名 称:101
分 類:ファイル感染型
対 象:.COM;.EXE
ウイルスサイズ:2560バイト
発祥地:不明
発見日:不明
詳 細:カレントドライブの.COM及び.EXEファイルに感
染する。
システムの日付が9の倍数日(9日、18日、27日)であれば
発病し、画面上の文字を落下させる。それ以外の日であれ
ばブートセクタを書き換えて他のドライブにも感染する。
感染ファイルには
"VIRUS 101"
という文字が含まれる。
名 称:1024
分 類:ファイル感染型
対 象:.COM;.EXE
ウイルスサイズ:1024Byte
詳 細:感染ファイルを実行した時、COMMAND.COMに感染
しメモリに常駐する。
常駐後は起動されたファイルに感染する。
すでに感染されているファイルには、感染行動をおこさな
い。
感染する時、オリジナルファイルのタイムスタンプを変更
しない。
備 考:
名 称:1024-1
分 類:ファイル感染型
対 象:.COM, .EXE
ウイルスサイズ:1024bytes
詳 細:1)感染ファイルを実行した時、COMMAND.COMに
感染しメモリに常駐する。2)常駐後は起動されたファイル
に感染する。そのファイルが既に感染しているかを確認し
すでに感染されているファイルには、感染しない。
名 称:104
分 類:ファイル感染型
対 象:.COM;.EXE
ウイルスサイズ:400バイト
発祥地:不明
発見日:不明
詳 細:メモリ上位に常駐後、オリジナルルーチンに戻
る。
未感染の.COMまたは.EXEファイルが実行される度に感染す
る。
感染、増殖以外の破壊活動はなし。
使用割り込み命令:INT 21h
備 考:メディア等にライトプロテクト(書き込み禁止
処理)が施されている場合、
プログラム実行時に"書き込み不可"という意味のエラーメ
ッセージを表示する。
名 称:1067
別 名:HEADCRASH, HEADCRASH.1067
分 類:ファイル感染型、直接感染型
対 象:.COMウイルスサイズ:1067 bytes
詳 細:これは直接感染型ウイルスで、.COMファイルに
感染する。Int 21Hにフックして、TSRのようにメモリに常
駐し、奇数の日付(1st , 3rd ,5th...)に割り込みをかけ
る。しかし、これは感染するためではなく、メモリを暗号
化するためである。
症状:
ウイルス内部でランダムに設定された間隔で“Headcrash
Industries celebrate 001F hex” というメッセージを表
示する。
名 称:1241
分 類:ファイル感染型
対 象:.COM;.EXE
ウイルスサイズ:1560〜1570バイト
発祥地:不明
発見日:不明
詳 細:システムの日付が1990年11月13日以降であれば
発病し、以下のメッセージを表示しシステムを再起動す
る。
"St Cruz、 Dili、 1991 Nov 12. Lusitania Expresso、
Freedom for East Timor !"
システムの日付が1990年11月13日以前で、未感染ならばメ
モリ上位に常駐し、オリジナルルーチンに戻る。未感染の.
