名 称:EAGL-7705
分 類:ファイル感染型
対 象:.EXE
ウイルスサイズ:7705bytes
詳 細:実行手順:
1)カレントディレクトリ内の.EXEファイルを検索します。
2) 隠し属性を持つ、7705バイトの.COMファイルを作成しま
す。.COMファイルの中身がウイルス自身です。
3) カレントディレクトリ内の全ての.EXEファイルが感染し
ます。
ダメージ: なし
症状:感染すると、ファイルサイズが7705バイト増加しま
す。
備 考:
名 称:EAGL-7750
分 類:ファイル感染型
対 象:.EXE
ウイルスサイズ:7705バイト
発祥地:不明
発見日:不明
詳 細:− カレントディレクトリ内の全ての.EXEファ
イルについて、同名の.COMファイルを不可視属性で作成す
るコンパニオン型感染。
備 考:
名 称:EAR
別 名:QUAKE、 SUICIDE
分 類:ファイル感染型
対 象:.COM;.EXE
ウイルスサイズ:1024バイト
発祥地:不明
発見日:不明
詳 細:− カレントディレクトリとその親ディレクト
リ内の未感染のファイル全てに感染する。
− 発病日に感染ファイルが実行されると画面に、
"PHALON/SKISM 1992 [Ear-6] Alert! Where is the
Auditory Canal located? 1.External Ear 2. Middle Ear
3. Inner Ear "
と表示し、入力を待つ。"1" か "3" を選ぶと
" Wow、you kown your ears! Please resume work."
と表示し、その後でオリジナルプログラムを実行する。"2"
を選ぶと
" You obviously no nothing about ears. Try again
after some study."
と表示してプログラムが終了し、オリジナルプログラムは
実行されない。
− メディアにライトプロテクト(書き込み禁止処理)が
施されていてもプログラム実行時に"書き込み不可"という
意味のエラーメッセージを表示しない。
備 考:− 亜種
Quake:
ウイルスサイズが960バイト。
Suicide:
ウイルスサイズが2048バイト。
名 称:ECU
分 類:ファイル感染型
対 象:.EXE
ウイルスサイズ:711バイト
発祥地:不明
発見日:不明
詳 細:− DOS3.3上でのみ動作する。
− メモリに常駐していなければメモリ上位に常駐し、オ
リジナルプログラムを実行する。
− 未感染ファイルを実行する度に感染する。
− ウイルスのバグのため、感染したファイルはほとんど
の場合、実行できない。
名 称:ED
分 類:ファイル感染型
対 象:.COM;.EXE
ウイルスサイズ:775〜785バイト
発祥地:不明
発見日:不明
詳 細:− メモリに常駐していなければメモリ上位に
常駐し、オリジナルプログラムを実行する。
− 未感染ファイルを実行する度に感染する。
− ウイルスプログラムにフラグがあり、感染する度にフ
ラグの数は1ずつ減少する。フラグがゼロになると、ハード
ディスクのデータを全て破壊する。
名 称:EDV
別 名:CURSY, STEALTH VIRUS
分 類:システム領域感染型
対 象:FD:ブートセクタ;HD:マスターブートレコード
ウイルスサイズ:N/A
発祥地:不明
発見日:1990/01
詳 細:− 感染ディスクから起動すると、ウイルスが
メモリに常駐する。
− メモリ常駐の際にワクチンプログラムの存在を調べ
る。存在するとウイルスが判断した場合、システムを停止
させる。
− メモリ常駐時にアクセスしたフロッピーディスクに感
染する。
− 感染時にオリジナルのブートセクタを別の場所へ移動
させ、ウイルスのコピーと置き換える。
− 感染したブートセクタには、次のような文字列が見ら
れる:
"MSDOS Vers. E.D.V."
