G2_DROPPER


名  称:G2_DROPPER

分  類:その他

ウイルスサイズ:N/A

発祥地:不明

発見日:不明

詳  細: これはウイルスを生成するプログラムであ
り、感染はしない。実行されると、ファイル感染型のウイル スを作成しはじめる(ただし、G2.DATファイルがないと、 うまく実行されない)。このとき、ユーザは以下の特性を 独自に設定できる。 1.ウイルス名 2.作者名 3.暗号化する/しない 4.デバッグを無効にする機能を使う/使わない 5.感染対象となるファイルサイズ(最小値と最大値を設 定する) 6.感染するファイル数(最大値を設定する) 7.感染ファイルの種類(.COMファイル/.EXEファイル) 8.COMMAND.COMに感染する/しない 9.発病日(発病日に実行すると、ハードディスクをフォ ーマットする)

G2-118-1


名  称:G2-118-1

別  名:MPCA, PS-MPC

分  類:ファイル感染型

対  象:.COM

ウイルスサイズ:422Bytes

発祥地:不明

発見日:不明

詳  細:このウイルスはシンプルな直接感染型のウイル
スで、.COMファイルに感染する。
感染方法:
- 感染したファイルを実行すると、カレントディレクトリ のすべての.COMファイルに感染し、その後、ホストプログラ ムのコードを実行する。 - このウイルスはメモリに常駐しない。感染するときは、. COMファイルの真ん中にウイルスコードを付け加える。また、 感染対象のファイルの最初の3バイトを書き換えて、先にウ イルスコードが実行されるように修正する。 - ウイルスコードは一部暗号化されている。
損害:
- ウイルスコードをコピーする以外特に破壊活動はない。
備  考:感染したファイルはサイズが422バイト増加する

G2-78-1


名  称:G2-78-1

分  類:ファイル感染型

対  象:.com

詳  細:これは16bit OS用に書かれたウイルスで、他の
ファイルに感染する以外の動作は何も行いません。ステル ス行動や暗号化行動もありません。 しかしこのウイルスに感染したファイルは、一番後ろにコ ードが付け足されます。このコードはとても複雑に作られ ており、さらに、バグがあるため、ウイルスを駆除するこ とができません。この意味ではこのウイルスはとても破壊 的です。

GALICIA


名  称:GALICIA

別  名:ANTI-TEL, CAMPANA, GALICIA.800, KAMPANA.MP.
800, KAMPANA-800, TELEFONICA
分  類:システム領域感染型

対  象:FD:ブートセクタ;HD:マスターブートレコード

ウイルスサイズ:N/A

詳  細:Galiciaは、システム領域に感染するウイルスで
す。 ハードディスクのパーティションテーブルとフロッピーデ ィスクのブートセクタに感染します。 感染は、ウイルスに感染しているディスケットからシステ ムが起動されるときに起きます。起動シーケンスが完了し ている必要はありません。その場合でも、ウイルスは感染 します。 感染に加えて、Galiciaにはペイロードが含まれています。 5月22日の午前12時に次に示すメッセージを表示します。 Galicia contra telefonica!

GALILEO


名  称:GALILEO

分  類:ファイル感染型

対  象:.COM;.EXE

ウイルスサイズ:760バイト

発祥地:不明

発見日:不明

詳  細:感染方法:
1)システムの日付が月曜日であれば、ハードディスクのデ ータを全て破壊する。 2)カレントディレクトリ内の未感染.COMまたは.EXEファイ ルを探し出す。 3)カレントディレクトリ内の未感染の.COM及び.EXEファイ ルに感染する。
破壊:
システムの日付が月曜日であれば発病し、ハードディスク のデータを全て破壊する。
使用割り込み命令:INT 24h

備  考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合でも、プログラム実行時に"書 き込み不可"という意味のエラーメッセージを表示しない。

GANEU


名  称:GANEU

分  類:ファイル感染型

対  象:.COM;.EXE

ウイルスサイズ:1527バイト(.COM),1531〜1547バイト(.
EXE)
発祥地:不明

発見日:不明

詳  細:感染方法:
−感染ファイルを実行すると、メモリに常駐する。 −常駐後、ファイルを実行すると、カレントディレクトリ を検索して、発見した最初の未感染の.COMまたは.EXEファ イルに感染する。 −.COMファイルの場合は、2、500バイト以上から62、000バイ ト未満、.EXEファイルの場合は、4、090バイト以上のファイ ルに感染する。
発病:
−メモリ常駐後、ファイルを実行した日が5月17日場合、ビ ープ音に続き以下のメッセージをゆっくり表示して、シス テムをハングさせる。  "Beware of the BUG !!!" −上記のメッセージは暗号化されている。
−カレントドライブがA:またはB:の場合は感染しな
い。

