名 称:K
別 名:N1
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:10230〜10240バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
カレントディレクトリ内の未感染.COMファイルを探し出し
て1つずつ感染する。
感染ファイルを実行すると、
"This File Has Been Infected By NUMBER One!"
というメッセージを表示する。
破壊:感染、増殖以外の活動はなし。
備 考: メディアなどにライトプロテクト(書き込み
禁止処理)が施されている場合、プログラム実行時に"書き
込み不可"という意味のエラーメッセージを表示する。
名 称:K_ERROR
別 名:W-BOOT.B、 STONED.P2
分 類:システム領域感染型
対 象:FD:ブートセクタ;HD:マスターブートレコード
ウイルスサイズ:N/A
発祥地:不明
発見日:不明
詳 細:感染方法:
1)このウイルスに感染したフロッピーディスクでマシン
の起動動作を行うと
ハードディスクのシステム領域(マスターブートレコ
ード)に感染する。
2)このウイルスに感染したハードディスクでマシンを起
動すると、
メモリーに常駐してファイルの入出力を監視する。
3)その後、書き込み可能なフロッピーディスクにアクセ
スすると、そのディスクのブートセクタに感染する。
− ウイルスのステルス行動によりウイルスのメモリ常駐
中にはMBRの改変が分からない。
− その他、特にウイルス自身による破壊活動はないもの
と思われる。
− DOSのMEMコマンドで見ると「全メモリ」が約1KB減少し
ているのが分かる。
備 考:亜種:「W-Boot.A」ウイルス参照。
注意:一部社製プログラムでは「Stoned.Michelangelo」の
名称で発見されるが、当社名称「Stoned.Michelangelo」ウ
イルスとは無関係
である。
名 称:K_HATE
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:1237バイト〜1304バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
感染ファイルが実行されると、同じディレクトリ内の全て
の.COMファイルに感染する。
感染ファイルのサイズは1、237〜1、304バイト増加する。
ウイルスは感染ファイルの末尾に追加される。
感染ファイルの日付及び時刻情報は変更されない。
感染詳細:ウイルスは以下の文字列を含む。
"CRYPT INFO"
"KDG 0、5 / Khntark3"
"*、 K-HATE / Khntark*.COM"
備 考:
名 称:KAMPANA.A
別 名:TELECOM BOOT、 CAMPA、 ANTI-TEL、 BRASIL
分 類:システム領域感染型
対 象:FD:ブートセクタ;HD:マスターブートレコード
ウイルスサイズ:N/A
発祥地:スペイン
発見日:1991/06
詳 細:感染方法:
−このウイルスに感染したフロッピーディスクでマシンの
起動動作を行うとハードディスクのシステム領域(マスタ
ーブートレコード)に感染する。
−このウイルスに感染したハードディスクでマシンを起動
すると、メモリーに常駐してファイルの入出力を監視す
る。その後、書き込み可能なフロッピーディスクにアクセ
スする
と、そのディスクのブートセクタに感染する。
発病:
−感染後にシステムを400回起動すると発病する。
−以下のメッセージのどれかを表示して、ハードディスク
を破壊してしまう。
"VIRUS ANTITELEFONICA (BARCELONA)"
"Campana Anti-TELEFONICA (Barcelona)"
"Campa、a Anti-TELEFONICA (Barcelona)"
その他:
−ウイルスが常駐した後、マスターブートレコードを参照
しようとすると、感染前の情報を表示する。
−ステルス型のため、ウイルスが常駐しているときに感染
セクタにアクセスしてもウイルスコードを参照することが
できない。
備 考:変種:
Telecom Boot:
「Telecom」ウィルスと共に感染するシステム感染型ウィル
ス。
「Telecom Boot」ウィルスは「Kampana.A」ウィルスと極め
て似ている。
最大の相違点は、フロッピーのブートセクタに感染しない
ことである。
このウィルスはTelecomウィルスと共に感染するので、シス
テムの電源を切った後でライトプロテクトを施した未感染
のシステムディスクで立ち上げ、「Telecom」ウィルスをチ
ェックするのが望ましい。
名 称:KBCAP.COM
分 類:トロイの木馬型
対 象:なし
ウイルスサイズ:N/A
発祥地:不明
発見日:不明
詳 細:- このウイルスプログラムは、実行されるとデ
ィレクトリ内に"CAPTURE.CAP"というファイルがないか探す
。もしこの名前のファイルがディレクトリに存在した
ら、KBCAP.COMはそのファイル自身のコードは書き換えず、フ
ァイルの最後に数字を羅列させたごみコードを付け加える。
ファイルがなければ、このプログラムは何もし
ない。
備 考:- "KBCAP.COM" は"CREATE.COM "と" PLAYCAP.
