名 称:YAN2505A
分 類:ファイル感染型
対 象:.EXE;.COM
ウイルスサイズ:2505バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
1)メモリに常駐しているかどうか確認する。
もし常駐していなければ、上位メモリに常駐する。
その後、オリジナルルーチンを実行する。
2)未感染の.COMまたは.EXEファイルが実行される度に感
染する。
使用割り込み命令: INT 21H、INT 24H
破壊: 感染、増殖以外の活動はなし。
識別方法: 感染ファイルは 2505 バイト増加する。
備 考:
名 称:YANK-D.TP.44.A
別 名:YANKEEDOODLE、 TP44VIR、 FIVE0`CLOCK VIRUS
分 類:ファイル感染型
対 象:.EXE;.COM
ウイルスサイズ:2、885 or 2、899バイト
発祥地:オーストラリア、ブルガリア
発見日:1989/09
詳 細:−常駐型で.COMと.EXEファイルに感染する。
−ブルガリアではTP44VIRとして知られている。
−感染ファイルの増加サイズは2、899byteである。
−常駐してから、17:00になると"Yankee Doodle"をシステ
ムスピーカーから奏でる。
−"Yankee Doodle"を奏でる以外にファイルに感染するだけ
で、ダメージは与えない。
−感染ファイルの増加サイズは2、899byteである。
−変種の中にはPing Pongウィルスを探して、100個のファ
イルに感染するとPing Pongが自己崩壊するように書き換え
てしまう変種がある。
−変種: TP33VIR :デバッカーで発見されないよう
に、割り込み番号01h、03hを使えないようにする。更にファ
イルに感染すると午後5時に"YankeeDoodle"を奏でるよう
に変更されている。感染ファイルの最後から2番目のバイ
トにウィルスのバージョンナンバーを持つ。この変種の場
合バージョンは"21h"(16
進で33)である。
TP34VIR :TP33VIRと同じであるが、常駐後に実行
したプログラムに感染する。感染ファイルの最後から
2番目のバイトに"22h"(34)を持つ点
が異なる。
TP38VIR :TP34VIRと同じであるが、異なった方法
で.COMと.EXEファイルに感染する。この変種はメモリーに
CodeViewがロードされると
メモリーから消える。更に、感染ファイルの最後から2番
目のバイトに"26h"(38)を持つ点等が異なる。この変種はブ
ルガリアで一番古いウィルス。1988年にブルガ
リアで発見され
TP41VIR :TP38VIRと同じであるが、感染ファイル
の最後から2番目のバイトに"29h"(26)を持つ点が異な
る。
TP42VIR :Vacsinaの変種で、システムにPing Pong
が感染しているかどうかをチェックして、感染してい
れば書き換えて無害にしてしまう。
感染ファイルの最後から2番目のバイトに"2Ah"(42)を持
つ。
TP44VIR :TP42VIRと同じであるが、感染ファイル
の最後から2番目のバイトに"2Ch"(44)を持つ点が異なる。
TP45VIR :TP44VIRと同じであるが、感染ファイル
の最後から2番目のバイトに"2Dh"(45)を持つ点が異な
る。
TP46VIR :TP45VIRと同じであるが、この変種は
Cascade(1701)を探し発見すると除去してしまう。感染
ファイルの最後から2番目の
バイトに"2Eh"(46)を持つ点等が異なる。Yankee Doodle-
1905:TP44VIRより派生。常駐型でCOMMAND.COMを含む.COM
ファイル
と.EXEファイルに感染する。割り込み番号1Chと21hにフッ
クを掛ける。常駐後トータルシステムメモリと使用可能な
フリ−メモリを30、464byte減少させる。
常駐後,実行したファイルの最後にウィルスコ−ドを追加
して感染する。感染後のファイルの増加サイズは1、905byte
から1、924byteのあいだである。感染ファ
イルは全て最後付近に"Zak!"という文字列を持
発祥地:不明 発見日:1992年7月
Yankee Doodle-2505:TP44VIRより派生。常駐型で,
COMMAND.COMを含む.COMファイルと.EXEファイルに感染す
る。割り込み番号
1Chと21hにフックを掛ける。常駐後、ト−タルシステムメ
モリと使用可能なフリ−メモリを5、408byte減少させる。常
駐後,実行したファイルの最後にウィルスコ
−ドを追加して感染する。感染後のファイルの増加サイズ
は2、505byteから2、524byteのあいだである。感染ファイル
のタイムスタンプは変更されない。
発祥地:不明 発見日:1992年10
月
Yankee Doodle-2973:TP44VIRより派生。常駐型で,