GENERIC


名  称:GENERIC

分  類:システム領域感染型

対  象:FD:ブートセクタ;HD:マスターブートレコード

詳  細:−「Generic」ウイルスとは、フロッピーのブ
ートセクタまたはハードディスクのパーティション・テ ーブルに感染したシステム領域感染型の未知ウイルス(ユ ーザが使用したパターンファイルに情報が含まれていない ウイルス)を意味する。 したがって、これは特定ウイルスを差しているのではな く、「検索によるシステム型未知ウイルス発見機能」によ って新種ウイルスなどが発見された場合にも表示される。 −そのため、実際にはウイルスではなく、何らかの原因に よってFDのブートセクタやHDのパーティションテーブ ル内のコードが書き換わってしまった状態や、通常とは違 った常駐方式を取るデバイスドライバなどを「ウイルスの 可能性あり」として発見している場合もある。 Windows95システム上でGenericウイルス発見の警告があっ た場合には、まず以下の点を確認する。
1)ウイルス発見場所:
発見場所が「メモリ中」、「HDのシステム領域」、「F Dのブートセクタ」のいずれであるかを確認。
2)「ファイルシステム」と「仮想メモリ」の状態:
「システムのプロパティ」から「パフォーマンス」のメニ ューを参照する。「パフォーマンスの状態」の「ファイル システム」と「仮想メモリ」の表示が「32ビット」である 場合、ウイルス感染の可能性は低い。表示が「MS−DOS互換 モード」になっている場合は実際のウイルス感染の疑いが ある。
備  考:【Generic発見回避処理】

1)「FDのブートセクタ」発見の場合:
 FD内のファイルをすべてバックアップし、FDをフォ ーマットします。
2)「HDのシステム領域」発見の場合:
注)ウイルスの駆除はいつの場合にも、必ず成功するとは 限りません。万が一の場合を考え、重要なデータは必ずバ ックアップをお取りいただいた上で下記作業を行ってくだ さい。 HDに対してMBR(マスターブートレコード)の初期化を 行います。 「Windows95起動ディスク」でシステムを起動し、コマン ドプロンプトから下記を実行して下さい。
  A:\> FDISK /MBR
数秒しますとすぐコマンドプロンプトに戻りますので、フ ロッピーを抜いてマシンの電源を落として下さい。
3)「メモリ中」発見の場合:
デバイスドライバなど何らかのプログラムの常駐をGeneric として発見している可能性があります。 Adaptec社製「EZ-DRIVE」など、一般にシステムに変更を加 えるプログラムである場合が多いです。 config.sys、autoexec.batなどにおいて組み込まれている ドライバやプログラムをチェックし、常駐プログラムから はずしていただく、ドライバを組み込む順番をご変更いた だくなどの対応を行って見てください。上記のようなプロ グラムを特にご使用いただいてない場合は、念のため重要 なデータのバックアップをお取りいただいた上で、 2)
「HDのシステム領域」発見の場合: の作業を行って見
てください。

GENERIC_408


名  称:GENERIC_408

別  名:B1, NYB, STONED.I

分  類:システム領域感染型

対  象:FD:ブートセクタ;HD:マスターブートレコード

ウイルスサイズ:N/A

発祥地:不明

発見日:不明

詳  細:感染方法:
−このウイルスに感染したフロッピーディスクでマシンの 起動動作を行うとハードディスクのシステム領域(マスタ ーブートレコード)に感染する。 −このウイルスに感染したハードディスクでマシンを起動 すると、メモリーに常駐してファイルの入出力を監視す る。その後、書き込み可能なフロッピーディスクにアクセ スすると、そのディスクのブートセクタに感染する。
発病:
−トリガらしきものがあるが、タイミングを満たさない。 また、発病らしきルーチンがあるが特に被害はないように 思われる。 −フロッピーディスクに感染する場合、オリジナルのブ ートセクタをルートディレクトリエントリの最終セクタに 保存する。そのため、感染時にデータの一部が破壊されて しまう場合がある。 −ステルス型なので、ウイルス常駐後ではウイルスコード を書き込んであるセクタにアクセスできない。また、フロ ッピーディスクのフォーマット時にエラーが発生しフォ ーマットできなくなる場合がある。

