名 称:B1334LUST
別 名:BLOODLUST、 BLOOD-L
分 類:ファイル感染型
対 象:.C*
ウイルスサイズ:変化なし
発祥地:不明
発見日:不明
詳 細:感染方法:
1)カレントディレクトリ内の*.C*ファイルを探し出す。
2)Bloodlustウイルスに感染していれば他の未感染 *.C*フ
ァイルを探す。
3)感染した *.C*ファイルを実行する度に感染し、
全ての *.C*ファイルが感染するまで1)〜2)を繰り返
す。
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、
プログラム実行時に"書き込み不可"という意味のエラーメ
ッセージを表示する。
名 称:B1344Y-1
別 名:BLOODY、 STONED.JUNE.4TH.C、 JUNE 4TH、 BLOODY
-1
分 類:システム領域感染型
対 象:FD:ブートセクタ;HD:マスターブートレコード
ウイルスサイズ:N/A
発祥地:台湾
発見日:1990/12
詳 細:感染方法:
このウイルスに感染したフロッピーディスクでマシンの起
動動作を行うとハードディスクのシステム領域(マスタ
ーブートレコード)に感染する。このウイルスに感染した
ハードディスクでマシンを起動すると、メモリーに常駐し
てファイルの入出力を監視する。その後、書き込み可能な
フロッピーディスクにアクセスすると、そのディスクのブ
ートセクタに感染する。ただしDOSのDirコマンドでディレ
クトリーを表示する程度では感染はしない。
発病:
感染システムでの起動と同時に、感染ディスク、または感
染ハードディスクでシステムを何度起動したかのカウント
を取る。128回目に起動すると、以下のメッセージを表示す
る。
"Bloody! Jun. 4、 1989"
この1989年6月4日は、天安門事件で大量の学生が虐殺さ
れた日である。このメッセージが表示された後、起動6回ご
とに表示されるようになる。
このメッセージはウィルスコード内で暗号化されてお
り、ブートセクターを単純に見ただけでは分からない。
360K以外のディスクの場合、感染すると使用できなくな
る。
変種:
Bloody!-B:
機能的にはオリジナルのウィルスと同じ。ほとんどのアン
チ・ウィルス・ユーティリティで検索できないように改造
されている。
発祥地: 不明
発見日: 1992/05
備 考:感染したディスクでシステムを起動すると、シ
ステムメモリ上位、DOSの640K境界下に常駐する。トータル
システムメモリと使用可能なフリーメモリが2、048バイト減
少する。
感染したディスクでは、ブートセクターに含まれているDOS
のエラーメッセージが全て消失してしまう。360Kディスク
の場合、オリジナルのブートセクターはルートディレクト
リーのあるセクター11にコピーされる。このディレクトリ
ーエントリーは失われる。
ハードディスクの場合、パーティションテーブルはサイド
0、シリンダー0、セクター6にコピーされる。
名 称:B3
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:483バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
1)システムの日付が6月26日であれば、ハードディスクの
データを全て破壊する。
それ以外の日であれば、すでにメモリに常駐しているか
チェックしまだであれば常駐する。
2)常駐後、オリジナルファイルを実行する。
3)メモリに常駐し、未感染ファイルが実行される度に感染
する。.EXEファイルには感染しない。
使用割り込み命令:INT 21h、INT 24h
破壊:
6月26日に発病し、ハードディスクのデータを全て破壊す
る。
感知方法:
感染ファイルは483バイト増加する。
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合でも、
プログラム実行時に"書き込み不可"という意味のエラーメ
ッセージを表示しない。
名 称:BAMESTRA
分 類:ファイル感染型
対 象:.EXE
ウイルスサイズ:530バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
1)カレントディレクトリ内の.EXEファイルを探し出す。
2) Bamestra ウイルスに感染していれば,他の未感染.EXE
ファイルを探す。
3)一度につき、 カレントディレクトリ内の.EXEファイル
2つに感染する。
4)最後にオリジナル ファイルを実行する。
使用割り込み命令:INT 24h
破壊:
感染、増殖以外の活動はなし。
識別方法:
感染ファイルは530バイト増加する。
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合でも、プログラム実行時に"書
き込み不可"という意味のエラーメッセージを表示しない。
名 称:BANANA
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:N/A
発祥地:不明
発見日:不明
詳 細:感染方法:
1)カレントディレクトリ内の.COMファイルを検索する。
2).COMファイルがBananaウイルスに感染していれば他の未
感染ファイルを探す。
3)ディレクトリ内のすべての.COMファイルに感染する。
備 考:
名 称:BARROTES
分 類:ファイル感染型
対 象:.COM;.EXE
ウイルスサイズ:1310バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