COMまたは.EXEファイルが実行される度に感染する。
使用割り込み命令:INT 21h
破壊:感染、増殖以外の活動はなし。
名 称:1308
別 名:DISKSPOILER
分 類:ファイル感染型
対 象: .COM
ウイルスサイズ:1308バイト
発祥地:ロシア
発見日:不明
詳 細:このウイルスはスタンダードな直接感染型ウイ
ルスである。感染したファイルを実行すると、カレントデ
ィレクトリの.COMファイルを探しウイルスコードをコピ
ーする。一度の実行時に感染できるファイルは一つだけで
ある。
ステルス行動はないが、感染時にコードを暗号化する。
備 考:- フロッピーディスク中のファイルに感染する
と、フロッピーディスクのクラスタが失われる。
名 称:1339
別 名:VACSINA
分 類:ファイル感染型
対 象:.COM;.EXE
ウイルスサイズ:1339バイト(COM),1471バイト(EXE)
発祥地:不明
発見日:不明
詳 細:感染方法:
感染ファイルには"VACSINA"という文字列が含まれ、使用可
能なフリ−メモリが減少しているのが確認できる。
常駐後DOSを監視し、未感染ファイルが実行される度に感染
する。
破壊:感染、増殖以外の活動はないものと思われる。
備 考:このウイルスには多数の亜種がある。
感染対象のファイルが既に亜種ウイルス(自分以外)に感
染している場合は、下記の方法により、対象ファイルから
亜種を取り除いて自分が感染する。
このグループには、各レベルのウイルスが存在する。
ウイルスは、他の下位レベル10hのVacinaウイルスを取り除
いて感染することができる。また、レベル10h以下のウイル
スについても感染できる。
名 称:163
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:163バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
カレントディレクトリ内の.COMファイルに感染する。
カレントディレクトリに.COMファイルがない場合もしくは
すでに感染している場合は、オリジナルプログラムをその
まま実行する。
備 考:(1)オリジナルファイルの最初の163バイトをフ
ァイルの最後に移動する。
(2)163バイトより小さいファイルは、最初の163バイトが
ウイルスコードで上書きされるためデータが破壊される。
(3)同一ファイルには再感染しない。
(4)感染ファイルの日付/時刻のタイムスタンプは更新され
ない。
名 称:1661
別 名:TURKEY 1661
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:1661byte
発祥地:不明
発見日:06/17
詳 細:感染方法:
メモリ常駐型で暗号化されたウイルスであり、.COMファイ
ルだけに感染する。感染に関しては暗号化されたウイルス
コードをオリジナルファイルの最後に付ける。一旦、ウイ
ルスファイルを実行してメモリに常駐すると、アクセスし
た.COMファイルに感染する。
使用割り込み命令:INT21
駆除:不可。ファイルを削除してバックアップから復元す
るほかない。
備 考:発見方法:ファイルサイズが1661バイト増え
る。
名 称:1701/1704
別 名:1701 MUTATION, 1704 FORMAT, 1704-B,
BLACKJACK, CASCADE, CASCADE-1621, CASCADE-1706, FALL,
FALLING LETTERS, RAINDROP VIRUS
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:1701 or 1704バイト
発祥地:ドイツ
発見日:1987/10
詳 細:−原型は、”トロイの木馬”型プログラムであ
った。
−常駐暗号化型で、.COMファイルに感染する。1987年後
半、常駐.COMファイル感染型に書き換えられる。
−感染ファイルを実行するとメモリーに常駐する。常駐後
に実行し.COMファイルに感染する。常駐後、全ての文字を
スクリーンの底辺に滝のように落とし積み上げる。
−オリジナルはウィルスサイズが1、701byteで、純正のIB
M−PCとそのコンパチ機両方に感染する。しかし、変種
はオリジナルよりサイズが3byte大きく、純正IBM−PC
には感染しない。他の面ではオリジナルと同じである。
−ウィルスの解析と発見ができないように暗号化アルゴリ
ズムを使う。マシンをチェックして、モニターのタイプ、
クロックカードの有無、現在の時間、季節など組み込んだ
高度なランダムアルゴリズムをもとにした活動メカニズム
を持つ。
−変種:
1701 Mutation: 検索を回避するために、2byte変更して
ある。
発見日: 1991年10月
1701ーB : 1701と同じだが、毎年の秋に活動する点が異
なる。
1701-Yap : オリジナルのCascadeウィルスから派生。こ
の変種は.COMファイルに1、701byteを追加して感染する。メ
モリにサイズ2、048byteのTSRとして常駐し、割込み番号21h
にフックをかける。アンチ・ウィルス・ユーティリティに
よる検索を回避するために、暗号化メカニズムが少し変更
してある。
発祥地: 不明 発見日: 1992年1
0月
1704 Format : Cascadeウィルスと同じだが、ウィルスが
発病するとディスクがフォーマットされる。1992年を
除く毎年10、11、12月に発病する。
発祥地: 不明 発見日: 1989年
1月
1704-C : Cascade-Bと同じだが、毎年12月にウィルス
が活動する点が異なる。
1704ーD : 1704と同じだが、機種選別ができないので純
正IBMマシンのみ感染。
174Y : Cascade 1704と同じであるが、ウィルスの1
byteが変更されている点が異なる。
Cascade-1621 : オリジナルのCascadeウィルスから派
生。この変種は.COMファイルに1、621byteを追加して感染す
る。メモリにサイズ1、936byteのTSRとして常駐し、割込み
番号21hにフックをかける。システム感染後に、バッチ・フ
ァイルを実行しようとすると、"Insufficientdisk space"
というメッセージが表示され、バッチ・ファイルは実行さ
れない。
発祥地: 不明 発見日: 1992年6
Cascade-1706 : オリジナルのCascadeウィルスから派
生。この変種は.COMファイルの最後に1、706byteを追加し
て感染する。メモリにサ
イズ2、064byteのTSRとして常駐し、割込み番号1Ch、 21hに
フックをかける。
発祥地: 不明 発見日: 1992年4
月
Cascade-B: Cascade と同じだが、文字落下は起こさず、
代わりに常駐後に不規則なリブートを掛ける。
Cunning: Cascade から派生。メロディーを奏でる点が
異なる。
名 称:1720
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:1723バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
メモリに常駐していなければ上位メモリに常駐する。
次にオリジナルルーチンに戻る。
.COMファイルが実行される度に感染する。
使用割り込み命令:INT 21h、INT 24h
備 考:
名 称:17690
分 類:ファイル感染型
対 象:.EXE
ウイルスサイズ:17690バイト
発祥地:不明
発見日:不明
詳 細:1)感染率は10パーセント。
ドライブA:の.EXEファイルを探し、そのファイルと同じ
名前で.COMファイルを作成する。
感染する場合、この新しく作られた.COMファイルがウイ
ルス本体である。2)感染しない場合、オリジナルプロ
グラムを実行する。
異常な動作が起こらないので、ユーザはウイルス感染に
気付かない。
備 考:
名 称:17-768
分 類:ファイル感染型
対 象:.COM;.EXE
ウイルスサイズ:768バイト
発祥地:不明
発見日:不明
詳 細:November-17thウイルスの変種。
ファイル感染型(.COM及び59920バイト未満の.EXEファイル
に感染)。
増加サイズ:ファイルは768(300h)バイト増加し、フリーメ
モリが800(320h)バイト減少する。
カレントディスクのセクタ1から順にセクタ8までを破壊す
る。
11月17日ウイルスに感染したプログラムが実行されると、
システムメモリ上位の、640K DOS 境界下に常駐する。
使用割り込み命令:INT 09h、 INT 21h
備 考:November-17thウイルスの発祥地は不明である。
このウイルスは1992年1月に発見され、以後イタリアのロ
ーマで1991年12月に大流行した。
メモリ常駐型で、COMMAND.COMを含む.COMと.EXEファイルに
感染する。
名 称:1800
別 名:BULGARIAN VIRUS, DARK AVENGER, SOFIA VIRUS
分 類:ファイル感染型
対 象:.COM;.EXE;.OVL
ウイルスサイズ:約1800バイト
発祥地:不明
発見日:不明
詳 細:感染ファイルの増加サイズは約1800バイトで
(.EXEファイルの場合、ファイルサイズは16の倍数となる
)、使用可能なフリ−メモリが減少しているのが確認でき
る。
感染ファイルには、
"Eddie lives...somewhere in time!"、"Diana P."
"This program was written in the city of Sofia (C)
1988-89 Dark Avenger"
という文字列が含まれる。
破壊:ウイルスはディスクのブートセクタに侵入する。
ディスクから起動されたプログラムの数をカウントし、16
プログラムごとにディスクのランダムクラスタをウイルス
コードの一部で上書きする。クラスタ数はブートセクタ内
に保存される。
次にブートセクタを書き換え、ディスクを上書きする。
名 称:1963
別 名:NECROPOLIS.1963
分 類:ファイル感染型
対 象:.COM;.EXE
詳 細: -感染方法 21Hの割り込み命令を使用
し、ウイルスを起動する。メモリに常駐し、アクセスした
ファイルに感染する。
ウイルスモジュールはCOMファイ
ルのHeader、EXEファイルの
HeaderとProgram Bodyの間に書
き込む。
-損害 上書きタイプウイルスなので、オリジナル
データが破壊され駆除できなくなる。
備 考:そのファイルを削除しオリジナルファイルを使
用してください。