GENERIC_437


名  称:GENERIC_437

別  名:BOOT-437

分  類:システム領域感染型

対  象:FD:ブートセクタ;HD:ブートレコード

ウイルスサイズ:N/A

発祥地:不明

発見日:不明

詳  細:感染方法:
−このウイルスに感染したフロッピーディスクでマシンの 起動動作を行うとハードディスクのシステム領域(ブート レコード)に感染する。 −このウイルスに感染したハードディスクでマシンを起動 すると、メモリーに常駐してファイルの入出力を監視す る。その後、書き込み可能なフロッピーディスクにアクセ スすると、そのディスクのブートセクタに感染する。 −このウイルスは、他のシステム領域感染型ウイルスと違 い、ハードディスク上のマスタブートレコードではなく、 ブートレコードに感染する。他には「Form」が同じタイプ のウイルスである。
発病:
−文字列な発病ルーチンはないため、感染のみのウイルス である。 −フロッピーディスクに感染する場合、オリジナルのブ ートセクタをルートディレクトリエントリの最終セクタに 保存する。そのため、感染時にデータの一部が破壊されて しまう場合がある。

GEOFF


名  称:GEOFF

分  類:トロイの木馬型

対  象:なし

ウイルスサイズ:5952バイト

発祥地:不明

発見日:不明

詳  細:
− 感染行動を伴わない「トロイの木馬」。 − 破壊活動を行う前に、  " Search And Destroy Loading v1.0    Bringing The Best And Latest Warex.......   Press [ENTER] to Start The Game." と表示する。 − 使用可能なドライブの全てのデータを破壊する。 − 破壊活動後、  " Hey Geoff You know what happened a few days ago?  Some friend asked me to get rid of you、........   P.S. I have nothing personal against you!   You just FUCKED with the Cold Brother and I had to take you down、again" と表示する。
備  考:

GERGANA


名  称:GERGANA

別  名:GERG

分  類:ファイル感染型

対  象:.COM;.EXE

ウイルスサイズ:182〜450バイト

発祥地:不明

発見日:不明

詳  細:− カレントディレクトリ内の未感染のファイ
ルに感染する。
− ウイルスコード内に以下の文字列を持つ:
GERGANA Happy 18th Birthday
破壊:感染、増殖以外の活動はなし。

備  考:

GETIT


名  称:GETIT

別  名:GETIT.754, LOGIN THIEF TROJAN, QNPC.GETIT.
754
分  類:トロイの木馬型

対  象:DOS

ウイルスサイズ:754バイト

詳  細:-
 これはいわゆるトロイの木馬です。他のファイルに感染 することはありません。一個のプログラムのため、「駆 除」は行えません。ファイルごとの削除となります。  ユーザーがこのプログラムを不注意に実行すると、この トロイの木馬は割りこみ命令を駆使して、メモリーに常駐 します。常駐後、"LOGIN"という文字列を含んだファイル名 のプログラム/コマンドが実行されると発病します。  
発病:
 発病するとまず、"testing.tmp"というファイル名の隠し ファイルを作り、コマンドラインから入力された文字列を すべて記録します。  次にDIRコマンドを実行に対して割りこみをかけ、DIRコ マンドを実行してもカレントディレクトリが空である旨の 表示をさせユーザーを混乱させます。

GHOST PLAYER


名  称:GHOST PLAYER

分  類:ファイル感染型

対  象:.EXE

ウイルスサイズ:1200バイト

発祥地:不明

発見日:不明

詳  細:感染方法:
ファイルに感染して広まる。Ghost Playerウイルスに感染 したプログラムを実行すると、DOSのバージョンが3以降で かつデフォルトディスクのシリアル番号がゼロの場合の み、オリジナルプログラムを実行する。条件に合わなけれ ば、MCB (memory control block)上位で、DOS 640k境界下 の部分に常駐する。空きメモリが1200 (4B0H)バイト減少す る。
破壊:感染ファイルは増加する。

特徴:空きメモリが減少する。1/65280の確率で次のような
メッセージを表示する。 " ! y Bumpy~ (R)Ghost Player " さらに、画面が上下にシフトして揺れる。
備  考:以下のような名前のファイルには感染しない。
"TB*.???" 、"F-*.???" 、"CP*.???" 、"NA*.???" 、"SC* .???" "CL*.???" or "V*.???".