EXE"ウイルスと関連があるものと考えられる。これらのウイ
ルスはすべて
「CAPTURE.CAP」ファイルを必要とする。 "CREATE.COM"は「
CAPTURE.CAP」ファイルを作り、"KBCAP.COM"は「CAPTUR
E.CAP」ファイルにごみコードを付け加え、" PLAYCAP.EXE"は
「CAPTURE.CAP」ファイルの内容を表示させる。
名 称:KBWIN95
分 類:ファイル感染型
対 象:.EXE;COMMAND.COM
ウイルスサイズ:1、349Bytes
発祥地:不明
発見日:不明
詳 細:感染方法:
- 感染ファイルが実行されると、まず、このウイルスがすで
にメモリに常駐していないかをチェックする。まだ感染して
いなければ、常駐し、その後、実行されたすべての
EXEファイルに感染する。
- また、このウイルスは感染ファイルがあるディレクトリ
またはそのサブディレクトリ内にCOMMAND.COMがあれば、
COMMAND.COMにも感染する。他の
ディレクトリにある場合は感染しない。
-感染後、ウイルスコードを実行したあとにホストプログラ
ムに制御を戻すようにプログラムを変更する。
_
_
備 考:
名 称:KENNEDY
別 名:DEAD KENNEDY、 333、 KENNEDY-333
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:333バイト
発祥地:デンマーク
発見日:1990/04
詳 細:感染方法:
非常駐型でCOMMAND.COMを含む.COMファイルに感染する。
破壊:
システムの日付が
6月6日(1968年、Robert Kennedy が暗殺された日)、
11月18日(1969年、Joseph Kennedy の亡くなった日)、
11月22日(1963年、John F. Kennedyが暗殺された日)の
いずれかであれば、
次のメッセージを表示してFATを破壊する。
"Kennedy is dead - long live the Dead Kennedys."
−以下の文字列がウィルスコードの中に発見できる。
"\command.com"
"The Dead Kennedys"
−感染したシステムでは、ファイルがクロスリンクして、
クラスターが失われる。
そしてFATエラーを起こす。この時
"The file allocation table is bad"
というエラーメッセージが出力される。
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、
プログラム実行時に"書き込み不可"という意味のエラーメ
ッセージを表示する。
名 称:KEYKAPTURE
別 名:KEYKAP、 HELLSPAWN.1
分 類:ファイル感染型
対 象:.COM;.EXE
ウイルスサイズ:1、074バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
ウイルスは.EXEファイルに感染する際、同じディレクトリ
内にそのファイルと
同名で不可視属性の.COMファイルを作成する。
感染ファイルが実行されるとメモリに常駐する。
空きメモリは3、072バイト減少する。
常駐後は、.EXEファイルが実行される度に、そのファイル
と同名で1、074バイトサイズの
.COMファイルを作成する。この新しい.COMファイルがウイ
ルスの本体となり、
オリジナルの.EXEファイルには何の変更も加えられない。
破壊:感染すると、システムがハングすることがある。
感染詳細:以下の文字列がウイルスに含まれる。
"KKV.90 KeyKapture Virus v0.90 [Hellspawn-II]
(c) 1994 by Stormbringer [PS]"
備 考:
名 称:KEYPRESS
別 名:TURKU、 TWINS、 ST.LEOS、 JEDDAH、 SAMSOFT、
SADDAM、 MUBARK
分 類:ファイル感染型
対 象:.COM;.EXE
ウイルスサイズ:1232(COM)、1472(EXE)バイト
発祥地:フィンランドorアメリカ
発見日:1990/10
詳 細:感染方法:
−感染ファイル実行時にメモリ常駐していなければメモリ
上位に常駐し、オリジナルプログラムを実行する。
−その後、未感染ファイルを実行する度に感染する。
発病:
−メモリ常駐後、30分経過すると発病する。
−発病するとあたかもチャタリングを起こしたかのように
入力した文字が連続して表示される。
−場合によっては以下の文字列を表示し、ビープ音を鳴ら
す:
”OOOOOOOOOOOOOOOO”
備 考:−亜種が多く、メモリ常駐のない亜種も存在す
る。
名 称:KILL_BOOT