− フロッピー6枚に感染すると、キーボードの入力を無効
にし、システムのディスク全てを破壊する。その後、以下
のメッセージを表示する:
"That rings a bell、 no? From Cursy"
名 称:EGG
分 類:ファイル感染型
対 象:.EXE
ウイルスサイズ:1000〜1005バイト
発祥地:不明
発見日:不明
詳 細:− メモリに常駐していなければメモリ上位に
常駐し、オリジナルプログラムを実行する。
− 未感染ファイルを実行する度に感染する。
名 称:EICAR
別 名:EICAR-TEST
分 類:その他
対 象:NA
ウイルスサイズ:NA
発祥地:NA
発見日:NA
詳 細:DataFellow社製F-PROTで使用されているテスト
ウイルスです。発見されるだけで実際にウイルスの動作を
するものではありません。詳細についてはDataFellow社に
お問い合わせください。
名 称:EIN-VOLK
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:482バイト
発祥地:不明
発見日:不明
詳 細:− カレントディレクトリ内の未感染の.COMフ
ァイル全てに感染する。一度に3つのファイルに感染す
る。
− メディアなどにライトプロテクト(書き込み禁止処
理)が施されている場合、プログラム実行時に"書き込み不
可"という意味のエラーメッセージを表示する。
名 称:EKOTERROR
分 類:複合感染型
対 象:HD:マスターブートレコード;.COM
ウイルスサイズ:2048バイト
発祥地:不明
発見日:不明
詳 細:− 感染ファイルを実行するとHDのマスタ
ーブートレコードに感染する。
− 既に感染していても感染行動を行うため、パーティシ
ョンテーブルを破壊してしまう場合がある。結果的にFD
起動時に
HDへの読み書きが行えなくなる。
名 称:ELL
分 類:ファイル感染型
対 象:.COM;.EXE
ウイルスサイズ:1237〜1246(EXE) or 1237(COM)バイト
発祥地:不明
発見日:不明
詳 細:− メモリに常駐していなければ常駐し、オリ
ジナルプログラムを実行する。
− 未感染ファイルを実行する度に感染する。
− メディアなどにライトプロテクト(書き込み禁止処
理)が施されている場合、プログラム実行時に"書き込み不
可"という意味のエラーメッセージを表示する。
備 考:
名 称:ELVIS
別 名:BETA, CLOUD, MINISTRY, PHALCON
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:1250バイト
発祥地:不明
発見日:不明
詳 細:− カレントディレクトリ内の未感染の.COMフ
ァイルを検索して感染する。一度に3つのファイルに感染
する。
− 感染ファイル実行後、約8分経つと以下のメッセージの
うちどれかを表示する:
1 Elvis lives!2 ELVIS is watching!
3 Don maybe he lives here!.....
− メディアなどにライトプロテクト(書き込み禁止処
理)が施されている場合でも、プログラム実行時に"書き込
み不可"という意味のエラーメッセージを表示しない。
備 考:− 亜種
Phalcon、 Cloud、 Beta:ウイルスサイズは1117バイト。
ウイルスコード内に以下の文字列
が含まれる。
Bob Ross lives!
Bob Ross is watching!
Maybe he lives here...
What a happy little cloud!
Maybe he has a neighbour right here...
You can make up stories as you go along.
Ministry: ウイルスサイズは1168バイトである。
名 称:EMPEROR.5826
別 名:EMPEROR
分 類:複合感染型
対 象:.COM、.EXE
ウイルスサイズ:5、826 bytes
発祥地:コロンビア
発見日:1999/05
詳 細:このウイルスはPE_CIH(Chernobyl)を元に作成さ
れたものだが、CIHよりもさらに破壊的なウイルスである。
16bitの実行型ファイル(.COM、.EXE)に感染し、さらにハード
ディスクのマスターブートレコードとフロッピーディスク
のブートセクタにも感染する複合感染型である。
感染方法:
1)感染したファイルを実行する、または感染したフロッピ
ーディスクでマシンを起動すると、ハードディスクのマスタ
ーブートレコードをウイルスコードで書き換える。これによ
って、起動時に必ずウイルスが実行されメモリに常駐するよ
うに設定される。
2)EMPERORウイルスは感染時に、オリジナルのマスターブ
ートレコードをディスクの別の領域に待避させる。しかし、
この情報は暗号化され、さらに一部が破損しているため、ウ
イルスがアクティブな状態で無ければディスクにアクセス
することができない。たとえ、感染していないフロッピーデ
ィスクでマシンを起動しても、ハードディスクにアクセスす
る事ができない。
3)マスターブートレコードを感染させる際に、ウイルスは
マザーボードのウイルスチェック機能にひっかからないよ
うにCMOSメモリー空間をクリアする。このため、システムが
"Error in CMOS"表示を出力して停止してしまう場合があ
る。
4)メモリに常駐したウイルスは、ユーザーの動作を監視し、
アクセスした16bitの.COMと.EXEファイルの最後にウイルス
コードを付け加えて感染する。
ただし、ウイルスコードにバグがあるため、感染時にファイ
ルを壊してしまうことがある。破壊されてしまったファイ
ルを実行するとシステムエラーが発生する。このようなフ
ァイルは修復することができないのでバックアップで復元
するほかない。
このウイルスは、元のブートセクター及びマスターブート
レコードの情報をディスクの空き領域に待避しているが、
暗号化され一部の情報が破損しているために、この情報が
正確に動作するためにはメモリ常駐するウイルスがアクテ
ィブな状態でなければならない。また、パーテションテーブ
ルを操作して、ウイルス感染していないクリーンなシステ
ムで起動したときは、ハードディスクのパーティションを
認識することが出来ないようになっている。
発病:
午前5時から午後10時までの間に、システムに感染したマシ
ンを起動したときに発病する。また、ウイルスが実行された
とき、デバッガー(システムの情報を取得するためのソフト
のようなもの)がすでに実行されていると、発病する。
発病すると、ハードディスクのデータを削除し、さらにフラ
ッシュBIOSの破壊を行なうため、システムが起動できなく
なる。
さらにこのウイルスはパーティションテーブルも操作する
ため、たとえ2つ以上のOSをインストールしていても、感染
していないOSからでもハードディスクを認識することがで
きずマシンを起動することができない。
また、ウイルスコード内のバグのために、ファイル感染時に
ファイルを破壊してしまう場合があるため、発病時以外でも
システムがフリーズしてしまう場合がある。
発病時には、以下のメッセージが表示される。
EMPEROR
I will grind my hatred upon the loved ones.Despair
will be brought upon the hoping childs of happiness.
Wherever there is joy the hordes of the eclipse will
polluteSadness and hate under the reign of fear.In
the name of the almighty Emperor
備 考:ウイルスコードの中には以下の文字列がある。
the EMPEROR viruswritten by Lucrezia Borgiain
Colombia、 1999
名 称:ENCROACH
別 名:ENCROACH 2
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:不明
発祥地:不明
発見日:不明
詳 細:− カレントディレクトリ内の未感染の.COMフ
ァイル全てに感染する。
− メディアなどにライトプロテクト(書き込み禁止処
理)が施されている場合でも"書き込み不可"という意味の
エラーメッセージを表示しない。
名 称:END-OF
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:783バイト
発祥地:不明
発見日:不明
詳 細:− メモリに常駐していなければメモリ上位に
常駐し、オリジナルプログラムを実行する。
− 未感染ファイルを実行する度に感染する。
− ディレクトリチェンジの際、以前のディレクトリ内の
未感染ファイルに感染する。
− メディアなどにライトプロテクト(書き込み禁止処
理)が施されていると、感染活動時に"書き込み不可"とい
う意味のエラーメッセージを表示する。
備 考:
名 称:ENET-613
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:613〜628バイト
発祥地:不明
発見日:不明
詳 細:− カレントディレクトリ内の未感染の.COMフ
ァイル全てに感染する。一度に3つのファイルに感染す
る。
− 発病日に起動されるとキー入力があるまでメッセージ
を表示し続け、システムを再起動する。
− 感染時にファイルの日付と時刻は更新されない。
備 考:
名 称:ENO-2430
分 類:ファイル感染型
対 象:.EXE
ウイルスサイズ:2430〜2445バイト
発祥地:不明
発見日:不明
詳 細:− メモリに常駐していなければ常駐し、オリ
ジナルプログラムを実行する。
− 未感染ファイルを実行する度に感染する。
− メディアにライトプロテクト(書き込み禁止処理)が
施されていても、プログラム実行時に"書き込み不可"とい
う意味のエラーメッセージを表示しない。
− このウイルスはプログラムの中にカウンタを持ってい
る。ファイルに感染する度にカウンタは1づつ減少し、ゼロ
になるとハードディスクのデータを全て破壊する。
名 称:ENOLA
分 類:ファイル感染型
対 象:.COM;.EXE
ウイルスサイズ:1865〜1875バイト
発祥地:ロシア
発見日:不明
詳 細:− メモリに常駐していなければ常駐し、オリ
ジナルプログラムを実行する。
− 未感染ファイルを実行する度に感染する。