1)ウイルスに感染したプログラムを実行するとメモリに
常駐する。
2)常駐後、実行されたプログラム(COM及びEXE)に感染
する。
発病:
1月5日に発病する。
発病すると一番目のハードディスクのパーティションテ
ーブルを上書きしてしまう。
そして、表示ルーチンを組み込み、画面上に何本もの縦線
をカラーで表示する。
また、画面の左上に、以下の文字列を表示する。
"Virus BARROTES pro OSoft"
縦線は、画面上に残るが、マシンを使い続けることはでき
る。
備 考:
名 称:BASEDROP
分 類:ファイル感染型
対 象:.EXE
ウイルスサイズ:N/A
発祥地:不明
発見日:不明
詳 細:感染方法:1)25%の確率で以下のように感染す
る。カレントディレクトリ内の未感染.EXEファイルを探し
出して1つずつ感染する 。
2)1)の後、「"SLOVAKIA" と入力せよ」という意味のメッ
セージを表示し、
ユーザーが "SLOVAKIA" と入力するまで他の操作はでき
なくなる。
入力後、ウイルスプログラムは終了する。
3)50%の確率で未感染ファイルに感染しない。
破壊:感染、増殖以外の活動はなし。
備 考:
名 称:BCV
別 名:SENTINEL、 SENT_BC、 SENTINL、 BC
分 類:ファイル感染型
対 象:.COM;.EXE
ウイルスサイズ:4625バイト前後
発祥地:ブルガリア
発見日:1991/01
詳 細:− メモリに常駐していなければ常駐し、オリ
ジナルプログラムを実行する。
− 常駐後、未感染ファイルを実行する度に感染する。
− ウイルスコードの内に以下の文字列を含む:
"You won't hear me、but you'll feel me....(c)
1990 by Sentinel.Withthanks to Borland."
この文字列を画面に表示する事もある。
− 5,6種の亜種が確認されている。ソースコードを
TURBO PASCAL で書いているとみられる。
備 考:
名 称:BEER
別 名:BEER-1、 BEER-2
分 類:ファイル感染型
ウイルスサイズ:N/A
発祥地:不明
発見日:不明
詳 細:感染方法:
1)メモリに常駐していなければ、メモリ上位に常駐す
る。
2)常駐後、オリジナルルーチンに戻る。
3)未感染ファイルが実行される度に感染する。
使用割り込み命令:INT 21H、INT 24H
破壊:感染、増殖以外の活動はなし。
備 考:少なくとも3つの変種がある。
名 称:BENOIT
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:1183バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
1)メモリに常駐していなければ、メモリ上位に常駐し、
その後オリジナルプログラムを実行する。
2)すでに常駐していれば、そのままオリジナルプログラム
を実行する。
使用割り込み命令:INT 21h
破壊:感染、増殖以外の活動はなし。
識別方法:感染ファイルは1183バイト増加する。
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、
プログラム実行時に"書き込み不可"という意味のエラーメ
ッセージを表示する。
名 称:BERT
別 名:BERT-1、 BERT-M
分 類:ファイル感染型
対 象:.COM;.EXE
ウイルスサイズ:2294バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
1)メモリに常駐していなければ上位メモリに常駐する。
2)常駐後、オリジナルルーチンに戻る。
3)未感染の.COMまたは.EXEファイルが実行される度に感
染する。
使用割り込み命令:INT 21H
破壊:感染、増殖以外の活動はなし。
識別方法:感染ファイルは2294バイト増加する。
備 考:
名 称:BETA
別 名:PHALCON CLOUD
分 類:ファイル感染型
対 象:.COM(command.comを除く)
ウイルスサイズ:1117バイト
発祥地:不明
発見日:不明
詳 細:暗号化されたウイルスコード中に下記の文字列
が含まれている
Bob Ross lives!
Bob Ross is watching!
Maybe he lives here...
What a happy little cloud!
Maybe he has a neighbour right here...
You can make up stories as you go along.
その他ウイルス
変種:
Ministry、Elvis
これらのウイルスは含まれる文字列が異なるだけで、基
本的には同じものである。
増加サイズ:1168または1250バイト
備 考:
名 称:BIT_ADDICT
分 類:ファイル感染型
対 象: .COM
ウイルスサイズ:477バイト
詳 細:感染方法:
1) 自分自身がメモリに常駐しているかを確認します。常駐
していなければ、INT21hをフックしメモリに常駐します。
2)元のファイルを実行します。
3) 常駐しているときに未感染のファイルを実行すると、感
染します。.EXEファイルには感染しませ
ダメージ: 100個のファイルに感染した後、ハードディスク
上のすべてのデータを破壊し、以下の文字列を表示しま
す。
"BIT ADDICTMZ> .... The Bit Addict says:
You have a good tasting hard disk、
it was delicious !!!"
