある。 [GENERIC_437] 名  称:GENERIC_437 別  名:BOOT-437 分  類:システム領域感染型 対  象:FD:ブートセクタ;HD:ブートレコード ウイルスサイズ:N/A 発祥地:不明 発見日:不明 詳  細:感染方法: −このウイルスに感染したフロッピーディスクでマシンの 起動動作を行うとハードディスクのシステム領域(ブート レコード)に感染する。 −このウイルスに感染したハードディスクでマシンを起動 すると、メモリーに常駐してファイルの入出力を監視す る。その後、書き込み可能なフロッピーディスクにアクセ スすると、そのディスクのブートセクタに感染する。 −このウイルスは、他のシステム領域感染型ウイルスと違 い、ハードディスク上のマスタブートレコードではなく、 ブートレコードに感染する。他には「Form」が同じタイプ のウイルスである。 発病: −文字列な発病ルーチンはないため、感染のみのウイルス である。 −フロッピーディスクに感染する場合、オリジナルのブ ートセクタをルートディレクトリエントリの最終セクタに 保存する。そのため、感染時にデータの一部が破壊されて しまう場合がある。 [GEOFF] 名  称:GEOFF 分  類:トロイの木馬型 対  象:なし ウイルスサイズ:5952バイト 発祥地:不明 発見日:不明 詳  細: − 感染行動を伴わない「トロイの木馬」。 − 破壊活動を行う前に、  " Search And Destroy Loading v1.0    Bringing The Best And Latest Warex.......   Press [ENTER] to Start The Game." と表示する。 − 使用可能なドライブの全てのデータを破壊する。 − 破壊活動後、  " Hey Geoff You know what happened a few days ago?  Some friend asked me to get rid of you、........   P.S. I have nothing personal against you!   You just FUCKED with the Cold Brother and I had to take you down、again" と表示する。 備  考: [GERGANA] 名  称:GERGANA 別  名:GERG 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:182〜450バイト 発祥地:不明 発見日:不明 詳  細:− カレントディレクトリ内の未感染のファイ ルに感染する。 − ウイルスコード内に以下の文字列を持つ: GERGANA Happy 18th Birthday 破壊:感染、増殖以外の活動はなし。 備  考: [GETIT] 名  称:GETIT 別  名:GETIT.754, LOGIN THIEF TROJAN, QNPC.GETIT. 754 分  類:トロイの木馬型 対  象:DOS ウイルスサイズ:754バイト 詳  細:-  これはいわゆるトロイの木馬です。他のファイルに感染 することはありません。一個のプログラムのため、「駆 除」は行えません。ファイルごとの削除となります。  ユーザーがこのプログラムを不注意に実行すると、この トロイの木馬は割りこみ命令を駆使して、メモリーに常駐 します。常駐後、"LOGIN"という文字列を含んだファイル名 のプログラム/コマンドが実行されると発病します。   発病:  発病するとまず、"testing.tmp"というファイル名の隠し ファイルを作り、コマンドラインから入力された文字列を すべて記録します。  次にDIRコマンドを実行に対して割りこみをかけ、DIRコ マンドを実行してもカレントディレクトリが空である旨の 表示をさせユーザーを混乱させます。 [GHOST PLAYER] 名  称:GHOST PLAYER 分  類:ファイル感染型 対  象:.EXE ウイルスサイズ:1200バイト 発祥地:不明 発見日:不明 詳  細:感染方法: ファイルに感染して広まる。Ghost Playerウイルスに感染 したプログラムを実行すると、DOSのバージョンが3以降で かつデフォルトディスクのシリアル番号がゼロの場合の み、オリジナルプログラムを実行する。条件に合わなけれ ば、MCB (memory control block)上位で、DOS 640k境界下 の部分に常駐する。空きメモリが1200 (4B0H)バイト減少す る。 破壊:感染ファイルは増加する。 特徴:空きメモリが減少する。1/65280の確率で次のような メッセージを表示する。 " ! y Bumpy~ (R)Ghost Player " さらに、画面が上下にシフトして揺れる。 備  考:以下のような名前のファイルには感染しない。 "TB*.???" 、"F-*.???" 、"CP*.???" 、"NA*.???" 、"SC* .???" "CL*.???" or "V*.???". [GHOST-A] 名  称:GHOST-A 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:330バイト 発祥地:不明 発見日:不明 詳  細:感染方法: 1)メモリに常駐していなければ常駐する。 2)その後、オリジナルプログラムを実行する。 3)メモリに常駐し、未感染のファイルが実行される度に感 染する。 破壊: 常駐後、システムの日付が金曜日であれば、実行したファ イルを削除してシステムをハングする。 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合、"書き込み不可"という意味 のエラーメッセージを表示する。 [GINGER.2774] 名  称:GINGER.2774 別  名:BADSEED, GINGER, GINGERBREAD, GINGERBREAD MAN, PEANUT, RAINBOW 分  類:複合感染型 対  象:FD:ブートセクタ;HD:マスターブートレコード;. COM;.EXE ウイルスサイズ:2〜3KB 発祥地:オーストラリア 発見日:1993/03 詳  細:− 感染ファイルを実行するとメモリに常駐 し、ハードディスクのMBRに感染しする。 − 一度ハードディスクのMBRに感染すると次回以降の起動 時にメモリに常駐する。 − 常駐後実行されたファイルに感染する。 − ウイルスのステルス行動により、MBRの情報が確認でき ない。 − ウイルスコード内に以下の文字列を含む: PTT (You can’t catch the Gingerbread Man! Bad Seed - Made in OZ! COMSPEC= CHKDSK MEM 10/23/92 破壊: − ハードディスクへの感染時にパーティションテーブル の情報を破壊する。このため、FDのシステムから起動する とシステムクラッシュを引き起こす。パーティションテ ーブルの破壊は修復できない。 備  考:システム感染の部分は「Ginger.2774-B」で発見 される。 [GOLD] 名  称:GOLD 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:612バイト 発祥地:不明 発見日:不明 詳  細:感染方法: 1)メモリに常駐していなければ、上位メモリに常駐す る。 2)常駐後、オリジナルルーチンに戻る。 3)未感染の.COMまたは .EXEファイルが実行されると感染 する。 4)感染後、50%の確率でオリジナルルーチンに戻る。 そのほかの場合、画面に文字をランダムに表示してオリジ ナルルーチンを実行せずに終了する。 破壊:感染、増殖以外の活動はなし。 使用割り込み命令:INT 21H 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合、プログラム実行時に"書き込 み不可"という意味のエラーメッセージを表示する。 [GOLDBUG] 名  称:GOLDBUG 分  類:複合感染型 対  象:FD:ブートセクタ;HD:マスターブートレコード ウイルスサイズ:1024バイト 発祥地:不明 発見日:不明 詳  細:感染方法: − DOSのバージョン5.0もしくは6.*のある環境で拡張( HMA)メモリに常駐する。 − このウイルスに感染した.EXEプログラムを実行する と、CPUが80186以下であればプログラムを終了する。CPUが 80186以上であればハードディスクのパーティションテ ーブルに感染し、HMA (High Memory Area)が有効であれば (CONFIG.SYSにDOS=HIGHが記述されている場合は)同メモ リエリアに常駐する。 − その後、感染 ファイルのオリジナルコードを実行す る。ウイルスの感染機能はこの時点では働いていない。 破壊: − GoldBugウイルスは、ウイルス対策製品を回避するさま ざまなルーチンを持つ。 − Gold-Bugウイルスがメモリ常駐していると、ほとんど のウイルス検索プログラムを強制終了する。Gold-Bugウイ ルスはファイル名の末尾に"A*"(*はNからZまでのアルファ ベット)をもつ、64Kバイト以上の大きな.EXEファイルの動 作を阻止する。その結果、SCAN.EXE、CLEAN.EXE、NETSCAN. EXE、CPAV.EXE、MSAV.EXE、TNTAV.EXE等のファイルは動作 を強制終了させられる。 − ウイルス検索プログラムは、削除されるか、実行エラ ーの戻り値を返される。またシステム再起動後は、CMOSの チェックサムにはエラーが発生するようになる。 "CPAV.EXE"と"MSAV.EXE"により作成された"CHKLIST.???"フ ァイルは自動的に全て削除されるのでCPAVとMSAVのチェッ クサム機能が使用できない。 特徴: − CMOSのチェックサムがエラーとなる。拡張子なしのフ ァイルを作成し、モデムも呼出し音が7回鳴るまで応答し ない。ほとんどの検索ソフトは実行できないか削除され る。また、CHKLIST.??? ファイルも削除される。 使用割り込み命令:INT 21h、INT 13h 備  考:− このウイルスが作成する.EXEファイルで変 化しない部分は2バイトのみ。128通りの暗号化パターンを 持つ。2重の解読方式が使われており、デバッガによる解読 はかなり難しい。512通りの1次暗号化機能をもつアセンブ リコードがある。2次暗号化機能は、それぞれ128通りある。 [GOMB] 名  称:GOMB 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:4093バイト 発祥地:不明 発見日:不明 詳  細:感染方法: 1)メモリに常駐していなければ、上位メモリに常駐す る。 2)常駐後、オリジナルルーチンに戻る。 3)未感染の.COMファイルが実行される度に感染する。 破壊:感染、増殖以外の活動はなし。 使用割り込み命令:INT 21H [GORLOVKA] 名  称:GORLOVKA 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:なし 発祥地:不明 発見日:不明 詳  細:感染方法: 1)ウイルスがメモリに常駐していれば、 "Tracing mode has been destroyed." と表示する。 2)常駐していなければ、メモリ上位に常駐し、 "Tracing mode has been destroyed." と表示する。 3)未感染の.COMまたは.EXEファイルが実行される度に感 染する。 破壊:オリジナルファイルをウイルスコードで上書きする ためファイルが破壊される。 使用割り込み命令:INT 21H、INT 24h 備  考:感染ファイルのサイズは増加しない。 [GOT732-1] 名  称:GOT732-1 別  名:GOTCHA 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:732KB 発祥地:不明 発見日:不明 詳  細:「GOTCHA」ウイルスの亜種。 感染方法:1)メモリに常駐していなければ、最上位メモリ に常駐する。2)その後、オリジナルプログラムを実行す る。3)メモリに常駐し、未感染のファイルが実行される度 に感染する。ファイルをリネーム、属性変更、検索、削除 した場合にも感染する。 − ウイルスコード内に以下の文字列を含む: "GOTCHA!" 破壊:感染、増殖以外の活動はなし。 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合でも、プログラム実行時に"書 き込み不可"という意味のエラーメッセージを表示しない。 [GOTCHA] 名  称:GOTCHA 別  名:GOT732, GTC 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:627〜906byte 発祥地:東欧 発見日:1991 詳  細:感染方法: 1)メモリに常駐していなければ、最上位メモリに常駐す る。 2)その後、オリジナルプログラムを実行する。 3)メモリに常駐し、未感染のファイルが実行される度に感 染する。 ファイルをリネーム、属性変更、検索、削除した場合に も感染する。 − ウイルスコード内に以下の文字列を含む: "GOTCHA!" 破壊:感染、増殖以外の活動はなし。 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合でも、プログラム実行時に"書 き込み不可"という意味のエラーメッセージを表示しない。 [GOTCHA-2] 名  称:GOTCHA-2 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:627バイト (.COM)、527バイト (.EXE) 発祥地:不明 発見日:不明 詳  細:感染方法: 1)メモリに常駐していなければ、最上位メモリに常駐す る。 2)その後、オリジナルプログラムを実行する。 3)メモリに常駐し、未感染のファイルが実行される度に感 染する。ファイルに感染する前に、ファイル名を参照す る。 破壊:感染、増殖以外の活動はなし。 使用割り込み命令:INT 21h、INT 24h 備  考:1)Gotcha-2ウイルスはファイルに感染する際 に「Ctrl」+[Break]機能を無効にする。 2)メディアなどにライトプロテクト(書き込み禁止処 理)が施されている場合でも、プログラム実行時に"書き込 み不可"という意味のエラーメッセージを表示しない。 [GP1/NOVELL] 名  称:GP1/NOVELL 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:1557バイト(.EXE)、1845バイト(. COM) 発祥地:ヨーロッパ 発見日:1991 詳  細:感染方法: 1)メモリに常駐していなければ常駐する。 2)その後、オリジナルプログラムを実行する。 3)メモリに常駐し、未感染のファイルが実行される度に感 染する。ファイルに感染する前にファイル名を参照する。 特徴: ウイルスがメモリに常駐しており、コマンドラインの最初 の文字が "i" 以外の場合、ウイルスは自動的にメモリから 取り除かれる。(ウイルスが一番最後にメモリ常駐してい る場合のみ。) ウイルスが取り除かれた後、 "GP1 Removed from memory." というメッセージが表 示される。 破壊: Jerusalemウイルスを改変したウイルス。 ユーザが最小限の特権しかもっていなくても、Novellのセ キュリティを突破してネットワーク内部で増殖することを 目的として作成されたと思われる。 NovellのLOGINを監視してそのセキュリティをかわす以外 に、発病行動は特にない。 [GREENCAT] 名  称:GREENCAT 別  名:1575, 1591, CATERPILLAR, GREEN CATERPILLAR, GREEN.CAT.2, GREENCAT-1 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:1577〜1591バイト 発祥地:台湾 発見日:1991/01 詳  細:感染方法: −感染ファイルを実行するとメモリーに常駐しCOMMAND.COM に感染する。 −常駐後、DOSの"Dir"または"Copy"コマンドを実行する と、.COMと.EXEファイルの最後にウィルスコードを追加し てに感染する。 −常駐後に、プログラムを実行しても、そのファイルには 感染しない。 −感染ファイルのタイムスタンプが感染日に変更される。 発病: −一定の時間が経過してから感染ファイルを実行すると、 緑色の青虫が画面上の文字を食いつぶしながら横切る。恒 久的なダメージは与えない。 変種: 1575-B: 機能的には 1575 と同じであるが、以下の点が異 なる。システム・メモリ上部に常駐し、その領域を保護す る。 1575-C: 1575-Bと同じであるが、実行したファイルに感染 する。更に、DOSのDIRやCOPYコマンドを使用してもファイ ルに感染する。COMMAND.COMが感染したシステムでは、シス テムがハングする。 1575-D: 感染ファイルを実行すると、Cドライブのcommand. comに感染する。その後、システムをCドライブから起動す ると、ウィルスはメモリに常駐し、COPYコマンドやDIRコマ ンドを実行する度に、ファイルに感染する。画面上にグラ フィックの毛虫("caterpillar")が表示されて、スクリ ーン上の文字を全て食べることから、この変種は "Green Caterpilllar"とも呼ばれる。 [GROG31] 名  称:GROG31 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:1200バイト 発祥地:不明 発見日:不明 詳  細:感染方法: 1)メモリに常駐していなければ常駐する。その後、オリジ ナルプログラムを実行する。   常駐していればそのままオリジナルプログラムを実行す る。 2)COMMAND.COMが感染していなければ感染し、その後オリ ジナルプログラムを実行する。 .EXEには感染しない。 破壊:感染、増殖以外の活動はなし。 使用割り込み命令:INT 21h、INT 24h 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合でも、プログラム実行時に"書 き込み不可"という意味のエラーメッセージを表示しない。 [GROOVE] 名  称:GROOVE 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:3646〜3708バイト 発祥地:ドイツ 発見日:1992/06 詳  細:感染方法: 1)感染ファイルを実行すると,システムメモリ上位,DOS の640K境界下に常駐し、割り込み番号21hにフックを掛け る。 2)常駐後、COMMAND.COMを含む.COMファイルおよび非常に 小さな.EXEファイルの最後にウィルスコ−ドを追加して感 染する。 −感染ファイルのタイムスタンプは感染の日付・時間に変 更される。 −感染ファイルには以下の文字列が含まれるが、通常は暗 号化されていて見えない。 "Don’t wory、 you are not alone at this hour... ThisVirus is NOT dedicated to Sara its dedicated to her Groove (...Thats my name) This Virus is only a test Virus there for be ready for my Next Test ..." "C:\NAV_._NO C:\NOVIRCVR.CTS C:\ NOVIRERF.DAT C:\CPAV\CHKLIST.CPS C:\TOOLKIT\FILES. LST C:\UNTOUCH\UT.UT1 C:\UNTOUCH\UT.UT2 C:\ VS.VS" −上記の二段目のテキストはウィルス作者がターゲットに した下記のウィルス対策製品のデータファイル名である。 (Symantec社のNorton Anti-Virus、Certus社のNovi、 Central Point Anti-Virus、Dr.Solomon社のAnti-Viral Toolkit、Fifth Generation Systems社のUntouchable、 XTree社のViruSafe) これらのデータファイルが存在する場合、ウィルスが破 壊または削除する。 −ウィルスに感染したシステムでは、上記のデータファイ ルが破壊・削除されるだけでなく、感染プログラムを実行 することが困難になる。感染プログラムは通常、正常に動 作しない。COMMAND.COMが感染すると、起動できない場合が ある。 備  考:−DAME、Pogue 参照。 −暗号化のためにDark Avenger Mutation Engine (DAME) を少し改変したバージョンを使用。 [GRUNT2] 名  称:GRUNT2 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:427バイト 発祥地:不明 発見日:不明 詳  細:感染方法: 1)カレントディレクトリ内の未感染.COMファイルを探し出 す。 2)すでにGRUNT2ウイルスに感染していれば未感染の.COMフ ァイルを探す。 3)一度に 感染するファイルは1つだけ。 4)システムの日付が1993年以降の9月3日であれば発病し、 カレントディスクのファイルをどれか1つ削除して次のよ うな表示をする。  "S[GRUNT-2] -=> Agent Orange ‘92 <=- Rock of the Marne Sir!.......". 破壊:システムの日付が1993年以降の9月3日であれば発病 し、カレントディスクのファイルをどれか1つ削除する。 使用割り込み命令:なし 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合、プログラム実行時に"書き込 み不可"という意味のエラーメッセージを表示する。 [GRUNT-3] 名  称:GRUNT-3 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:473バイト 発祥地:不明 発見日:不明 詳  細:感染方法: 1)暗号化されているウイルスコードを解読し、カレント ディレクトリ内の未感染.COMファイルを探し出す。 2)次に、未感染.COMまたは.EXEファイルがカレントディ レクトリまたは親ディレクトリにあり、1993年以降の金曜 日であれば、 "This is a hot LZ ... Eradicating the Enemy!" と表 示するだけで破壊活動は行わない。 それ以外の日であれば、ファイルに1つずつ感染する。 破壊:感染、増殖以外の活動はなし。 備  考:感染ファイルの日付と時刻は変更されない。 [GRUNT-529] 名  称:GRUNT-529 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:529バイト 発祥地:不明 発見日:不明 詳  細:感染方法: 1)カレントディレクトリ内の未感染.COMファイルを探し出 す。 2)すでに感染していれば他の未感染ファイルを探す。 