− メモリ常駐後約140分が経過するとハードディスクのデ
ータを全て破壊する。
− メディアなどにライトプロテクト(書き込み禁止処
理)が施されている場合でも、プログラム実行時に"書き込
み不可"という意味のエラーメッセージを表示しない。
備 考:サイズが2430バイトの亜種の存在が確認されて
いる。
名 称:EVIL EMPIRE
別 名:EVIL EMPIRE-A
分 類:システム領域感染型
対 象:FD:ブートセクタ;HD:マスターブートレコード
ウイルスサイズ:N/A
発祥地:カナダ
発見日:1991/4
詳 細:感染方法:
− 感染したディスクでシステムを起動すると、システムメ
モリの上位に常駐する。
常駐と同時にハードディスクのパーティションテーブルに
感染する。
トータルシステムメモリとフリーメモリが2、048byte減少す
る。
− 常駐後、書き込み禁止にしていないフロッピーを感染し
たシステムに挿入してアクセスすると、フロッピーのブ
ートセクターに感染する。
セクター10のルートディレクトリーはブートセクターが上
書きされて破壊される。
− 感染したフロッピーのブートセクターとハードディスク
のパーティションテーブルには文字列"PCAT"(
heartはアスキーのキャラクターコード、16進で03H)が含
まれている。
備 考:− Stonedウィルスから派生。
− ウィルス検索プログラムの中にはAzusaを識別するもの
もある。
− Azusa、 Evil empire-B、 Stoned参照。
名 称:EVILGEN
分 類:ファイル感染型
対 象:.EXE
ウイルスサイズ:955 or 963バイト
発祥地:不明
発見日:不明
詳 細:− メモリに常駐していなければメモリ上位に
常駐し、オリジナルプログラムを実行する。
− 未感染ファイルを実行する度に感染する。
− システムの日付が24日の時に「DEL」キーを押すと発病
し、Cドライブのセクタをひとつ無作為に選んで、ヘッド
0、
トラック0 からヘッド0、トラック20h まで初期化する。
− 感染ファイルの日付と時刻は更新されない。
− メモリ常駐時にDIRコマンドを実行してもファイルサイ
ズに変更が見られない。
− 全システムメモリが減少する。
名 称:EXEBUG
別 名:CMOS KILLER, SWISS BOOT
分 類:システム領域感染型
対 象:FD:ブートセクタ;HD:マスターブートレコード
ウイルスサイズ:N/A
発祥地:南アフリカ
発見日:不明
詳 細:感染方法:
−感染ディスクから起動すると、ウイルスがシステムメモ
リ上位、640K DOS境界下に常駐する。
−ウイルス常駐時にトータルシステムメモリと使用可能な
空きメモリが1024バイト減少する。
発病:
−感染マシンのCMOS設定を変更し、起動時にFDを検
出させないようにする。これにより感染マシンは必ずHD
のMBRから起動されることとなり、ウイルスが常駐して
しまう。ウイルス常駐後、ウイルスによりFDのシステム
が起動されるので見かけ上はFDから起動されたように見
える。
−CMOS設定を手動で変更してFDのシステムから起動
させた場合、HDへのアクセスができなくなることがあ
る。
その他:
−亜種の中には.EXEファイルにコードを上書きし破壊プロ
グラム化させるものがある。改変されたファイルは実行さ
れるとハードディスクの内容を破壊する。
備 考:−亜種
ExeBug.C:
5月に発病しハードディスクの内容を上書きして破壊す
る。
名 称:EXPER-416
別 名:EXPER、 EXPERIMENT
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:416バイト
発祥地:不明
発見日:不明
詳 細:− カレントディレクトリ内の未感染ファイル
に感染する。
− メディアなどにライトプロテクト(書き込み禁止処
理)が施されている場合、プログラム実行時に"書き込み不
可"という意味のエラーメッセージを表示する。
備 考:
名 称:EXPER-755
分 類:ファイル感染型
対 象:.EXE
ウイルスサイズ:755バイト
発祥地:不明
発見日:不明
詳 細:− カレントディレクトリ内の未感染ファイル
全てに感染する。
− メディアなどにライトプロテクト(書き込み禁止処
理)が施されている場合でも、プログラム実行時に"書き込
み不可"という意味のエラーメッセージを表示しない。
備 考:
名 称:EXPLODE
別 名:MICRO-31, TRIVIAL, TRIVIAL-30
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:不明
発祥地:不明
発見日:不明
詳 細:− カレントディレクトリ内の未感染ファイル
に感染する。
− 感染活動に関わらず以下のメッセージを表示する:
"Your hard drive is about to explode !"
この際、ハードディスクのデータを全て破壊することがあ
る。また、システムの日付が4月、5月以外の月であれば、
"Program too big to fit in memory."と表示す
る。
− 感染活動時、メディアにライトプロテクト(書き込み
禁止処理)が施されていると"書き込み不可"という意味の
エラーメッセージを表示する。