検出方法: 感染したファイルは約477バイト増加します。
注 意:
ファイルに感染するとき、BIT_ADDICTはINT 24hをフックし
ません。I/Oエラーが発生した場合、エラーメッセージが示
されます。
備 考:
名 称:BIT-ADDICT
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:477バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
1)メモリに常駐していなければ常駐する。
2)常駐後、オリジナルファイルを実行する。
3)メモリに常駐し、未感染ファイルが実行される度に感染
する。
.EXEファイルには感染しない。
使用割り込み命令:INT 21h
破壊:
感染ファイルの合計が100に達すると、ハードディスク上の
データを全て破壊し、
"BIT ADDICTMZ> .... The Bit Addict says:You have a
good tasting hard disk、 itwas delicious !!!"
というメッセージを表示する。
感知方法:感染ファイルは477バイト増加する。
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、プログラム実行時に"書き込
み不可"という意味のエラーメッセージを表示する。
名 称:BKMONDAY
別 名:VIRUS 1055
分 類:ファイル感染型
対 象:.COM;.EXE
ウイルスサイズ:1055バイト
発祥地:不明
発見日:不明
詳 細:破壊:
ハードディスクドライブの、先頭240シリンダを初期化す
る。
識別方法:
オリジナルファイルを上書きして、感染した形跡を隠して
しまう。
使用割り込み命令:Int 21
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、プログラム実行時に"書き込
み不可"という意味のエラーメッセージを表示する。
名 称:BLACKMONDAY
分 類:ファイル感染型
対 象:.COM;.EXE
ウイルスサイズ:1054bytes
発祥地:不明
発見日:1998/08
詳 細:感染方法:
- 感染ファイルが実行されると、まずメモリに常駐してい
ないか確認する
- すでに感染していて、メモリに常駐していた場合、ウイル
スコードは実行されず、ホストプログラムのコードを実行す
る。
- まだ感染していなければメモリに常駐し、その後、実行さ
れた.EXEと.COMファイルの最後にウイルスコードを付け足
し、ウイルスコードにジャンプするように設定する。
使用割り込み命令:Int 21
備 考:- 。COMに感染した場合は"BLACKMONDAY-1"と検
出され、.EXEに感染した場合は"BLACKMONDAY"として検出さ
れる。
名 称:BLACKSUN_SHAKER
別 名:BlackSun.2372, Black Sun.2372
分 類:ファイル感染型
ウイルスサイズ:2373bytes
詳 細:実行されると、まず、すでにウイルスがメモリ
に
これは寄生型でメモリー常駐型のウイルスです。またコ
ードを暗号化しステルス機能も有しています
常駐していないかどうかを確認します。まだ感染していな
い場合、INT21にフックしてメモリに常駐します。以後、ア
クセスしたDOS実行型ファイルにすべて感染します。感染し
たファイルは2373Bytesファイルサイズが増加します。
備 考:コード内に以下のテキストがあります。
BlackSun v1.0 "Shaker".
名 称:BLJEC
別 名:BLACK JAC
分 類:ファイル感染型
対 象: .COM
ウイルスサイズ:231〜440
詳 細: このウイルスは.COMファイルに感染します。感
染ファイルが実行されると、同じディレクトリ内の3つの.
COMファイルに感染します。ウイルスが感染したファイルの
始
めに追加され、サイズが231〜440バイト増加します。
感染したファイルは、タイムスタンプが感染した時間に改
変されます。システムのハングアップを引き起こすことも
あります。
備 考:
名 称:BLJEC-1
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:301バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
システム日付が9月であればカレントドライブの最初の16セ
クタ分を初期化し、
その後カレントディレクトリの全ての.COMファイルに感染
する。
破壊:
システム日付が9月であれば発病しカレントドライブの最初
の16セクタ 分を初期化する。
識別方法:
感染ファイルは301バイト増加する。
備 考:感染ファイルの日付と時刻は更新されない。
名 称:BLOODY_WARRIOR
分 類:システム領域感染型
対 象:.EXE
ウイルスサイズ:1344バイト(ファイル)、 2768バイト(メモリ)
発祥地:イタリア
発見日:不明
詳 細:感染方法:
サイズが6000(EA60h)バイト未満の.COMファイル及び全サイ
ズの. EXE ファイルに感染する。
"SCAN"、"STOP"、"SHIELD"、"CLEAN"、"CV"、"DEBUG"、も
しくは"TD"というファイル名の
ファイルには感染しない。感染ファイルを実行すると感染
する。システムメモリ上位の、DOS 640k境界下の位置に常
駐する。
空きメモリが2768バイト減少する。
破壊:
ディスクのセクタ1〜256を破壊。
システム日付が7月4〜31日であれば発病し、カレントディ
スクのセクタ1〜256に
無意味なデータを書き込んで破壊する。
下記のメッセージも含む。Hello、 world!