GHOST-A


名  称:GHOST-A

分  類:ファイル感染型

対  象:.COM

ウイルスサイズ:330バイト

発祥地:不明

発見日:不明

詳  細:感染方法:
1)メモリに常駐していなければ常駐する。 2)その後、オリジナルプログラムを実行する。 3)メモリに常駐し、未感染のファイルが実行される度に感 染する。
破壊:
常駐後、システムの日付が金曜日であれば、実行したファ イルを削除してシステムをハングする。
備  考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、"書き込み不可"という意味 のエラーメッセージを表示する。

GINGER.2774


名  称:GINGER.2774

別  名:BADSEED, GINGER, GINGERBREAD, GINGERBREAD
MAN, PEANUT, RAINBOW
分  類:複合感染型

対  象:FD:ブートセクタ;HD:マスターブートレコード;.
COM;.EXE
ウイルスサイズ:2〜3KB

発祥地:オーストラリア

発見日:1993/03

詳  細:− 感染ファイルを実行するとメモリに常駐
し、ハードディスクのMBRに感染しする。 − 一度ハードディスクのMBRに感染すると次回以降の起動 時にメモリに常駐する。 − 常駐後実行されたファイルに感染する。 − ウイルスのステルス行動により、MBRの情報が確認でき ない。
− ウイルスコード内に以下の文字列を含む:
PTT (You can’t catch the Gingerbread Man! Bad Seed - Made in OZ! COMSPEC= CHKDSK MEM 10/23/92
破壊:
− ハードディスクへの感染時にパーティションテーブル の情報を破壊する。このため、FDのシステムから起動する とシステムクラッシュを引き起こす。パーティションテ ーブルの破壊は修復できない。
備  考:システム感染の部分は「Ginger.2774-B」で発見
される。

GOLD


名  称:GOLD

分  類:ファイル感染型

対  象:.COM;.EXE

ウイルスサイズ:612バイト

発祥地:不明

発見日:不明

詳  細:感染方法:
1)メモリに常駐していなければ、上位メモリに常駐す る。 2)常駐後、オリジナルルーチンに戻る。 3)未感染の.COMまたは .EXEファイルが実行されると感染 する。 4)感染後、50%の確率でオリジナルルーチンに戻る。 そのほかの場合、画面に文字をランダムに表示してオリジ ナルルーチンを実行せずに終了する。
破壊:感染、増殖以外の活動はなし。

使用割り込み命令:INT 21H

備  考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、プログラム実行時に"書き込 み不可"という意味のエラーメッセージを表示する。

GOLDBUG


名  称:GOLDBUG

分  類:複合感染型

対  象:FD:ブートセクタ;HD:マスターブートレコード

ウイルスサイズ:1024バイト

発祥地:不明

発見日:不明

詳  細:感染方法:
− DOSのバージョン5.0もしくは6.*のある環境で拡張( HMA)メモリに常駐する。 − このウイルスに感染した.EXEプログラムを実行する と、CPUが80186以下であればプログラムを終了する。CPUが 80186以上であればハードディスクのパーティションテ ーブルに感染し、HMA (High Memory Area)が有効であれば (CONFIG.SYSにDOS=HIGHが記述されている場合は)同メモ リエリアに常駐する。 − その後、感染 ファイルのオリジナルコードを実行す る。ウイルスの感染機能はこの時点では働いていない。
破壊:
− GoldBugウイルスは、ウイルス対策製品を回避するさま ざまなルーチンを持つ。 − Gold-Bugウイルスがメモリ常駐していると、ほとんど のウイルス検索プログラムを強制終了する。Gold-Bugウイ ルスはファイル名の末尾に"A*"(*はNからZまでのアルファ ベット)をもつ、64Kバイト以上の大きな.EXEファイルの動 作を阻止する。その結果、SCAN.EXE、CLEAN.EXE、NETSCAN. EXE、CPAV.EXE、MSAV.EXE、TNTAV.EXE等のファイルは動作 を強制終了させられる。 − ウイルス検索プログラムは、削除されるか、実行エラ ーの戻り値を返される。またシステム再起動後は、CMOSの チェックサムにはエラーが発生するようになる。 "CPAV.EXE"と"MSAV.EXE"により作成された"CHKLIST.???"フ ァイルは自動的に全て削除されるのでCPAVとMSAVのチェッ クサム機能が使用できない。
特徴:
− CMOSのチェックサムがエラーとなる。拡張子なしのフ ァイルを作成し、モデムも呼出し音が7回鳴るまで応答し ない。ほとんどの検索ソフトは実行できないか削除され る。また、CHKLIST.??? ファイルも削除される。
使用割り込み命令:INT 21h、INT 13h

備  考:− このウイルスが作成する.EXEファイルで変
化しない部分は2バイトのみ。128通りの暗号化パターンを 持つ。2重の解読方式が使われており、デバッガによる解読 はかなり難しい。512通りの1次暗号化機能をもつアセンブ リコードがある。2次暗号化機能は、それぞれ128通りある。

GOMB


名  称:GOMB

分  類:ファイル感染型

対  象:.COM

ウイルスサイズ:4093バイト

発祥地:不明

発見日:不明

詳  細:感染方法:
1)メモリに常駐していなければ、上位メモリに常駐す る。 2)常駐後、オリジナルルーチンに戻る。 3)未感染の.COMファイルが実行される度に感染する。
破壊:感染、増殖以外の活動はなし。

使用割り込み命令:INT 21H

GORLOVKA


名  称:GORLOVKA

分  類:ファイル感染型

対  象:.COM;.EXE

ウイルスサイズ:なし

発祥地:不明

発見日:不明

詳  細:感染方法:
1)ウイルスがメモリに常駐していれば、 "Tracing mode has been destroyed." と表示する。 2)常駐していなければ、メモリ上位に常駐し、 "Tracing mode has been destroyed." と表示する。 3)未感染の.COMまたは.EXEファイルが実行される度に感 染する。
破壊:オリジナルファイルをウイルスコードで上書きする
ためファイルが破壊される。
使用割り込み命令:INT 21H、INT 24h

備  考:感染ファイルのサイズは増加しない。

GOT732-1


名  称:GOT732-1

別  名:GOTCHA

分  類:ファイル感染型

対  象:.COM;.EXE

ウイルスサイズ:732KB

発祥地:不明

発見日:不明

詳  細:「GOTCHA」ウイルスの亜種。

感染方法:1)メモリに常駐していなければ、最上位メモリ
に常駐する。2)その後、オリジナルプログラムを実行す る。3)メモリに常駐し、未感染のファイルが実行される度 に感染する。ファイルをリネーム、属性変更、検索、削除 した場合にも感染する。
− ウイルスコード内に以下の文字列を含む:
"GOTCHA!"
破壊:感染、増殖以外の活動はなし。

備  考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合でも、プログラム実行時に"書 き込み不可"という意味のエラーメッセージを表示しない。

GOTCHA


名  称:GOTCHA

別  名:GOT732, GTC

分  類:ファイル感染型

対  象:.COM;.EXE

ウイルスサイズ:627〜906byte

発祥地:東欧

発見日:1991

詳  細:感染方法:
1)メモリに常駐していなければ、最上位メモリに常駐す る。 2)その後、オリジナルプログラムを実行する。 3)メモリに常駐し、未感染のファイルが実行される度に感 染する。 ファイルをリネーム、属性変更、検索、削除した場合に も感染する。
− ウイルスコード内に以下の文字列を含む:
"GOTCHA!"
破壊:感染、増殖以外の活動はなし。

備  考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合でも、プログラム実行時に"書 き込み不可"という意味のエラーメッセージを表示しない。

GOTCHA-2


名  称:GOTCHA-2

分  類:ファイル感染型

対  象:.COM;.EXE

ウイルスサイズ:627バイト (.COM)、527バイト (.EXE)

発祥地:不明

発見日:不明

詳  細:感染方法:
1)メモリに常駐していなければ、最上位メモリに常駐す る。 2)その後、オリジナルプログラムを実行する。 3)メモリに常駐し、未感染のファイルが実行される度に感 染する。ファイルに感染する前に、ファイル名を参照す る。
破壊:感染、増殖以外の活動はなし。

使用割り込み命令:INT 21h、INT 24h

備  考:1)Gotcha-2ウイルスはファイルに感染する際
に「Ctrl」+[Break]機能を無効にする。 2)メディアなどにライトプロテクト(書き込み禁止処 理)が施されている場合でも、プログラム実行時に"書き込 み不可"という意味のエラーメッセージを表示しない。

GP1/NOVELL


名  称:GP1/NOVELL

分  類:ファイル感染型

対  象:.COM;.EXE

ウイルスサイズ:1557バイト(.EXE)、1845バイト(.
COM)
発祥地:ヨーロッパ

発見日:1991

詳  細:感染方法:
1)メモリに常駐していなければ常駐する。 2)その後、オリジナルプログラムを実行する。 3)メモリに常駐し、未感染のファイルが実行される度に感 染する。ファイルに感染する前にファイル名を参照する。
特徴:
ウイルスがメモリに常駐しており、コマンドラインの最初 の文字が "i" 以外の場合、ウイルスは自動的にメモリから 取り除かれる。(ウイルスが一番最後にメモリ常駐してい る場合のみ。) ウイルスが取り除かれた後、 "GP1 Removed from memory." というメッセージが表 示される。
破壊:
Jerusalemウイルスを改変したウイルス。 ユーザが最小限の特権しかもっていなくても、Novellのセ キュリティを突破してネットワーク内部で増殖することを 目的として作成されたと思われる。 NovellのLOGINを監視してそのセキュリティをかわす以外 に、発病行動は特にない。

GREENCAT


名  称:GREENCAT

別  名:1575, 1591, CATERPILLAR, GREEN CATERPILLAR,
GREEN.CAT.2, GREENCAT-1
分  類:ファイル感染型

対  象:.COM;.EXE

ウイルスサイズ:1577〜1591バイト

発祥地:台湾

発見日:1991/01

詳  細:感染方法:
−感染ファイルを実行するとメモリーに常駐しCOMMAND.COM に感染する。 −常駐後、DOSの"Dir"または"Copy"コマンドを実行する と、.COMと.EXEファイルの最後にウィルスコードを追加し てに感染する。 −常駐後に、プログラムを実行しても、そのファイルには 感染しない。 −感染ファイルのタイムスタンプが感染日に変更される。
発病:
−一定の時間が経過してから感染ファイルを実行すると、 緑色の青虫が画面上の文字を食いつぶしながら横切る。恒 久的なダメージは与えない。
変種:

1575-B: 機能的には 1575 と同じであるが、以下の点が異
なる。システム・メモリ上部に常駐し、その領域を保護す る。
1575-C: 1575-Bと同じであるが、実行したファイルに感染
する。更に、DOSのDIRやCOPYコマンドを使用してもファイ ルに感染する。COMMAND.COMが感染したシステムでは、シス テムがハングする。
1575-D: 感染ファイルを実行すると、Cドライブのcommand.
comに感染する。その後、システムをCドライブから起動す ると、ウィルスはメモリに常駐し、COPYコマンドやDIRコマ ンドを実行する度に、ファイルに感染する。画面上にグラ フィックの毛虫("caterpillar")が表示されて、スクリ ーン上の文字を全て食べることから、この変種は "Green Caterpilllar"とも呼ばれる。

GROG31


名  称:GROG31

分  類:ファイル感染型

対  象:.COM

ウイルスサイズ:1200バイト

発祥地:不明

発見日:不明

詳  細:感染方法:
1)メモリに常駐していなければ常駐する。その後、オリジ ナルプログラムを実行する。   常駐していればそのままオリジナルプログラムを実行す る。 2)COMMAND.COMが感染していなければ感染し、その後オリ ジナルプログラムを実行する。 .EXEには感染しない。
破壊:感染、増殖以外の活動はなし。

使用割り込み命令:INT 21h、INT 24h

備  考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合でも、プログラム実行時に"書 き込み不可"という意味のエラーメッセージを表示しない。