COMMAND.COMを含む.COMファイルと.EXEファイルに感染す
る。割り込み番号
09h、13h、21hにフックを掛ける。常駐後、ト−タルシステ
ムメモリと使用可能なフリ−メモリを3、232byte減少させ
る。常駐後,実行したファイルの最後にウ
ィルスコ−ドを追加して感染する。感染後のファイルの増
加サイズは2、973byteから2、986byteのあいだである。感染
ファイルのタイムスタンプは変更されない。
発祥地:不明 発見日:1992年10
月
Yankee Doodle-B:Yankee Doodleと同じであるが、ウィル
スコードサイズが2、772byteである点が異なる。
YD Logon-D :TP44VIRの変種で、サイズは3、045byteか
ら3、060byte。メモリ中のサイズは3、312byteで、割り込み
番号
1Chと21hにフックを掛ける。実行した.COMと.EXEファイル
に感染する。感染ファイルには"LOGON.EXE"と"bbug"という
文字列が含まれる。
発祥地:不明 発見日:1992年5月
YD Logon-E :YD Logon-Dより派生。上記ウィルスのマ
イナーバージョン。.COMと.EXEファイルに感染し、感染後
のファイルの増加サイズ
は3、045byteから3、060byte。この変種は"LOGIN.EXE"と"bb"
という文字列を持つ。
発祥地:不明 発見日:1992年5月
YD Logon-X :TP44VIRより派生。サイズは2、968byteか
ら2、987byteのあいだで、実行した.COMと.EXEファイルに感
染する。プログラムを潰したり、ファイルを上書きする場合
もある。メモリ中のサイズは3、232byteで、割り込み番号
09h、1Ch、21h、28hにフックを掛け
発祥地:不明 発見日:1992年6月
備 考:
名 称:YAR.590
別 名:YARD.590、 YARD-590
分 類:ファイル感染型
対 象:.COM、.EXE
ウイルスサイズ:590バイト
発祥地:不明
発見日:不明
詳 細:感染方法 :
感染ファイルを実行すると、ウイルスは.COMファイルと.
EXEファイルを探す。また、ファイルヘッダーをチェック
し、感染の有無を判断する。すでに感染しているときは、
再感染することなく別ファイルの検索に移る。
感染したファイルには、その末尾にウイルス自身のコード
を書き加え、ファイルヘッダーを変更する。なお、.COMフ
ァイルへの感染は、ファイルサイズが64、945バイト以下の
ときにだけ起こる。ステルス行動をとらず、フロッピーデ
ィスクやハードディスクのブートセクターに感染すること
もない。
症状 :
多くのウイルス同様に破壊コードを含まず、自己複製する
のみ。また、プログラムのロード時間が長くなる。
備考 :
YAR.590の性質上、感染ファイルを残したままの駆除は不可
能であり、ウイルスを除去するには、すべての感染ファイ
ルを削除し、再インストールする必要がある。
名 称:YESMILE
別 名:SMILE、 YEAH、 YESSMILE、 SWILE-B、 CRAZY_NINE
分 類:複合感染型
対 象:HD:マスターブートレコード;.COM;.EXE
ウイルスサイズ:不明
発祥地:不明
発見日:不明
詳 細:感染方法:
1)感染ファイルを実行すると、ハードディスクに感染す
る。
2)メモリに常駐していなければ常駐する。
3)未感染ファイルが実行される度に感染する。
破壊:感染時にスピーカーから笑い声を流すことがある。
− ウイルスのステルス活動により、ウイルスのメモリ常
駐時には感染ファイルやMBRからウイルスコードを発見でき
ない
備 考:
名 称:YONYU
別 名:QUOX、 STEALTH 2
分 類:システム領域感染型
対 象:FD:ブートセクタ;HD:マスターブートレコード
ウイルスサイズ:N/A
発祥地:タイ
発見日:1992/07
詳 細:感染方法:
−このウイルスに感染したフロッピーディスクでマシンの
起動動作を行うとハードディスクのシステム領域(マスタ
ーブートレコード)に感染する。
−このウイルスに感染したハードディスクでマシンを起動
すると、メモリーに常駐してファイルの入出力を監視す
る。その後、書き込み可能なフロッピーディスクにアクセ
スする
と、そのディスクのブートセクタに感染する。
発病:
−特にウイルス自身による破壊活動はないものと思われ
る。
−ウイルスがメモリに常駐していない状態では、感染した
フロッピーディスクの内容にアクセスできない場合がほと
んどである。
その他:
−ウイルスのステルス行動によりウイルス常駐時にブート
レコードの内容にアクセスしても感染前の情報が得られ
る。
−メディアなどにライトプロテクト(書き込み禁止処理)
が施されている場合でも、プログラム実行時に"書き込み不
可"という意味のエラーメッセージを表示しない。
備 考:「QUOX」で検出される。