I am the Bloody Warrior.
Nice to meet you.
What about this virus ? Funny ?
There is no hope for you.
This virus was released in Milan 1993.
識別方法:感染ファイルは1344バイト増加する。
備 考:DOSコマンドで発見できることもある。
名 称:BOB
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:1117バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
1)カレントディレクトリ内の.COMファイルを探し出す。
2)すでにBobウイルスに感染していれば、他の未感染.COM
ファイルを探し出して感染する。
3)感染ファイルを実行する度に3つのファイルに感染す
る。
4)システムの日付が9月7日であれば発病し、約5分後に次
のようなメッセージをどれか表示する。
"1 Bob Ross lives!
2 Bob Ross is watching!
3 Maybe he lives here....."。
破壊:9月7日に発病し、画面にメッセージを表示する。
使用割り込み命令:INT 8h
識別方法:感染ファイルは1117バイト増加する。
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合でも、プログラム実行時に"書
き込み不可"という意味のエラーメッセージを表示しない。
名 称:BOGUS
別 名:BOGUS-1
分 類:複合感染型
対 象:FD:ブートセクタ;HD:マスターブートレコード;.
COM;.EXE
ウイルスサイズ:変化なし
発祥地:不明
発見日:不明
詳 細:感染方法:
感染ディスクから起動すると、全システムメモリが4キロバ
イト減少する。
メモリの末尾4バイトに常駐する。
プログラムが実行される度に感染する。
使用割り込み命令:
INT 21h、INT 24h、INT 13h
破壊:
感染ファイルの合計が2710を超えると、ハードディスク上
のデータを全て破壊する。
備 考:1)BOGUSウイルスはファイルに感染する。
メディアなどにライトプロテクト(書き込み禁止処理)
が施されている場合でも、
プログラム実行時に"書き込み不可"という意味のエラ
ーメッセージを表示しない。
2)フロッピーから起動した場合、ハードディスクにアクセ
スできない。
名 称:BOMB_TROJAN
分 類:トロイの木馬型
対 象:なし
ウイルスサイズ:なし
発祥地:不明
発見日:不明
詳 細:− 感染行動を行わない「トロイの木馬」型破壊
プログラム。
− 破壊ルーチンは持っていないが、メモリへの不正常駐
を行うことによりシステムの不安定を招く。
備 考:
名 称:BOOJUM
分 類:ファイル感染型
対 象:.EXE
ウイルスサイズ:340バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
1)メモリに常駐していなければ上位メモリに常駐する。
2)常駐後 、オリジナルファイルを実行する。
3)メモリに常駐し、未感染のファイルが実行される度に感
染する。
.COMファイルには感染しない。
使用割り込み命令:INT 21h
破壊:感染、増殖以外の活動はなし。
識別方法:感染した.EXEファイルは340バイト増加する。
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、
プログラム実行時に"書き込み不可"という意味のエラーメ
ッセージを表示する。
名 称:BOOT0709
別 名:STONED.WHIT、 LZR、 STONED.LZR
分 類:システム領域感染型
対 象:FD:ブートセクタ;HD:マスターブートレコード
ウイルスサイズ:N/A
発祥地:不明
発見日:不明
詳 細:感染方法:
1)感染したFDなどより起動すると、メモリに常駐しその
後システムの読み込みをおこなう。
2)FDへの感染は2HDのメディアのみに感染し、2DD
のメディアには感染しない。
破壊:
コンピュータの内部タイマを常に監視していて、24:00に
ディスクに書き込みを行うと、そのアクセスしている媒体
(HD/FD)に対して破壊活動を行う。
識別方法:
システムの起動に時間がかかる。
ファイルアクセスの処理速度が低下するので、コンピュ
ータの処理速度が急激に低下する印象を受ける。
備 考:
名 称:BOOTEXE.451
別 名:BFD、 BFD-451
分 類:複合感染型
対 象:.EXE
ウイルスサイズ:N/A
詳 細:このウイルスは、.EXEファイルのヘッダーとコ
ードの開始位置の間に感染します。また、ハードディスク
とフロッピーディスクのパーティションテーブルにも感染
します。
DOSのCHKDSKプログラムの"全メモリ"が2Kバイト減少しま
す。ウイルスがメモリ常駐している間は、アクセスしたプ
ログラムやディスクに再感染します。
ダメージ: オリジナルファイルを上書きしますので、感染
ファイルのファイルサイズは増加しません。
備 考:
名 称:BOOTEXE451-2
別 名:BOOTEXE451-1、 BFD、 BFD-B
分 類:複合感染型
対 象:FD:ブートセクタ;HD:マスターブートレコード;.