GROOVE


名  称:GROOVE

分  類:ファイル感染型

対  象:.COM;.EXE

ウイルスサイズ:3646〜3708バイト

発祥地:ドイツ

発見日:1992/06

詳  細:感染方法:
1)感染ファイルを実行すると,システムメモリ上位,DOS の640K境界下に常駐し、割り込み番号21hにフックを掛け る。 2)常駐後、COMMAND.COMを含む.COMファイルおよび非常に 小さな.EXEファイルの最後にウィルスコ−ドを追加して感 染する。 −感染ファイルのタイムスタンプは感染の日付・時間に変 更される。 −感染ファイルには以下の文字列が含まれるが、通常は暗 号化されていて見えない。 "Don’t wory、 you are not alone at this hour... ThisVirus is NOT dedicated to Sara its dedicated to her Groove (...Thats my name) This Virus is only a test Virus there for be ready for my Next Test ..."
"C:\NAV_._NO C:\NOVIRCVR.CTS C:\
NOVIRERF.DAT
C:\CPAV\CHKLIST.CPS C:\TOOLKIT\FILES.
LST
C:\UNTOUCH\UT.UT1 C:\UNTOUCH\UT.UT2 C:\
VS.VS" −上記の二段目のテキストはウィルス作者がターゲットに した下記のウィルス対策製品のデータファイル名である。 (Symantec社のNorton Anti-Virus、Certus社のNovi、 Central Point Anti-Virus、Dr.Solomon社のAnti-Viral Toolkit、Fifth Generation Systems社のUntouchable、 XTree社のViruSafe) これらのデータファイルが存在する場合、ウィルスが破 壊または削除する。 −ウィルスに感染したシステムでは、上記のデータファイ ルが破壊・削除されるだけでなく、感染プログラムを実行 することが困難になる。感染プログラムは通常、正常に動 作しない。COMMAND.COMが感染すると、起動できない場合が ある。
備  考:−DAME、Pogue 参照。
−暗号化のためにDark Avenger Mutation Engine (DAME) を少し改変したバージョンを使用。

GRUNT2


名  称:GRUNT2

分  類:ファイル感染型

対  象:.COM

ウイルスサイズ:427バイト

発祥地:不明

発見日:不明

詳  細:感染方法:
1)カレントディレクトリ内の未感染.COMファイルを探し出 す。 2)すでにGRUNT2ウイルスに感染していれば未感染の.COMフ ァイルを探す。 3)一度に 感染するファイルは1つだけ。 4)システムの日付が1993年以降の9月3日であれば発病し、 カレントディスクのファイルをどれか1つ削除して次のよ うな表示をする。  "S[GRUNT-2] -=> Agent Orange ‘92 <=- Rock of the Marne Sir!.......".
破壊:システムの日付が1993年以降の9月3日であれば発病
し、カレントディスクのファイルをどれか1つ削除する。
使用割り込み命令:なし

備  考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、プログラム実行時に"書き込 み不可"という意味のエラーメッセージを表示する。

GRUNT-3


名  称:GRUNT-3

分  類:ファイル感染型

対  象:.COM;.EXE

ウイルスサイズ:473バイト

発祥地:不明

発見日:不明

詳  細:感染方法:
1)暗号化されているウイルスコードを解読し、カレント ディレクトリ内の未感染.COMファイルを探し出す。 2)次に、未感染.COMまたは.EXEファイルがカレントディ レクトリまたは親ディレクトリにあり、1993年以降の金曜 日であれば、 "This is a hot LZ ... Eradicating the Enemy!" と表 示するだけで破壊活動は行わない。 それ以外の日であれば、ファイルに1つずつ感染する。
破壊:感染、増殖以外の活動はなし。

備  考:感染ファイルの日付と時刻は変更されない。

GRUNT-529


名  称:GRUNT-529

分  類:ファイル感染型

対  象:.COM

ウイルスサイズ:529バイト

発祥地:不明

発見日:不明

詳  細:感染方法:
1)カレントディレクトリ内の未感染.COMファイルを探し出 す。 2)すでに感染していれば他の未感染ファイルを探す。 3)未感染ファイルがあれば、1つずつ感染する。 4)未感染.COMファイルの有無に関わらず、システムの日付 が 1993年以降の金曜日であれば、以下のメッセージを表示 する。 "Nothing like the smell of napalm in the morning!"
破壊:感染、増殖以外の活動はなし。

使用割り込み命令:なし

備  考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、プログラム実行時に"書き込 み不可"という意味のエラーメッセージを表示する。