名 称:I.LOVE.VIRUS
分 類:システム領域感染型
対 象:FD:ブートセクタ;HD:マスターブートレコード
発祥地:不明
発見日:不明
詳 細:感染方法:
1)このウイルスに感染したフロッピーディスクでマシンの
起動動作を行うとハードディスクのシステム領域(マスタ
ーブートレコード)に感染する。
2)このウイルスに感染したハードディスクでマシンを起動
すると、メモリーに常駐してファイルの入出力を監視す
る。その後、書き込み可能なフロッピーディスクにアクセ
スすると、そのディスクのブートセクタに感染する。
発病:
1)感染したディスクからマシンを起動すると画面に "I
love U"と表示する。
2)特に破壊活動等は行わないものと思われる。ただし感染
時にシステム領域を破壊してしまう可能性がある。
名 称:I-B
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:N/A
発祥地:不明
発見日:不明
詳 細:感染方法:
1)全ディレクトリから未感染.COMファイルを探し出して感
染する。
2)ファイルへの感染の有無に関わらず、システムの日付が
月曜日であればハードディスクのデータを全て破壊する。
破壊:
1)ハードディスクのデータを全て破壊することがある。
2)オリジナルファイルをウイルスコードで上書きするた
め、オリジナルプログラムが破壊される。
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、プログラム実行時に"書き込
み不可"という意味のエラーメッセージを表示する。
名 称:IB-DEMONIC
分 類:ファイル感染型
対 象:.COM
発見日:不明
詳 細:感染方法:
1)カレントディレクトリ内の.COMファイルを探し出す。
2)すでにIB-Demonicウイルスに感染していれば、他の未感
染.COMファイルを探す。
3)ディレクトリの全ての.COMファイルに感染する。
4)ファイルを実行すると、画面に "EXEC FAILURE" と表示
する。
5)システムの曜日が火曜日であれば発病し、C:ドライブ
”command.c0m”ファイルの拡張子を.c0m(c、ゼロ、m)に
変更する。(command.c0m)。
6)画面に "Error reading drive C:\ ... BillMeTuesday"
と表示する。
破壊:
"command.com" を "command.c0m" にリネームするため、コ
ンピュータを起動できない。
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、プログラム実行時に"書き込
み不可"という意味のエラーメッセージを表示する。
名 称:ICE-159
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:159バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
1)カレントディレクトリ内の未感染.COMファイルを探し出
す。
2)すでに感染していれば他の未感染ファイルを探す。
3)未感染ファイルがあれば1つずつ感染する。
破壊:
感染、増殖以外の活動はなし。
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、プログラム実行時に"書き込
み不可"という意味のエラーメッセージを表示する。
名 称:ICE-199
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:199バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
1) カレントディレクトリ内の.COMファイルを探し出す。
2)すでに ICE-199ウイルスに感染していれば、他の未感
染.COMファイルを探し出す。
3)一度に感染するファイルは1つだけ。
破壊:
感染、増殖以外の活動はなし。
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、"書き込み不可"という意味
のエラーメッセージを表示する。
名 称:ICE-224
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:224バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
1) カレントディレクトリ内の.COMファイルを探し出す。
2)すでにIce-224ウイルスに感染していれば、他の未感染.
COMファイルを探す。
3)一度に感染するファイルは1つだけ。
破壊:
感染、増殖以外の活動はなし。
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、プログラム実行時に"書き込
み不可"という意味のエラーメッセージを表示する。
名 称:ICE-250
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:250バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
1) カレントディレクトリ内の.COMファイルを探し出す。
2)すでにICE-250ウイルスに感染していれば、他の未感染.
COMファイルを探す。
3)一度に感染するファイルは1つだけ。
破壊:
感染、増殖以外の活動はなし。
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、"書き込み不可"という意味
のエラーメッセージを表示する。
名 称:ICELANDIC-3
別 名:SARATOGA
分 類:ファイル感染型
対 象:.EXE
ウイルスサイズ:642バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
1)感染したファイルを実行すると、メモリに常駐する。
2)常駐後は、未感染ファイルが実行されるたびに感染す
る。
3)カレントディレクトリ内の実行型ファイルを探し出し、
すべての.EXEファイルに感染する。
4).COMファイルには感染しない。
発病:
感染した.EXEファイルは642バイト増加する。
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、プログラム実行時に"書き込
み不可"という意味のエラーメッセージを表示する。
名 称:IERNIM
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:570または600バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
1)メモリに常駐していなければ上位メモリに常駐する。
2)常駐後、オリジナルルーチンを実行する。
3)未感染の.COMファイルをがあれば感染する。
4)常に現在の時刻をチェックして、ランダムな時刻に以
下のようなメッセージを表示する。
"Mulier pulchra est janua diaboli 、 ..via iniquitatis
、 scorpionis percussio . .St. Ieronim.."
使用割り込み命令:
INT 21H、INT 08h
破壊:
感染、増殖以外の活動はない。
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、プログラム実行時に"書き込
み不可"という意味のエラーメッセージを表示する。
名 称:IERO-512/560
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:512または560バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
1)メモリに常駐していなければ常駐する。
2)常駐後、オリジナルルーチンを実行する。
3)未感染の.COMファイルをがあれば感染する。
4)常に現在の時刻をチェックして、ランダムな時刻に
以下のようなメッセージを表示する。
"Mulier pulchr aest janua diab oli 、 ..via iniq
uitatis、 scorpion is percussio. .St. Ieronim.."
使用割り込み命令:
INT 21H、INT 08h
破壊:
感染、増殖以外の活動はなし。
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、プログラム実行時に"書き込
み不可"という意味のエラーメッセージを表示する。
名 称:ILL
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:1016バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
カレントディレクトリ内の未感染.COMファイルを探し出し
て1つずつ感染する。
破壊:
感染、増殖以外の活動はなし。
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、プログラム実行時に"書き込
み不可"という意味のエラーメッセージを表示する。
名 称:IN83-584
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:584バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
1)メモリに常駐していなければ常駐する。
2)常駐後、オリジナルルーチンを実行する。
3)未感染の.COMファイルが実行される度に感する。
使用割り込み命令:
INT 21h、INT 24h
破壊:
感染、増殖以外の活動はなし。
名 称:INCA-B
分 類:システム領域感染型
対 象:Windows 9X
詳 細:このブート型ウイルスは、PE_INCAウイルスがシ
ステム領域に感染したときに検出されるものである。PE_
INCAは複合感染型ウイルスで、Peファイル、COMファイル,
FDのブート領域に感染するウイルスである。通常、HDDのシ
ステム領域に感染することはせず、FDのブートセクタに感
染する。
FDのブートセクタに感染したのち、PEファイル等に感染す
るために、Windowsのシステムディレクトリにウイルスの複
製ファイルを作成する。さらに、System.iniを書き換え
て、マシン起動時に必ずウイルス・プログラムが実行され
るように設定する。
実行されたウイルスはメモリに常駐し、以後アクセスした
ファイルに感染することが可能になる。
名 称:INFECTOR
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:820〜830バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
カレントディレクトリ内の未感染.COMファイルを探し出
し、1つずつ感染する。
破壊:
感染、増殖以外の活動はなし。
備 考:ウイルスプログラム自体に欠陥があるため、感
染したほとんどのファイルは実行できない。
メディアなどにライトプロテクト(書き込み禁止処理)が
施されている場合、プログラム実行時に"書き込み不可"と
いう意味のエラーメッセージを表示する。
名 称:INTRUD-B
分 類:ファイル感染型
対 象:.EXE
ウイルスサイズ:1225バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
1)カレントディレクトリ内の.EXEファイルを探し出す。
2)すでにIntrud-Bウイルスに感染していれば他の未感染.
EXEファイルを探す。
3)一度に感染するファイルは1つ。
4)最後にオリジナルファイルを実行する。
破壊:
感染、増殖以外の活動はなし。
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、プログラム実行時に"書き込
み不可"という意味のエラーメッセージを表示する。
名 称:INVISIBLE MAN
分 類:複合感染型
対 象:FD:ブートセクタ;HD:マスターブートレコード;.
COM;.EXE
ウイルスサイズ:2926バイト(File)、3456バイト(Memory)
発見日:不明
詳 細:感染方法:
ファイルに感染したり、感染ディスクから起動させること
で広がっていく。
感染方法が何通りかある。
INVISIBLE MAN に感染したプログラムを実行すると、
A. ハードディスクのパーティションテーブルに感染する。
1)使用中のハードディスクの最後7セクタにウイルスコ
ードを書き込む。
2)使用中のハードディスクの使用可能な部分が7セクタ
減る。
3)ウイルスのローダがパーティションテーブルに書き込
まれる。このセクタは暗号化される。
B. ブートセクタを書き換える。
表示される全セクタ数を、感染前より7つ少なくする。
破壊:メッセージを表示し、システムスピーカを使って音
を鳴らす。
特徴:ハードディスクの最後7セクタ分のデータが失われ
る。
次のようなメッセージを表示する。
"I’m the invisible man、 I’m the invisible man、
Incredible how you can See right through me."
また、システムのスピーカを使って音を鳴らす。
名 称:INVISIBLE_MAN
別 名:INVISIBLE, INVISIBLE MAN, INVISIBLE MAN.
2926, INVISIBLE.29226/3223, INVISIBLE.2926,
INVISIBLE.A, INVISIBLE.MP.2926, INVISIBLE_MAN.2926,
INVISIBLE_MAN-1
分 類:複合感染型
対 象:.COM、.EXEファイル、ブートセクタ、パーティシ
ョンテーブル
ウイルスサイズ:2926bytes
発祥地:イタリア
発見日:1992/10
詳 細:Invisible_Manは、ポリモフィックス、複合感染
型ウイルスです。
感染方法:
1)COMとEXEファイル、ハードディスクのパーティションテ
ーブルおよびディスケットのブートセクタに感染します。
2)感染は、感染しているファイルが実行されるかまたは感
染しているディスケットからシステムが起動されるときに
起きます(起動シーケンスが完了する必要はありません。そ
の場合でも、ウイルスは感染します。
3)ウイルスは、実行されると、ウイルスプログラムをメモ
リへロードします。
4)メモリに常駐すると、ウイルスは、あらゆるプログラム
ファイルまたはアクセスされる書込み保護されていないデ
ィスケットに感染します。
5)感染に加えて、Invisible_Manは、COMファイルとEXEフ
ァイルをトロイの木馬プログラムにすることにより、それ
らを破壊します。
6)これらの「トロイの木馬」プログラムが実行されると、
Queenによる歌「Invisible Man」が再生され、次の叙情詩
が表示されます。
I’m the invisible man、
I’m the invisible man、
Incredible how you can
See right through me.
I’m the invisible man、
I’m the invisible man、
It’s criminal how I can
See right through you.
名 称:INVOL
別 名:INVOLB, INVOLUNTARY
分 類:ファイル感染型
対 象:.EXE、.SYS
ウイルスサイズ:1350/60バイト(.EXE)、2720バイト(.
SYS)
詳 細:感染方法: 感染ファイルを実行すると、ウイル
スはメモリにロードされます。
実行手順:
.EXEファイルの場合:
1) c:\CONFIG.SYSを探します。コマンドが*.*=xxxx.yyyで
あれば、xxxx.yyyファイルに感染します。
2) 元のファイルを実行します。
3) 未感染のファイルが実行されると、感染します。
.SYSファイルの場合:
1) INT 21hをフックし、メモリに常駐します。
2) 元のファイルを実行しま
ダメージ:
毎月20日に、ハードディスクのデータを破壊します。
検出方法:感染した.EXEファイルは1350バイト、.SYSファイ
ルは2720バイト増加します。
注意:
感染する時に、INVOLはINT 24hをフックします。I/Oエラ
ーが発生した場合、エラーメッセージが表示されます。
名 称:INVOL-1
分 類:ファイル感染型
対 象:.EXE;.SYS
ウイルスサイズ:1350バイト(.EXE)、2720バイト(.SYS)
発祥地:不明
発見日:不明
詳 細:感染方法:
.EXEファイルの場合:1)"C:\CONFIG.SYS" の先頭コマンド
を検索して、コマンドが*.*=xxxx.yyyの書式であれば感染
する。
2)その後、オリジナルファイルを実行する。
3)未感染ファイルが実行される度に感染する。
.SYSファイルの場合 :
1)メモリに常駐する。
2)常駐後、オリジナルファイルを実行する。
破壊:
システムの日付が各月の20日であれば、ハードディスクの
データを全て破壊する。
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合でも、プログラム実行時に"書
き込み不可"という意味のエラーメッセージを表示しない。
名 称:IONK-2371
別 名:LONKIN
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:2371バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