COM;.EXE
ウイルスサイズ:変化なし
発祥地:不明
発見日:不明
詳 細:感染方法:
1)感染ディスクから起動するとメモリに常駐する。
常駐後,実行またはオープンした.EXEファイルファイ
ルに感染する。
.EXEファイルの.EXEヘッダー・エリアにウィルスコ
ードを書き込んで感染する。
2)また常駐後に、ライトプロテクトを施していないフロ
ッピーディスクにアクセスすると、
フロッピーディスクのブートセクタにも感染する。
ウィルスの常駐、非常駐とは無関係に感染ファイルの
サイズは変わらない。
3)カレントドライブがフロッピードライブの場合、感染
ファイルを実行すると、
カレントドライブのブートセクタに感染する。
この時、ウィルスはCドライブにもアクセスするが、
Cドライブのブートセクタには感染しない。
感染済みフロッピーディスクからも、メモリに常駐で
きるので注意が必要。
−感染ファイルのタイムスタンプは変更されない。
−文字列は一切含まれていない。
−ウィルスはフロッピーディスクに感染する場合、ブート
セクタを上書きするので、
通常のDOSのエラーメッセージが無くなる。ウィルス感染
した5インチ(1.2M)のシ
ステムディスクで、システムを起動しようとすると、シ
ステムがハングする。
使用割り込み命令:INT 13h、INT 24h
破壊:
オリジナルファイルを上書きする。ファイルサイズに変化
はない。
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合でも、
プログラム実行時に"書き込み不可"という意味のエラーメ
ッセージを表示しない。
名 称:BOW
分 類:ファイル感染型
対 象:.COM;.EXE
ウイルスサイズ:5856バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
1)メモリに常駐していなければ上位メモリに常駐する。
2)常駐後、オリジナルルーチンに戻る。
3)未感染の.COMまたは.EXEファイルが実行される度に感
染する。
使用割り込み命令:INT 21H
破壊:感染、増殖以外の活動はなし。
識別方法:感染ファイルは5856バイト増加する。
備 考:1)メディアなどにライトプロテクト(書き込み
禁止処理)が施されている場合、
プログラム実行時に"書き込み不可"という意味のエラ
ーメッセージを表示する。2)ウイルスは高級言語で作
成されている。
名 称:BOYS
別 名:BOYS-1
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:500バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
1).EXEファイルを探し出し、拡張子を".SYS"に変更する。
2)カレントディレクトリ内の.COMファイルを探し出す。
3)すでにBoysウイルスに感染していれば、他の未感染の.
COMファイルを探して感染する。
4)未感染ファイルに1つずつ感染し、属性を"読み出し専
用"に変更する。
5)最後にオリジナルファイルを実行する。
使用割り込み命令:なし
破壊:感染、増殖以外の活動はなし。
識別方法:感染ファイルは500バイト増加する。
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、
プログラム実行時に"書き込み不可"という意味のエラーメ
ッセージを表示する。
名 称:BOZA
分 類:ファイル感染型
対 象:Windows95:32ビットPE形式ファイル
ウイルスサイズ:N/A
発祥地:イギリス
発見日:不明
詳 細:感染方法:
−このウイルスは、Windows95特有の32ビットPortable
Executable (略称 PE) ファイルフォーマットの形式のファ
イルに感染する。
−このウイルスは、Windows95のシステムコールを使用する
「直接感染型」のウイルスである。
−感染されたプログラムを実行すると、カレントディレク
トリに存在するPE型実行プログラムを3つまで探し出しそ
のファイルに感染する。メモリには常駐しない。
発病:
−画面にVLADオーストラリア(ウイルス作成者か?)の
名前とWindows95の初のウイルスである旨を表示する。ま
た、感染によってファイルが破壊される場合もある。
−ファイル内のテーブルやセクションを操作してデータの
内部にウイルスのコードを追加、またウイルス作成者の名
前をセクションに書き込んだりもする。
−プログラムの実行時にPEプログラムの制御権を奪い、感
染活動を行った後に、オリジナルのプログラムに制御を戻
す。
−破壊活動を行うコードは含まれていないが、ウイルスの
プログラム自体にバグ(不具合)があるため、結果的にファ
イルが破壊されてしまうことが考えられる。
備 考:
名 称:BRAIN2
分 類:ファイル感染型
対 象:.COM;.EXE
ウイルスサイズ:1935バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
1)システムの日付が11月17日または2月6日であれば発病
し、メッセージを表示してスピーカから音を出す。
2)メモリに常駐していなければ常駐する。
3)常駐後、オリジナルファイルを実行する。