3)未感染ファイルがあれば、1つずつ感染する。 4)未感染.COMファイルの有無に関わらず、システムの日付 が 1993年以降の金曜日であれば、以下のメッセージを表示 する。 "Nothing like the smell of napalm in the morning!" 破壊:感染、増殖以外の活動はなし。 使用割り込み命令:なし 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合、プログラム実行時に"書き込 み不可"という意味のエラーメッセージを表示する。 [H&P] 名  称:H&P 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:変化なし 発祥地:不明 発見日:不明 詳  細:感染方法: 1)カレントディレクトリ内の未感染.COMファイルを探し出 す。 2)すでにH&Pウイルスに感染していれば、他の未感染.COM ファイルを探す。 3)一度に1つのファイルに感染する。 破壊:オリジナルファイルを上書きするため、ファイルの サイズは変化しない。 使用割り込み命令:なし 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合、プログラム実行時に"書き込 み不可"という意味のエラーメッセージを表示する。 [HA] 名  称:HA 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:1458-1468バイト(.EXE)、1462バイト (.COM) 発祥地:不明 発見日:不明 詳  細:感染方法: 1)メモリに常駐していなければ、最上位メモリに常駐す る。常駐後、オリジナルプログラムを実行する。 2)すでに常駐していれば、そのままオリジナルプログラム を実行する。 3)未感染ファイルが実行される度に感染する。 破壊:感染、増殖以外の活動はなし。 [HACKCOM] 名  称:HACKCOM 別  名:HACKER BBS 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:N/A 詳  細:これは本当のウイルスではなく、ウイルスを作 成するプログラム自体である。これはCOMバージョンであ る。することはCOMファイルをロードし、コマンドパラメ ータによって指定された場所に感染を行う。最も多くはケ ースはハッカーBBSから見られる。ハッカーは自分の能 力を証明するために、または、ハッカー内のグループに認 めるために、作り出したものと考えられます。最近このよ うなプログラムが多数があった。そのプログラムによる被 害を防ぐために、一般的にキットを解析し、不能にする研 究が行われている。 備  考:誤実行や感染をしないように、ウイルスファイ ルを削除してください。 [HACKTIC2] 名  称:HACKTIC2 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:93バイト 発祥地:不明 発見日:不明 詳  細:感染方法: カレントディレクトリ内の未感染.COMファイルを探し出し て1つずつ感染する。 破壊:感染、増殖以外の活動はなし。 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合、プログラム実行時に"書き込 み不可"という意味のエラーメッセージを表示する。 [HAFEN] 名  称:HAFEN 別  名:HAFENSTRASSE 分  類:ファイル感染型 対  象:.EXE ウイルスサイズ:N/A 詳  細:感染方法: 感染ファイルを実行すると、カレン トディレクトリにある.EXEファイル1つに再感染します。 感染ファイルは、ファイルサイズが809バイト増加します。 ダメージ: 感染ファイルを実行する度に、4文字のいやらし いファイル名のファイルを隠し属性で作成します。 [HALLO] 名  称:HALLO 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:496バイト 発祥地:不明 発見日:不明 詳  細:感染方法: 1) カレントディスクの未感染.COMファイルを探し出す。 2)すでに感染していれば、他の未感染ファイルを探し1つ ずつ感染する。 感染後、   "I have got a virus for you!" と表示する。 破壊:感染、増殖以外の活動はなし。 識別方法: プログラムを実行すると、 "I have got a virus for you!" という文字列を表示するか、もしくはファイルが599バイト 増加しているかどうかチックする。 使用割り込み命令:なし 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合、プログラム実行時に"書き込 み不可"という意味のエラーメッセージを表示する。 [HALLO-759] 名  称:HALLO-759 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:533バイト 発祥地:不明 発見日:不明 詳  細:感染方法: 1)カレントディレクトリ内の未感染.COMファイルを探し出 す。 2)すでに感染していれば、他の未感染ファイルを探し1つ ずつ感染する。 .EXEファイルには感染しない。 3)感染後、 "Ihave got a virus for you!" と表示する。 破壊:感染、増殖以外の活動はなし。 識別方法: プログラムを実行したときに "I have got a virus for you!" という文字列を表示す るか、 ファイルが759-775バイト増加しているかチェックする。 備  考:1)ウイルスプログラムに欠陥があるため、感染 ファイルを実行するとシステムがハングする。 2)メディアなどにライトプロテクト(書き込み禁止処理) が施されている場合、プログラム実行時に"書き込み不可" という意味のエラーメッセージを表示する。 [HALLOWEEN] 名  称:HALLOWEEN 別  名:HLL.HALLOWEEN、HLLP.10000 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:10、000bytes 発祥地:不明 発見日:12月31日 詳  細:感染方法: - このウイルスは直接感染型のウイルスで、感染ファイル が実行されたときに、カレントディレクトリの.COMまたは. EXEファイルを探し、サイズが10KB以上のファイルにウイル スコードをコピーする。 - ウイルスコードは、対象ファイルの先頭に付け加えられ る。感染したファイルは約10、000バイトサイズが増加する。 - 感染対象のファイルが存在しなかった場合、以下のよう なメッセージが表示される。    "Runtime error 002 at 0000:0511" 損害: - 10月31日になると、ファイル名がない10、000バイトのフ ァイルを作成する。このファイルには、ウイルスコードが含 まれる。その後、以下のメッセージを表示する。 "Runtime error 150 at 0000:0AC8". - 感染ファイルが実行されているとシステムの動作が非常 に遅くなる。 備  考:- ウイルスコードには以下の文字列が含まれる 。 "ALL GONE" "Happy Halloween" [HARD-DAY] 名  称:HARD-DAY 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:662バイト 発祥地:不明 発見日:不明 詳  細:感染方法: メモリに常駐していなければ上位メモリに常駐する。 常駐後、オリジナルルーチンに戻る。 未感染の.COMまたは.EXEファイルが実行される度に感染す る。 使用割り込み命令:INT 21h 破壊: システムの日付が月曜日であり、なおかつ時刻が18:00以降 であれば、 " Hard day's night !" というメッセージを表示してシステムをハングする。 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合、プログラム実行時に"書き込 み不可"という意味のエラーメッセージを表示する。 [HARE] 名  称:HARE 別  名:HARE.7682、 HARE.7682-1、 HARE.NEW、 HARE.NEW- 1、 HARE.7610、 EUTHANASIA、 HDEUTHANASIA、 KRSNA、 7750、 77 分  類:複合感染型 対  象:FD:ブートセクタ;HD:マスターブートレコード;. COM;.EXE ウイルスサイズ:7610 〜 7770バイト 発祥地:ニュージーランド 発見日:1996/07 詳  細:感染方法: −感染したプログラムが実行されるとメモリに常駐し、ハ ードディスクのシステム領域(マスターブートレコード) に感染する。メモリ常駐後に実行された.COM、.EXEファイ ルすべてに感染する。 −ハードディスクのパーティションテーブルを暗号化し、 ウイルス常駐状態でないとハードディスクを認識できなく する。 発病: −8月22日、9月22日にウイルスが実行されていた場 合に発病する。  "HDEuthanasia" by Demon Emperor: Hare Krsna、 hare、 hare... 以上のメッセージを表示した後、システムから認識される すべてのハードディスク内の、全データを上書きして破壊 してしまう。 その他 −多くの亜種が発見されている。 −「FDISK /MBR」コマンドを使用してはならない。このコ マンドを使用してしまうと、ハードディスクを元に戻すこ とができなくなってしまう。 [HARM-1082] 名  称:HARM-1082 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:1082〜1097バイト 発祥地:不明 発見日:不明 詳  細:感染方法: 1)メモリに常駐していなければ、最上位メモリに常駐す る。常駐後、オリジナルプログラムを実行する。 2)すでに常駐していれば、そのままオリジナルプログラム を実行する。 感染詳細:未感染ファイルが実行される度に感染する。 破壊:感染、増殖以外の活動はなし。 備  考: [HAVOC] 名  称:HAVOC 別  名:STONED.B 分  類:その他 対  象:Dos Exec ウイルスサイズ:21,903 bytes 詳  細:フロッピーディスクと最初のハードディスクの マスターブートレコード(MBR)の両方のDOSブートセクタ ーに感染する。ステルス機能は持たず、ファイルには感染 しない。ネットワークを介してウイルスが伝染することも ない。 感染すると、ウイルスは元のMBRをハードディスクのセクタ ー7に移動する。感染したシステムは、“HAVOC2”という名 称で検出される。 [HBT] 名  称:HBT 分  類:複合感染型 対  象:FD:ブートセクタ;HD:マスターブートレコード;. COM;.EXE ウイルスサイズ:394バイト 発祥地:不明 発見日:不明 詳  細:感染方法: 1)メモリに常駐していなければ常駐する。 2)常駐後、オリジナルプログラムを実行する。 3)メモリに常駐し、未感染ファイルが実行される度に感染 する。 破壊: ウイルスがメモリに常駐していると、プログラムは実行で きないがウイルス感染してしまう。 使用割り込み命令:INT 21h 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合、プログラム実行時に"書き込 み不可"という意味のエラーメッセージを表示する。 [HDENOWT] 名  称:HDENOWT 分  類:ファイル感染型 対  象:.COM、.EXE(COMMAND.COMにも感染する) ウイルスサイズ:1、757バイト 発祥地:不明 発見日:不明 詳  細:感染方法:  感染ファイルを開くと、FindFirstとFindNextファンクシ ョンを使ってファイルに感染していく。 1)感染ファイルを実行したとき、すでにウイルスがメモリ に常駐していなければ、上位メモリに常駐する。2)常駐 後、オリジナルプログラムのルーチンに戻る。3)未感染 の.COMファイルもしくは.EXEファイル、またCOMMAND.COMフ ァイルにアクセスすると感染する。   損害:  とくに破壊活動は行なわない。感染をわかりづらくするミ ューテーション型ウイルスであり、ウイルスがメモリー上 にあるときは、ファイルサイズが変化していないように見 える。しかし、コンピュータを再起動すれば、ファイルサ イズの増加が確認できる。 備  考:このウイルスはステルス行動をとるため、メモリ に常駐している間は、感染ファイルの日付とサイズに変更が ないように見える。 [HDKILLER] 名  称:HDKILLER 別  名:CORUNA4、 RASEC、 MEILAN、 RASEK BOOT、 KILLER BY RASEK 分  類:システム領域感染型 対  象:FD:ブートセクタ;HD:マスターブートレコード ウイルスサイズ:N/A 発祥地:スペイン 発見日:1994/11 詳  細:感染方法:  このウイルスに感染したフロッピーディスクでマシンの 起動動作を行うとハードディスクのシステム領域(マスタ ーブートレコード)に感染する。この際FDに起動システ ムが入ってなくても「Non-System Disk」のエラーは出さな い。感染したハードディスクでマシンを起動すると、コン ベンショナルの上位メモリに常駐してファイルの入出力を 監視する。その後、書き込み可能なフロッピーディスクに アクセスすると、そのディスクのブートセクタに感染する。 − メモリ常駐時に領域をリザーブしない。他のプログラ ムがウイルスの使用している領域に常駐しようとした場 合、直ちにシステムクラッシュが起る。 − 感染したときのシステム日付を記録し、1ヶ月経過ごと に発病する。例:ある月の10日に感染した場合、翌月以降の 毎月9日に発病する。発病するとハードディスク内のデータ をいくつか上書きして破壊する。 − ウイルスコード内に以下の文字列が含まれている: "HDKiller By Rasek. " "0UT Meilan! " [HELLPHORA] 名  称:HELLPHORA 分  類:ファイル感染型 対  象:.EXE(DOS用16bit実行ファイル) ウイルスサイズ:N/A 発祥地:不明 発見日:不明 詳  細:感染方法: - このウイルスは、直接感染型でありメモリに常駐するこ となく直接ファイルにコードを書き込む。 - 感染したファイルを実行すると、カレントディレクトリ の.EXEファイルを探し、次々に感染していく。他のディレク トリのファイルには感染しない。 損害: - ファイルをウイルスコードで上書きする。 備  考:- 駆除はできないので、感染ファイルを削除し オリジナルのものに置き換える他ない。 [HELLWEEN1182] 名  称:HELLWEEN1182 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:1182バイト 発祥地:不明 発見日:不明 詳  細:感染方法: 1)メモリに常駐していなければ上位メモリに常駐する。 常駐後、オリジナルルーチンに戻る。 2)未感染の.COMまたは.EXEファイルが実行される度に感 染する。 使用割り込み命令:INT 21h、INT 24h 破壊:感染、増殖以外の活動はなし。 備  考: [HELLWEEN-1-S] 名  称:HELLWEEN-1-S 別  名:HELLWEEN 分  類:ファイル感染型 対  象:.COM;.EXE ウイルスサイズ:N/A 詳  細:これはステルス行動等を行わない、非常にシンプ ルなメモリ常駐型ウイルスである。 感染方法: -感染ファイルが実行されると、メモリに常駐し、その後アク セスまたは実行されたファイルすべてに感染する。 損害: - 感染する以外に特に破壊活動無し。 発病: - 以下のメッセージを10月20日に表示していたはずである が、コード内にエラーがあるため、このメッセージは表示さ れない。 Virus napsany specialne pro inzenyra ZAKA ze SPS***** **************Nepodlehejte panice、 mate nakazeno jen par souboru...(c) 1993 II.A 1988Tak a ted si vyzkousime treba: RESETKdyby kazdy nespokojeny studentnapsal virus、 tak v nasich skolach byani jiny software nekoloval a McAfee by se divil...After this the virus waits for a keypress and then resets themachine.The 1376 bytes long variant is nearly identical to theHelloween.1839 described above、 but it displays this message:Nesedte porad u pocitace a zkuste jednou delat neco rozumneho!****************** *!! Poslouchejte HELLOWEEN - nejlepsi metalovou skupinu !! 備  考: [HERO-394] 名  称:HERO-394 分  類:ファイル感染型 対  象:.EXE ウイルスサイズ:394バイト 発祥地:不明 発見日:不明 詳  細: 識別方法: システムの日付が各月の1日であれば発病し、画面に意味不 明なコードを表示する。 破壊:感染、増殖以外の活動はなし。 備  考: [HI] 名  称:HI 分  類:ファイル感染型 対  象:.EXE ウイルスサイズ:460〜895 発祥地:東欧 発見日:1992/08 詳  細:感染方法: 1)メモリに常駐していなければ、メモリに常駐する。 2)常駐後、オリジナルルーチンに戻る。 3)未感染のファイルが実行される度に感染する。 − ウイルスコード内に以下の文字列が含まれる: "Hi" 備  考: [HI!BOY] 名  称:HI!BOY 別  名:HIDE_AND_SEEK 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:709バイト 発祥地:不明 発見日:1993/08 詳  細:感染方法  感染ファイルが実行されると、以下のディレクトリにあ る.COMファイルに感染する。   カレントディレクトリ   ルートディレクトリ   Aドライブのルートディレクトリ  すべてのファイルに感染するわけではなく、1つのディレ クトリにつき2個の.COMファイルにだけ感染する。   損害  とくに破壊活動は行わないが、ファイルサイズが増加す る。 備  考: 直接感染型のウイルスであり、メモリーには 常駐しない。 [HICCUP] 名  称:HICCUP 別  名:COMP-3351 分  類:ファイル感染型 対  象:.EXE ウイルスサイズ:3351bytes 詳  細:実行手順: 1) Hiccupは、カレントディレクトリで.EXEファイルを探し ます。 2) ウイルス自体で構成される*.COM(隠しファイル)を作 成します。実行されるとき、*.COMファイルが実行され、元 のルーチンへ戻ります。 ダメージ: なし 症状:ファイルサイズは3351バイトです。 注  意: 1) メモリに常駐しません。 2) ウイルスファイルは圧縮され、圧縮解除(PKLITEと同 様)しない限り認識することはできません。 [HIDE] 名  称:HIDE 分  類:システム領域感染型 対  象:FD:ブートセクタ;HD:マスターブートレコード ウイルスサイズ:N/A 発祥地:不明 発見日:不明 詳  細:感染方法: 1)このウイルスに感染したフロッピーディスクでマシン の起動動作を行うとハードディスクのシステム領域(マス ターブートレコード)に感染する。 2)このウイルスに感染したハードディスクでマシンを起 動すると、メモリーに常駐してファイルの入出力を監視す る。 3)その後、書き込み可能なフロッピーディスクにアクセ スすると、そのディスクのブートセクタに感染する。 その他、特にウイルス自身による破壊活動はないものと思 われる。 [HIDER.2143] 名  称:HIDER.2143 別  名:MANIC.2143 分  類:ファイル感染型 対  象:.COM, .EXE ウイルスサイズ:2143 bytes 詳  細:HIDER.2143はメモリ常駐型ウイルスです。実行 するとメモリに常駐し、アクセスしたすべてのEXE とCOMに 感染します。 このウイルスはまたポリモフィック型でもあり、発見され にくいように、感染ごとにそのコードを変更します。感染 すると、システムのスピードが遅くなります。 感染したファイルを実行すると、.MS, .NTZ という拡張子 のファイルとVIR.DAT ,という文字がファイル名に含まれる ファイルを検索し、みつかったらこれを削除します。 [HIDER.2143-O] 名  称:HIDER.2143-O 別  名:MANIC.2143分  類:ファイル感染型 対  象:.COM, .EXE ウイルスサイズ:2143 bytes 詳  細:HIDER.2143-Oは、HIDER.2143のマザーウイルス です。マザーウイルスとは感染源となるために最初に作成 されたプログラムのことです。このため、HIDER.2143-Oの 駆除はできません。このマザーウイルスから感染したウイ ルスは、HIDER.2143として検出します。 HIDER.2143はメモリ常駐型ウイルスです。実行するとメモ リに常駐し、アクセスしたすべてのEXE とCOMに感染しま す。 このウイルスはまたポリモフィック型でもあり、発見され にくいように、感染ごとにそのコードを変更します。感染 すると、システムのスピードが遅くなります。 感染したファイルを実行すると、.MS, .NTZ という拡張子 のファイルとVIR.DAT ,という文字がファイル名に含まれる ファイルを検索し、みつかったらこれを削除します。 [HIGHLAND] 名  称:HIGHLAND 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:477バイト 発祥地:不明 発見日:不明 詳  細:感染方法: 1)メモリに常駐していなければ常駐する。 2)常駐後、オリジナルプログラムを実行する。 3)メモリに常駐し、未感染ファイルが実行される度に感染 する。   .EXEファイルには感染しない。 使用割り込み命令:INT 21h 破壊: システムの日付が各月29日になると、HIGHLANDウイルスに 感染したファイルは全て実行できなくなる。 備  考:メディアなどにライトプロテクト(書き込み禁 止処理)が施されている場合、プログラム実行時に"書き込 み不可"という意味のエラーメッセージを表示する。 [HITLER] 名  称:HITLER 分  類:ファイル感染型 対  象:.COM ウイルスサイズ:4808バイト 発祥地:不明 発見日:不明 詳  細:感染方法: 1)メモリに常駐していなければ上位メモリに常駐する。   常駐後、オリジナルルーチンに戻る。 2)未感染の.COM