次の2つの方法のどちらかを無作為に選んで実行する。
1)カレントディレクトリ内の未感染.COMファイルを探し出
し、1つずつ感染する。(ファイル感染の有無に関わらず、
オリジナルプログラムを実行する。)
2)ICONKIN.COM という名前でカレントディレクトリにファ
イルを作成して実行する。(感染はしない。何かキーを押
すまで小さなウインドウを表示する。しばらくするとウイ
ンドウはまた現れる。ウインドウが表示されているあいだ
はコンピュータの操作ができない。)
破壊:
感染、増殖以外の活動はなし。
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、プログラム 実行時に"書き
込み不可"という意味のエラーメッセージを表示する。
名 称:IRISH-3
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:1164バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
1)メモリに常駐していなければ常駐する。
2)常駐後、オリジナルルーチンを実行する。
3)未感染の.COMファイルをがあれば感染する。
4)未感染の.EXEファイルがあった場合、そのファイルと同
じ名前で2000〜4000バイトの.COMファイルを新しく作成す
る。 この新しい.COMファイルがウイルス本体となる。
使用割り込み命令:
INT 21H
破壊:
感染、増殖以外の活動はなし。
識別方法:
感染ファイルは1164バイト増加する。
備 考:1)システムの日付が11月21日であれば、時間を
カウントして、数分後に次のようなメッセージを表示す
る。
"Virus V2.0 (c)1991 Necros The HacherWritten on 29、
30June............................................
............"2)メディアなどにライトプロテクト(書き
込み禁止処理)が施されている場合、プログラム実行時に"
書き込み不可"という意味のエラーメッセージを表示する。
名 称:ISRAELI
別 名:FALLING LETTERS BOOT, SWAP
分 類:ファイル感染型
対 象:FD:ブートセクタ;HD:マスターブートレコード
発祥地:イスラエル
発見日:1989/08
詳 細:感染方法:
1)ハードディスクのトラック39、セクター6と7に不良クラ
スターを書き込む。もし、この部分が他に使われてるば場
合には感染しない。
2)ウィルスコードサイズは740byteしかないが、2Kのサイ
ズでメモリーに常駐する。
3)常駐10分後、CascadeやTracebackと同じようにスクリ
ーン上の文字を落下させる。
4)アクセスしたフロッピーディスクのブートセクターに感
染する。
5)名前の由来はトラック39、セクター7の"007B-00E4"に
以下の文字列があるため。
”The Swapping-Virus. (C) June、 1989 by the CIA"
5)新しく感染したディスクには上記のフレーズが見られな
い。
名 称:ITTI-A
分 類:ファイル感染型
対 象:.COM
詳 細:感染方法:
1)カレントディレクトリ内の.COMファイルを探し出す。
2)すでにITTI-Aウイルスに感染していれば他の未感染.COM
ファイルを探す。
3)一度に感染するファイルは1つだけ。感染ファイルを実
行すると、
".EXEC FAILURE"というメッセージを表示する。
4)未感染.COMファイルに感染できない場合、カレントディ
スクのデータを全て破壊する。
破壊:
1)オリジナルファイルを上書きするため、ファイルのサイ
ズは変わらない。
2)未感染.COMファイルに感染できない場合、カレントディ
スクのデータを全て破壊する。
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、"書き込み不可"という意味
のエラーメッセージを表示する。
名 称:ITTI-B
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:N/A
発祥地:不明
発見日:不明
詳 細:感染方法:
1)カレントディレクトリ内の未感染.COMファイルを探し出
す。
2)すでにITTI-Bウイルスに感染していれば他の未感染.COM
ファイルを探す。
3)一度に感染するファイルは1つだけ。
4)未感染.COMファイルに感染できない場合、カレントディ
スクのデータを全て破壊する。
破壊:
1)オリジナルファイルを上書きするため、ファイルのサイ
ズは変わらない。
2)未感染.COMファイルに感染できない場合、カレントディ
スクのデータを全て破壊する。
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、"書き込み不可"という意味
のエラーメッセージを表示する。
名 称:IVP
分 類:ファイル感染型
対 象: .COM
ウイルスサイズ:927バイト
発祥地:不明
発見日:不明
詳 細:感染方法 :
メモリーには常駐せず、ファイル感染時に割り込み要求を
使用する。
症状:
1)感染ファイルが実行できなくなる。
2)書き込み禁止処理等のI/Oエラーを削除する。
3)感染ファイルは927バイト増加。