4)2月1日、7月1日、9月1日、12月1日に発病し、画面に正
方形を点滅させる。
5)メモリに常駐し、未感染ファイルが実行される度に感染
する。
発病:
感染、増殖以外の活動はなし。
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合でも、プログラム実行時に"書
き込み不可"という意味のエラーメッセージを表示しない。
名 称:BROTHER_300
分 類:ファイル感染型
対 象:.EXE
ウイルスサイズ:300bytes
詳 細:実行手順:
1) メモリに常駐しているかチェックします。していなけれ
ば、上位メモリに自分自身をロードして、常駐します。
2) INT 21hをフックして、元のルーチンに戻ります。
感染方法:
1) ファイルに感染するときにINT 21h(AH=4Bh)をフック
します。まず最初に、感染時にI/Oエラーが発生して露見し
ないように、INT 24hをフックし
ます。実行されるプログラムが未
感染の.EXEファイルであれば、.EXEファイルと同じ名前で
新しい.COMファイルを作成します。この新しい.COMファイ
ルにウイルスが含まれています。サイズは
300バイトで
ダメージ: なし
備 考:
名 称:BROTHERS-2
分 類:ファイル感染型
対 象: .COM
ウイルスサイズ:693bytes
詳 細:1) システムタイムを確認し11月か12月で、日付
が11日と25日の間にあるかを確認します。もしそうであれ
ば、以下の文字列を表示します。
"Brotherhood... I am seeking my brothers "DEICIDE"
and "MORGOTH"、"
2) そうでなければ、カレントディレクトリ内の.COMファイ
ルを検索します。
3) 見つかったファイルがBrothers-2に感染しているかを確
認します。感染していれば、更に検索します。
4) .COMファイルの2番目の文字が"0xADDE"であるかどうか
を確認します。そうであれば、以下の文字列を表示しま
"Found my brother MORGOTH!!!."
5)そして、元のファイルを実行します。また、.COMファイ
ルの2番目の文字が"0x0D90"であるかどうかを確認します。
そうであれば、以下の文字列を表示しま
す。
"Found my brother "DEIGOTH" !!!."
6)そして、元のファイルを実行します。
1度に1つの.COMファイルに感染します。
ダメージ: なし
検出方法: 感染したファイルは約693バイト増加します。
注 意:
1) メモリに常駐はしません。
2) INT24hをフックしません。I/Oエラーが発生した場合、
エラーメッセージが表示されます。
備 考:
名 称:BUBBLES-2
分 類:ファイル感染型
対 象:.COM;.EXE
ウイルスサイズ:927バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
1)カレントディレクトリ内の.COMまたは.EXEファイルを探
し出す。
2) Bubbles-2ウイルスに感染していれば他の未感染の.EXE
または.COMファイルを探す。
3)カレントディレクトリ内の.COMと.EXEファイル全てに感
染する。
4)システムの日付が1993年以降各月13日であれば発病し、
"Bubbles 2 :Its back and better then ever Is it me
or does that Make no senseat all? [IVP].
というメッセージを表示する。
使用割り込み命令:INT 24h
破壊:
感染ファイルは実行できなくなる。
識別方法:
感染ファイルは927バイト増加する。
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合でも、プログラム実行時に"書
き込み不可"という意味のエラーメッセージを表示しない。
名 称:BUDSAVER.EXE
分 類:デマ情報
対 象:N/A
ウイルスサイズ:N/A
発祥地:不明
発見日:不明
詳 細:− 騒動を起こすために人為的に流されたウイ
ルスのデマ情報です。この情報で触れられているようなウ
イルスは実在しません。
− このデマ情報のオリジナルとみられる文章は以下の通
りです:
DANGER! VIRUS ALERT!
THIS IS A NEW TWIST. SOME CREEPOID
SCAM-ARTIST IS SENDING
OUT A VERY DESIRABLE SCREEN-SAVER {{
THE BUD FROGS}}. IF
YOU DOWNLOAD IT、 YOU'LL LOSE
EVERYTHING!!!! YOUR HARD
DRIVE WILL <<>> CRASH!!
DON'T DOWNLOAD THIS UNDER ANY
CIRCUMSTANCES!!! IT JUST
WENT INTO CIRCULATION ON 05/13/97、 AS
FAR AS I KNOW!!
PLEASE DISTRIBUTE THIS WARNING TO AS
MANY PEOPLE AS
POSSIBLE... BELOW IS WHAT THE
SCREENSAVER PROGGIE WOULD
LQQK LIKE!