分 類:トロイの木馬型
ウイルスサイズ:32000バイト
発祥地:不明
発見日:不明
詳 細:破壊:
B:及びC:ドライブのブートセクタを破壊し、
画面にコードを数行表示した後システムをハングする。
使用割り込み命令:なし
備 考:ファイルやパーティションテーブルには感染し
ない。
名 称:KILL_COM
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:31648バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
1)C:ドライブのカレントディレクトリからCOMMAND.COMを
探す。
2)COMMAND.COMがあれば破壊する。
なければ213バイトの大きさでCOMMAND.COMを作成する。
破壊:C:ドライブカレントディレクトリのCOMMAND.COMを破
壊する。
使用割り込み命令:なし
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、
プログラム実行時に"書き込み不可"という意味のエラーメ
ッセージを表示する。
名 称:KILLBOOT
分 類:トロイの木馬型
ウイルスサイズ:32000bytes
詳 細:ダメージ: C:\、B:\のシステム領域のデータを
無効にします。コードの一部を表示し、システムが停止し
ます。
検出方法: なし
注 意:
1) メモリには常駐しません。
2) ファイル、パーティションテーブル、システム領域に感
染しません。
備 考:
名 称:KILROY-B
別 名:LUCIFER.BOOT
言 語:英語
分 類:システム領域感染型
対 象:DOS
詳 細:マシンのブート時に起動ドライブからメモリに
ロードされるシステム感染型ウイルスです。
活動開始後、自分のウイルスコードでハードディスクのブ
ートセクターを上書きします。このとき、上書き前のブ
ートセクター情報はバックアップしません。
その後、自らがブートローダーの役目を果たし、ハードデ
ィスクのシステム(DOS)を起動させます。
破壊活動はとくにありませんが、システムに感染後、起動
に失敗してシステムが ハングする場合があります。
名 称:KIWI-550
分 類:ファイル感染型
対 象:.EXE
ウイルスサイズ:550〜570バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
既にメモリに常駐していなければ、上位メモリに常駐す
る。
常駐後、オリジナルルーチンに戻る。
未感染の.EXEファイルが実行される度に感染する。
使用割り込み命令:INT 21H、INT 24h
破壊:感染、増殖以外の活動はなし。
識別方法:感染ファイルは550〜570バイト増加する。
備 考:
名 称:KLF-356
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:356バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
既にメモリに常駐していなければ、上位メモリに常駐す
る。
常駐後オリジナルルーチンに戻る。
未感染の.COMファイルが実行される度に感染する。
使用割り込み命令:INT 21H、INT 24h
破壊:感染、増殖以外の活動はなし。
識別方法:感染ファイルは356バイト増加する
備 考:
名 称:KODE_4_O.131
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:11379 bytes
発祥地:不明
発見日:不明
詳 細:[
感染方法:
- これはシンプルな上書き感染型ウイルスである。感染フ
ァイルが実行されると、カレントディレクトリにある.COMフ
ァイルにコードを上書きして感染する。
損害:
- 感染したファイルはコードを上書きされるので駆除でき
ない。バックアップファイルで修復する以外に手はない。
備 考:
名 称:KODE4-2
分 類:ファイル感染型
対 象:.COM;.C*
ウイルスサイズ:約3000バイト(.COM)
発祥地:不明
発見日:不明
詳 細:感染方法:
1)カレントディレクトリ内の*.C*ファイルを探し出す。
2)全ての*.C*ファイルに感染する。
3)その後、
"-=+ Kode4 +=-、 The one and ONLY!"
というメッセージを表示する。
破壊:オリジナルファイルを上書きする。
使用割り込み命令:なし
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、
プログラム実行時に"書き込み不可"という意味のエラーメ
ッセージを表示する。