File: BUDSAVER.EXE (24643 bytes)DL
Time (28800 bps): < 1 minute
備 考:
名 称:BUNG1422
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:1442バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
メモリに常駐していなければ、メモリ上位に常駐する。
常駐後、オ リジナルルーチンに戻る。
システム日付が9月20日であれば発病し、以下のメッセージ
を表示する。
"Jonhan Bonhn - September 20 1980- L E D Z E P P E L
I N -"
未感染の.COMファイルが実行される度に直接感染する。
未感染の.EXEファイル が実行されると、未感染の.COMファ
イルを探し出して感染する。
使用割り込み命令:INT 21H、INT 24H
破壊:感染、増殖以外の活動はなし。
識別方法:感染ファイルは1422バイト増加する。
備 考:
名 称:BUPT
別 名:TRAVELLER
分 類:ファイル感染型
対 象:.COM;.EXE
ウイルスサイズ:1220、1223バイト
発祥地:アメリカ
発見日:1994/07
詳 細:感染方法:
1)感染ファイルを実行するとメモリに常駐する。
2)常駐後、実行型ファイルにアクセスする度に感染す
る。
コード内に次の文字列を含んでいる。
"Traveller (C) BUPT 1991.4 Don't panic
I'm harmless"
数種の亜種の存在も確認されている。
備 考:
名 称:BUPTBOOT
別 名:WELCOMEB、 WELCOMB、 BEIJING
分 類:システム領域感染型
対 象:FD:ブートセクタ;HD:マスターブートレコード
ウイルスサイズ:N/A
発祥地:不明
発見日:不明
詳 細:−このウイルスに感染したフロッピーディスク
でマシンの起動動作を行うとハードディスクのシステム領
域(マスターブートレコード)に感染する。
−このウイルスに感染したハードディスクでマシンを起動
すると、メモリーに常駐してファイルの入出力を監視す
る。
その後、書き込み可能なフロッピーディスクにアクセスす
ると、そのディスクのブートセクタに感染する。
発病:
−ウイルスコード中に次の文字列が含まれる。
"Welcome to BUPT 9146、Beijing!"
−その他特に破壊活動等は行わないものと思われる。
備 考:他社製品で"Beijing"と発見される場合は、実際
には"Bloody"などと呼ばれるものであり、このウイルスと
は関係がない。
名 称:BUR-560H
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:変化なし
発祥地:不明
発見日:不明
詳 細:感染方法:
1)カレントパスから.COMファイルを探し出す。
2)すでに感染していれば、他の未感染ファイルを探し出し
て1つずつ感染する。
破壊:
オリジナルファイルを上書きして感染するため、ファイル
サイズは変化しないがファイルは開けない。
使用割り込み命令:なし
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、
プログラム実行時に"書き込み不可"という意味のエラーメ
ッセージを表示する。
名 称:BURGER
別 名:405、 GOL
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:変化なし
発祥地:不明
発見日:不明
詳 細:感染方法
1)カレントディレクトリ内の.COMファイルを探し出す。
2)Burgerウイルスに感染していれば、他の未感染の.COMフ
ァイルを探す。
3) 一度に感染できるファイルは1つだけ。
4)未感染.COMファイルがなければ、アクセス中のディスク
のデータを全て破壊する。
破壊:
1)オリジナルファイルを上書きする。ファイルサイズに変
化はない。
2)未感染.COMファイルがなければ、アクセス中ディスクの
データを全て破壊する。
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、プログラム実行時に"書き込
み不可"という意味のエラーメッセージを表示する。
名 称:BURGER_560-8
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:変化なし
発祥地:不明
発見日:不明
詳 細:感染方法:
1)A:ドライブ上にある.COMファイルを探し出して感染す
る。
2)すでにBurger_560-8ウイルスに感染していれば他の未感
染の.COMファイルを探す。
3)感染ファイルが実行される度に1つずつ感染していく。
4).COMファイルが全て 感染している場合、A:ドライブ上
の.EXEファイルを探し出す。
5).EXEファイル の拡張子を.COMに変更して感染する。
使用割り込み命令:なし
破壊:
オリジナルファイルを上書きする。ファイルサイズに変化
はない。
識別方法:
感染した.EXEファイルの拡張子が.COMに変わっている。
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、プログラム実行時に"書き込
み不可"という意味のエラーメッセージを表示する。
名 称:BURGER-1
分 類:ファイル感染型
対 象:.COM
発祥地:不明
発見日:不明
詳 細:感染方法:
- このウイルスは一度にひとつのファイルにしか感染する
ことができない。
- 感染したファイルが実行されると、まず、Aドライブに.
COMファイルがないかどうか探す。見つけると、そのファイル
をウイルスコードで上書きし、その後、そのファイ
ルの属性を「システムファイル」に変更してしま
症状:
- 上書き感染であるため、もとの.COMファイルのプログラ
ムは機能しなくなる。そのため、感染したファイルを実行し
た場合、システムがハングアップするか、もしくは、
意味のないコードが表示されることにない。
備 考:
名 称:BURGER-2
分 類:ファイル感染型
対 象:.COM;.EXE
ウイルスサイズ:560bytes
発祥地:不明
発見日:不明
詳 細:感染方法:
- このウイルスは一度にひとつのファイルにしか感染する
ことができない。
- 感染したファイルが実行されると、まず、カレントディレ
クトリに.COMか.EXEファイルがないかどうか探す。見つける
と、そのファイルをウイルスコードで上書きし
てしまう。
症状:
- 上書き感染であるため、もとのファイルのプログラムは
機能しなくなる。そのため、感染したファイルを実行した場
合、システムがハングアップするか、もしくは、意味のないコ
ードが表示されることになる。
備 考:
名 称:BURGLAR.1150
別 名:GANGRAVE
分 類:ファイル感染型
対 象:.EXE
ウイルスサイズ:1150バイト
発祥地:アメリカ
発見日:1996
詳 細:感染方法:
1)最上位メモリ領域に常駐する。
2)常駐後アクセスされた.EXEファイルに感染する。
システムファンクションを利用したコマンドでファイ
ルにアクセスした場合も感染する。
発病:
1)システムクロックが14分の時に感染行動を行うと発病
する。
"Burglar/H" という文字列が点滅しながら画面に表示
される。
2)感染したファイルはほとんどの場合、内容が破壊され
てしまう。
−ウイルスコード内に "At the grave of Grandma" という
文字列が含まれている
その他:
−ウイルスのメモリ常駐中はステルス行動のため、感染フ
ァイルのサイズ増加を確認できない。
−感染したシステムでは、メモリ管理ユーティリティ関連
で異常が発生する可能性がある。
−ファイル名に「V」、「S」が含まれているファイルには感染
しない。
備 考:
名 称:BUTTERFLY
別 名:BUTTERFLIES
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:302バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
1)感染したファイルを実行すると、カレントディレクト
リ内の.COMファイルに感染する。
2)感染ファイルは302バイト増加し、末尾にウイルスコ
ードが追加される。
3)感染ファイルの日付と時刻は更新されない。
また、このウイルスは以下のような文字列を持つ。
"Goddamn Butterflies"
備 考:
名 称:BYE
分 類:トロイの木馬型
対 象:なし
ウイルスサイズ:N/A
発祥地:不明
発見日:不明
詳 細:このファイルはトロイの木馬タイプのウイルス
である。
このファイルをwindows上で実行すると破壊活動を
開始し、ウイルスファイル(BYE.EXEとWIN.COM)も自動的
に削除される。
このファイルをDOS上で実行した場合は、特に活動を起
こさない。
破壊活動:
ドライブ上とそのサブディレクトリのファイルを削除する
ようなルーチンがあるが、c:\windows\command\下のファイ
ルのみ削除され、c:\windowsのファイルは削除されない。
備 考:パターン337にて発見可能。
ただしトロイの木馬のため、パターンファイルにて駆除す
ることはできない。発見されたファイルごと削除を行うこ
と。
名 称:BYWAY
別 名:DIR.BYWAY、 DIR-II.BYWAY、 HNDV、 DIRII.
THEHNDV、 CHAVEZ
分 類:ファイル感染型
対 象:.COM;.EXE
ウイルスサイズ:2048バイト
発祥地:ベネズエラ
発見日:1995
詳 細:− 未感染のシステム上で感染ファイルが実行
されると起動ドライブのルートディレクトリにウイルスコ
ードを含んだ CHKLIST?.MS? という名前の隠しファイルを
リードオンリー属性で作成する。この名称はマイクロソフ
ト社のアンチウイルスソフトで作られるチェックサムのフ
ァイルと同名である。そしてすべての実行可能形式ファイ
ル
(.comと.exe) CHKLIST?.MS?ファイルにクロスリンクさせ
る。
− 感染方法が特殊なため、駆除には以下の手順が必要で
ある:
1)すべてのドライブ中のすべての実行可能ファイル(.
comと.exe)を非実行可能形式の拡張子にリネームする。
2)マシンを安全なシステムディスクで起動し、c:ドラ
イブのルートディレクトリに存在する「chklist」という文
字列で始まるファイル名のファイルをすべて削除する。こ
れらのファイルはすべてリードオンリーの隠しファイルに
なっている。
3)1)でリネームしたすべてのファイルを元の拡張子
に戻す。
− なんらかのトリガーによって音楽を鳴らしながら以下
の文字列を表示する場合がある:
TRABAJEMOS TODOS POR VENEZUELA !!!
− ウイルスコード内に以下の暗号化された文字列を持つ
:
The-HndV
by:Wai-Chan、Aug94、UCV
-By:W.Chan-
備 考: