名 称:MACGYV_V4.0
分 類:ファイル感染型
対 象:.EXE
ウイルスサイズ:N/A
発祥地:不明
発見日:不明
詳 細:- このウイルスは「MACGYVER」ウイルスの一統で
ある。MACGYVERの亜種の多くがそうであるように、このウイ
ルスはメモリに常駐し対象ファイルにウイルスコードを付
け加える。
感染方法:
- 感染ファイルを実行すると、まずメモリに常駐し、その後
アクセスしたファイルすべてに感染する。
損害:
- 破壊活動なし。
名 称:MACGYV_V4.0-1
別 名:MACGYVER
分 類:ファイル感染型
対 象:COM EXE
ウイルスサイズ:4480 bytes
発祥地:台湾
発見日:09.09.1993
詳 細:MacGyverウイルスの変種。COMファイルとEXEフ
ァイルに感染する。
感染ファイルにウイルスコード(4,480バイト)を書き加え
る。
また、活動中に音を鳴らす
備 考:ウイルスコード中に次のテキストがある。
MacGyver v4.0 written by Dark Slayer Taiwan. 93/09/09
名 称:MACGYVER
別 名:MACGYBER.2803, MACGYVER255, MAD SATAN,
MCGY, SATAN, SHOO
分 類:ファイル感染型
対 象:.EXE
ウイルスサイズ:2、824バイト
発祥地:台湾
発見日:1993/9
詳 細:感染方法:
感染プログラムが実行されると、メモリに常駐する。常
駐サイズは3、072バイト。常駐後は、.EXEファイルがオープ
ン、また実行される度に感染する。
− ウイルスコード内に以下の文字列を含む:
"SCANVIR.SHW"
− ウイルスコード内に以下の文字列が暗号化されて含ま
れている:
"SCAN ZTEST EXEGOD MACGYVER V1.0 Written by
JOEY in Keelung. TAIWAN"
− ウイルスの常駐時に.EXEファイルを実行すると頻繁に
システムハングが起る。また、DOSのCHKDSKコマンドを実行
すると、感染ファイルにファイルアロケーションエラーが
見られる。
− ウイルスのステルス行動により、ウイルスのメモリ常
駐時には感染ファイルのサイズ増加が確認できない。
− 感染してもファイル日時は更新されない。
備 考:− 2803バイトから4645バイトまで様々なファ
イルサイズの亜種が確認されている。
名 称:MACGYVER-E
別 名:MACGYVER.3
分 類:ファイル感染型
対 象:.COM, .EXE
ウイルスサイズ:4,640 bytes
発祥地:台湾
発見日:1993
詳 細:これはMacGyverの亜種である。.COMと.EXEに感
染し、感染時にファイルに4640 bytesのコードを付け加え
る。
症状:感染したファイルを実行すると音をならす。感染す
るだけで、そのほか破壊活動はない。
備 考:このウイルスのコードには以下のテキストが含
まれる。
3*.MacGyver 3.*3
3 Hi! I am MacGyver 3
3 Written by 3
3 ..:) .. 3
3 in .. :), Taiwan. 3
3 Don’t Worry, I just 3
3 a Virus. Ha..Ha.. 3
名 称:MADE-255
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:255バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
1)カレントディレクトリ内の.COMファイルを探し出す。
2)すでにMade-255ウイルスに感染していれば他の未感染.
COMファイルを探す。
3)一度に感染するファイルは1つだけ。
破壊:感染、増殖以外の活動はなし。
備 考:1)感染ファイルを実行するとシステムがハング
する。
2)メディアなどにライトプロテクト(書き込み禁止処理)
が施されている場合、プログラム実行時に"書き込み不可"
という意味のエラーメッセージを表示する。
名 称:MAGNITOGORSKI-3
分 類:ファイル感染型
対 象:.COM;.EXE
ウイルスサイズ:3000バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
メモリに常駐していなければメモリ上位に常駐する。
その後、オリジナルルーチンに戻る。
未感染の.COMまたは.EXEファイルが実行される度に感染す
る。
名 称:MAGNUM
分 類:ファイル感染型
対 象:.COM;.EXE
ウイルスサイズ:2560バイト(.COM、.EXE)
発祥地:不明
発見日:不明
詳 細:感染方法:
1)メモリに常駐していなければ常駐する。
2)常駐後、オリジナルファイルを実行する。
3)メモリに常駐し、未感染のファイルが実行される度に感
染する。
破壊:感染、増殖以外の活動はなし。
−DOS3.3の環境でしか感染しない。
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合でも、プログラム実行時に"書
き込み不可"という意味のエラーメッセージを表示しない。
名 称:MAINMAN.263
別 名:MAINMAN.GEN
分 類:ファイル感染型
対 象:Dos EXE
ウイルスサイズ:263 bytes
発見日:1997/06
詳 細:これは.COMファイルに感染する直接感染型ウイ
ルスである感染したファイルを実行すると、カレントディ
レクトリにある.COMファイルを探し、見つかったファイル
すべてにコードをコピーして感染する。感染したファイル
は263bytesサイズが増加する。
損害:
感染するだけで特に破壊活動はない。
備 考:コード内に以下のテキストがある。
“written by mainman”
名 称:MALAISE
分 類:ファイル感染型
対 象:全てのファイル
ウイルスサイズ:1335〜1365バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
1)メモリに常駐していなければ常駐する。
2)常駐後、オリジナルファイルを実行する。
3)メモリに常駐し、未感染のファイルが実行される度に感
染する。
破壊:感染、増殖以外の活動はなし。
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、プログラム実行時に"書き込
み不可"という意味のエラーメッセージを表示する。
名 称:MANOLA
分 類:ファイル感染型
対 象: .COM
ウイルスサイズ:831bytes
詳 細:ウイルスは、現在の日付が7日かチェックしま
す。 そうであれば、次のメッセージを表示し、システムを
再起動します。
"The Atomic Dustbin 2B - I'm Here To Stay".
上記条件に合致しない場合は、カレントディレクトリに未
感染の.COMファイルを検索して、感染します(一度に1つの
ファイルだけに感染します)。
ダメージ: ウイルスがシステムを「再起動」することがあ
ります。
症状:感染したファイルは、サイズが831バイト増加しま
す。
備 考:メモリに常駐しません。
INT 24hをフックしないので、感染時に、エラーメッセ
ージが現れます。
名 称:MANOLA-1
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:831バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
システムの日付が7日であれば発病し、
"The AtomicDustbin 2B - I’m Here To Stay"
と表示した後、システムを再起動する。7日以外の日であれ
ば、
カレントディレクトリから未感染.COMファイルを探して1つ
ずつ感染する。
破壊:システムを再起動することがある。
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、プログラム実行時に"書き込
み不可"という意味のエラーメッセージを表示する。
名 称:MANZON
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:N/A
詳 細:感染方法:
1) 1417バイトのウイルスコードを解読し、1728バイトを
HMA内にアロケートします。
2) サイズ1712バイトのコードをHMAに転送します。
3) INT 21をフックします。
4) 元のルーチンに制御を戻します。
5) メモリに常駐後、アクセスした.COMファイルすべてにウ
イルスコードをコピーして感染します。
- このウイルスは感染ごとにコードを変更するポリモフィ
ック型(ミューテーション型)です。
備 考:このウイルスコードには、プログラムの文字列
とdosユーティリティが含まれていて、ウイルスはこれを使
って感染先ファイルとの比較を行います。
名 称:MARAUDER
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:860バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
1)カレントディレクトリ内の.COMファイルを探し出し、
Marauderウイルスに感染していなければ感染する。
2)すでに感染していれば他の未感染.COMファイルを探す。
.EXEファイルには感染しない。
3)その後、オリジナルファイルを実行する。
破壊:
システムの日付が2月2日であれば発病し、
"=[Marauder]1992Hellraiser - Phalcon/Skism."
という文字列でファイルは全て上書きされる。
名 称:MARCH-25H
分 類:ファイル感染型
対 象:.COM;.EXE
ウイルスサイズ:1056バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
1)感染ファイルを実行すると、ウイルスはすでにメモリに
常駐しているかチェックする。
2)すでに常駐していれば、感染ファイルを実行する。
ウイルスはMCB (memorycontrol block)上位、DOS 640k
境界下に常駐する。
空きメモリが1056 (420H)バイト減少する。
3)196608バイト未満の.COM及び.EXEファイルがハードディ
スクから実行されると感染する。
破壊:ハードディスクを破壊する。
-感染ファイルは1025〜1040バイト(401h〜410h)増加し、末
尾にウイルスコードを持つ。
-システムの日付が3月25日であれば、C:ドライブの以下の
場所に無意味なデータを書き込む。
セクタ0〜6、シリンダ0、ヘッド0
セクタ1〜7、シリンダ1、ヘッド0
セクタ1〜7、シリンダ2、ヘッド0
名 称:MASSACRE
別 名:KEEPER.MASSACRE
分 類:ファイル感染型
対 象:.COM;.EXE
ウイルスサイズ:742〜-778byte
発祥地:不明
発見日:不明
詳 細:
− メモリに常駐していなければメモリ上位に常駐し、オ
リジナルプログラムを実行する。
− 未感染ファイルを実行する度に感染する。
− 感染時にファイルの一部を上書きするため駆除はでき
ない。
名 称:MATH-TEST
分 類:ファイル感染型
対 象:.COM;.EXE
ウイルスサイズ:1136バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
メモリに常駐していなければ、上位メモリに常駐する。
常駐後、オリジナルルーチンに戻る。
未感染の.COMまたは.EXEファイルが実行される度に感染す
る。
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、プログラム実行時に "書き
込み不可"という意味のエラーメッセージを表示する
名 称:MD-354
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:354バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
カレントディレクトリ内の未感染.COMファイルを探し出し
て1つずつ感染する。
破壊:感染、増殖以外の活動はなし。
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、プログラム実行時に "書き
込み不可"という意味のエラーメッセージを表示する。
名 称:MEDICAL
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:189バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
1)カレントディレクトリ内の.COMファイルを探し出す。
2)すでにMedicalウイルスに感染していれば他の未感染.
COMファイルを探す。
3)一度に感染するファイルは1つだけ。
破壊:感染、増殖以外の活動はなし。
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合でも、プログラム実行時に"書
き込み不可"という意味のエラーメッセージを表示しない。
名 称:MEGATRENDS-2000
別 名:EINSTEIN-MAGIC, FRANKENSTEIN
分 類:システム領域感染型
対 象:FD:ブートセクタ;HD:マスターブートレコード
ウイルスサイズ:N/A
発祥地:不明
発見日:不明
詳 細:感染方法:
1)このウイルスに感染したフロッピーディスクでマシン
の起動動作を行うとハードディスクのシステム領域(マス
ターブートレコード)に感染する。
2)このウイルスに感染したハードディスクでマシンを起
動すると、メモリーに常駐してファイルの入出力を監視す
る。
3)その後、書き込み可能なフロッピーディスクにアクセ
スすると、そのディスクのブートセクタに感染する。
−パーティションテーブルを暗号化する。よって、駆除は
MONKEYウイルスと同じ方法で行う必要がある。
「fdisk /mbr」を使用しての駆除はできない。
−10月30日、12月25日、5月31日に発病する。
(発病などの活動については現在解析中)
名 称:METAL_MILITIA
別 名:IMMORTAL RIOT, MMIR
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:1、054〜1055バイト
発祥地:不明
発見日:不明
詳 細:感染詳細:
メモリに常駐後は、.COMファイルが実行される度に感染す
る。
ファイルに感染する際、ウイルスはファイルの先頭に追加
される。
感染ファイルのサイズは1、054〜1055バイト増加する。
感染ファイルの日付及び時刻情報は変更されない。
−ウイルスは以下の文字列を含む。
"Senseless Desctruction..."
"Protecting what we are joining together to take
on the world.."
"METAL MiLiTiA [iMMORTAL RIOT] SVW"
備 考:空きメモリが3、072バイト減少する。
名 称:MG-1
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:757Bytes
発祥地:不明
詳 細:感染方法
- メモリに常駐すると、ユーザーがCOMファイルを実行しよ
うとしたとき、またはDOSモードで起動して「DIR」コマンドを
実行したときに、COMファイルに感染する。
- 感染ファイルが実行された場合は、ウイルスはそのファ
イルのカレントディレクトリのCOMファイルのひとつに感染
する。感染対象ファイルが実行されている必要はない。
- DIRコマンドが実行された場合も同様に、感染ファイルが
あるカレントディレクトリの中のファイルのひとつに感染
する。
感染兆候:
- ウイルスに感染したファイルはサイズが757バイト増加
する。しかし、ウイルスがすでにメモリに常駐している場合、
ファイル・サイズとタイム・スタンプはオリジナルと全く
同じものが表示される。ウイルスコードはファイルの最後尾
に付く
- ウイルスがメモリに常駐している状態で、DOSの[CHKDSK]
プログラムを実行すると、COMファイルのファイルアロケ
ーションエラーが起きる。
- [DIR]コマンドも正常に機能しない。例えば、
>DIR A:\*.COM
というコマンドを打つと、.COMファイルがAドライブに現に
存在していているにもかかわらず、
>File not found.
というエラーメッセージが返ってくる場合がある。エラーを
返さない場合でも、[DIR]コマンドのレスポンスが遅くなり、
コマンドを実行後、しばらく経ってからディレクトリ一覧を
表示する。
備 考:- ウイルスが常駐しているためにアロケーショ
ンテーブルにアクセスできず、予期せぬシステムハングが起
きる場合もある。
名 称:MICHELANGELO
分 類:複合感染型
対 象:FD:ブートセクタ;HD:マスターブートレコード;.
COM
ウイルスサイズ:N/A
発祥地:スウェーデンまたはオランダ
発見日:1991/04
詳 細:感染方法:
−感染したフロッピーディスクでシステムを起動しようと
すると、システムメモリ上位,DOSの640K境界下に常駐す
る。起動が成功か不成功かに関らず、メモリに常駐する。
−常駐後、アクセスしたフロッピーディスクのブートセク
タに感染する。ユーザーがハードディスクのファイルにア
クセスすると、ハードディスクのマスターブートレコード
にも感染する。
−360K 5.25インチ・フロッピーディスクの場合、オリジナ
ルのブートセクタはウイルスにより、ルートディレクトリ
の最後のセクタ、セクタ11に移動される。
−1.2M 5.25インチ・フロッピーディスクの場合、オリジナ
ルのブートセクタはルートディレクトリの一部、セクタ28
にリロケートされる。オリジナルのブートセクタがルート
ディレクトリに移動することにより、ルートディレクトリ
の上書きされた部分にあるエントリは破壊される。
−マスターブートレコードに感染すると、オリジナルのパ
ーティションテーブルはハードディスクのサイド0、シリン
ダ0、セクタ7に移動する。
発病:
−3月6日に発病する。その際、ハードディスクをフォ
ーマットし、システム・メモリのランダムなキャラクタ文
字列で上書きする。
名 称:MI-NAZI
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:1084バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
1)カレントディレクトリの.COMファイルを探し出す。
2)すでに感染していれば他のファイルを探す。
3)未感染ファイルがあれば1つずつ感染する。カレントデ
ィレクトリの全ての.COMファイルに感染する。
破壊:
ウイルスプログラムに欠陥があるため、感染ファイルは正
常に実行できず、再感染やデータの破壊もできない。
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、プログラム実行時に"書き込
み不可"という意味のエラーメッセージを表示する。
名 称:MINDLESS
分 類:ファイル感染型
対 象:.COM
発祥地:不明
発見日:不明
詳 細:感染方法:
1)システムの曜日が日曜日であれば発病し、ハードディス
クのデータを全て破壊する。
2)それ以外の曜日であれば、カレントディレクトリの*.C*
ファイルを探し出す。
3)カレントディレクトリの全ての *.C* ファイルに感染す
る。
破壊:
1)システムの曜日が日曜日であれば、ハードディスクのデ
ータを全て破壊する。
識別方法:なし
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、プログラム実行時に"書き込
み不可"という意味のエラーメッセージを表示する。
名 称:MINI-195
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:195または218バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
カレントディレクトリ内の未感染#*.COMファイル("#"はA〜
Zまでのアルファベット。例: A*.com、F*.COM、X*.COM
等)を探し出して1つずつ感染する。
破壊:感染、増殖以外の活動はなし。
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、プログラム実行時に "書き
込み不可"という意味のエラーメッセージを表示する。
名 称:MINI-2
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:変化なし
発祥地:不明
発見日:不明
詳 細:感染方法:
1)カレントディレクトリ内の.COMファイルを探し出す。
2)すでにMINI-2ウイルスに感染していれば他の未感染.COM
ファイルを探す。
3)ディレクトリ内の全ての.COMファイルに感染する。
破壊:
オリジナルファイルを上書きするので、ファイルの大きさ
は変わらない。
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、プログラム実行時に"書き込
み不可"という意味のエラーメッセージを表示する。
名 称:MINI-207
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:207バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
カレントディレクトリ内の未感染.COMファイルを探し出し
て感染する。
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、プログラム実行時に"書き込
み不可"という意味のエラーメッセージを表示する。
名 称:MINI-212
分 類:ファイル感染型
対 象: .COM
ウイルスサイズ:212または300バイト
詳 細:実行手順:
1) カレントディレクトリの「A」で始まる.COMファイルを
検索します。
2) それがMini-212に感染済みかを確認します。感染済みで
あれば、検索を続けます。
3) ディレクトリ内の1つのファイルに感染します。
ダメージ: なし
検出方法: 感染したファイルは約212バイトか300バイト増
加します。
注 意:
1) メモリに常駐はしません。
2) INT24hをフックしません。I/Oエラーが発生した場合、
エラーメッセージが表示されます。
名 称:MINI-212/300
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:212 または 300バイト(.COM)
発祥地:不明
発見日:不明
詳 細:感染方法:
1)カレントディレクトリ内で、ファイル名がA〜Zのアルフ
ァベットのうちいずれかで始まる.COMファイルをランダム
に探し出す。
2)すでにMINI-212/300ウイルスに感染していれば他の未感
染.COMファイルを探す。
3)一度に1つのファイルに感染する。
破壊:感染、増殖以外の活動はなし。
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、プログラム実行時に"書き込
み不可"という意味のエラーメッセージを表示する。
名 称:MINIMITE
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:183バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
1)カレントディレクトリ内の.COMファイルを探し出す。
2)すでにMinimiteウイルスに感染していれば他の未感染.
COMファイルを探す。
3)ディレクトリ内の未感染COMファイルを探し出して感染
する。
破壊:感染、増殖以外の活動はなし。
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、プログラム実行時に"書き込
み不可"という意味のエラーメッセージを表示する。
名 称:MINOSSE
分 類:ファイル感染型
対 象:.EXE
ウイルスサイズ:3075バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
ミューテーション型で、DEBUGコマンドを実行しても自分の
痕跡を隠してしまう為発見できない。
MINOSSEに感染したファイルを実行すると、以下のことが起
こる。
1. ウイルスコードを解読する。
2. MCB (memory control block)上位、DOS 640k境界下
に常駐する。
破壊:
システムの日付が6月25日以降であれば発病し、システムを
ハングする。
感染ファイルは3075バイト増加し、ファイル末尾にウイル
スコードを持つ。
空きメモリが5772バイト減少する。
特徴:空きメモリが減少する。
"Minose1V5 (c)93 WilliWonka." と表示される。
備 考:ミューテーション型で非常に手強いタイプであ
る。
名 称:MINSK-GH
分 類:ファイル感染型
対 象:.COM;.EXE
ウイルスサイズ:1450-1490バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
メモリに常駐していなければ、上位メモリに常駐する。
常駐後、オリジナルルーチンに戻る。
未感染の.COMまたは.EXEファイルが実行される度に感染す
る。
備 考:DOS 5.0では感染しない。
名 称:MIX-1
別 名:ICELANDIC.1618, MIXER1A, VIRUS1618
分 類:ファイル感染型
ウイルスサイズ:約1618バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
1)メモリに常駐していなければ常駐する。
2)常駐後、オリジナルファイルを実行する。
3)メモリに常駐し、未感染のファイルが実行される度に感
染する。
破壊:
BIOS機能を使用し、シリアル/パラレルポートに送られる文
字を変換(混合)させるのがこのウイルスの発病症状であ
る。ポートに送られた文字(バイト)は、ウイルス自身の
持つ変換表により変換される。メモリに常駐して50分が経
過すると、キーボードの機能定義を変更する。
この時からCapsLock機能はOFFに、Numlock機能はONにセッ
トされる。
この時点までにコンピュータが再起動されていなければ、
Del 、Ctrl及びAltの3つのキーが同時に押されるか
どうか監視する。
これら3つのキーが押されると、「ALT」キーを無効にしてリ
セットをさせない。
代わりに画面変更ルーチンを起動するが、これは失敗す
る。
テキストモードでは、ビデオページ0の属性を全て変更す
る。
全ての属性を1ずつ増やしていき、256になるとリセットす
る。
メモリに常駐して60分が経過すると、Ping-Pongウイルスで
見られるように画面でボールが弾み出す。
このボールは"o"の文字でできており、その動きはBIOSによ
って制御されている。
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、プログラム実行時に"書き込
み不可"という意味のエラーメッセージを表示する。
名 称:MMIR.DAS_BOOT
別 名:BERYLLIUM
分 類:システム領域感染型
対 象:FD:ブートセクタ;HD:マスターブートレコード
ウイルスサイズ:N/A
発祥地:不明
発見日:不明
詳 細:感染方法:
このウイルスに感染したフロッピーディスクでマシンの起
動動作を行うとハードディスクのシステム領域(マスタ
ーブートレコード)に感染する。
このウイルスに感染したハードディスクでマシンを起動す
ると、メモリーに常駐してファイルの入出力を監視する。
その後、書き込み可能なフロッピーディスクにアクセスす
ると、そのディスクのブートセクタに感染する。
−表示ルーチンを持っており、表示内容は以下の通りであ
る。
You cannot boot from this diskette.
Please SWITCH OFF the computer and start again.
−また、ウイルスコード内に、以下の文字列が含まれてい
る。
BERYLLIUM!
−その他、特にウイルス自身による破壊活動はないものと
思われる。
名 称:MOG
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:328バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
カレントディレクトリ内の未感染.COMファイルを探し出し
て感染する。
その後、
" Maccabi Yafo !!!!!" と表示する。
未感染ファイルの有無に関わらず、システムの日付が日付
が2月25日であればシステムをハングする。
破壊:システムをハングすることがある。
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、プログラム実行時に "書き
込み不可"という意味のエラーメッセージを表示する。
名 称:MOMBASA
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:3568バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
1)ウイルスに感染したファイルを実行すると、MCB (
memory control block)上位、DOS 640k境界下に常駐す
る。空きメモリが3584バイト減少する。
2)常駐後、C:ドライブのCOMMAND.COMや他の.COMファイル
が実行されると感染する。
感染ファイルは3568バイト増加し、末尾にウイルスコ
ードを持つ。
−自分の痕跡を隠すミューテーション型ウイルス。
MOMBASAウイルスがメモリに常駐している状態では、ファ
イルサイズを変更しても、オリジナルサイズを元に戻す
ので変更に気付きにくい。
ディレクトリを作成また削除したり、A:やB:ドライブなど
のデフォルトドライブを選択すると、ウイルスはディスク
に何かデータを書き込もうとするがこれは失敗する。
破壊:
画面がフェードアウトしていき、真っ暗になる。
すると、システムがハングし、ハードディスクドライブの
ブートセクタとFATが破壊される。
感染ファイルは3568バイト増加し、末尾にウイルスコード
を持つ。
特徴:次のメッセージを表示する。
"I’m gonna die...Attackradical...Mombosa virus (
MM 92’)."
名 称:MONGOLAIN
分 類:システム領域感染型
対 象:FD:ブートセクタ;HD:マスターブートレコード
ウイルスサイズ:N/A
発祥地:不明
発見日:不明
詳 細:感染方法:
1)感染したディスクで起動するとメモリに常駐し、ハ
ードディスクのパーティションテーブルに感染する。
2)メモリ常駐後、アクセスしたフロッピーディスクのブ
ートセクタに感染する。
_
−5月30日に感染したシステムを起動すると、パーティ
ションで区切られた全てのブートセクタを開始セクタから
17セクタ分をデータ"0FEBEh"で上書き破壊する。
その後、パーティションテーブル(1セクタ)も同様に上
書き破壊して、以下のメッセージを表示する。
Mongolain Virus VERSION 1.00 Mongolian
Brain Co.Ltd 1992
Today is birthday of my babby !!!
上記の文字列は暗号化されている。
−感染したシステムで、フロッピーディスクにフォーマッ
トを掛けようとするとブートセクタへの書き込みエラー
で、正常にフォーマットが掛からない場合がある。
−ステルスを行っているので、ウイルスコードにはアクセ
スできない。
オリジナルのブートセクタ(パーティションテーブル)
とウイルスの本体を保存してある最終の3セクタにアク
セスしようとすると、アクセスエラーを起こす。
−ウイルス感染したシステムでは、ドライブへのアクセス
が非常に遅くなるため、システムの起動やアプリケーショ
ンの起動、ファイルの読み書きが遅くなる。
名 称:MONKEY
別 名:MONKEY-1, STONED.EMPIRE.MONKEY.B
分 類:システム領域感染型
対 象:FD:ブートセクタ;HD:マスターブートレコード
ウイルスサイズ:N/A
発祥地:不明
発見日:1992/10
詳 細:感染方法:
−このウイルスに感染したフロッピーディスクでマシンの
起動動作を行うとハードディスクのシステム領域(マスタ
ーブートレコード)に感染する。その際、オリジナルのパ
ーティションテーブルを暗号化してしまう。
−このウイルスに感染したハードディスクでマシンを起動
すると、メモリーに常駐してファイルの入出力を監視す
る。その後、書き込み可能なフロッピーディスクにアクセ
スすると、そのディスクのブートセクタに感染する。
−Monkeyウイルスは、Microsoft Windowsが動作中でもフロ
ッピーディスクに感染する、数少ないウイルスの一つであ
る。
発病:
−ハードディスクへの感染の仕方が、通常のシステム領域
感染型とは異なっているため、結果として破壊されたよう
なイメージを持ってしまう。しかし実際にはウイルス自身
の破壊活動は認められてはいない。
−このウイルスが感染していないシステムディスクでマシ
ンを立ち上げた場合は、OSからは感染しているハードデ
ィスクを認識することができない。
−これは、このウイルスがハードディスク本来のパーティ
ションテーブルを暗号化してしまうためである。
−メモリ中に、このウイルスがいるときは、ウイルスが暗
号化を解いているために、OSからも認識することができ
る。
−システム領域感染型だからと言って「FDISK /MBR」コマ
ンドを使用してはならない。
このコマンドを使用してしまうと、ハードディスクを元に
戻すことができなくなってしまう。
名 称:MONKEY-1
別 名:MONKEY 2, STONED.EMPIRE.MONKEY.B
分 類:システム領域感染型
対 象:FD:ブートセクタ;HD:マスターブートレコード
ウイルスサイズ:N/A
発祥地:不明
発見日:1992/10
詳 細:感染方法:
Monkey-1は、システム領域に感染するウイルスです。
ハードディスクのパーティションとフロッピーのブートセ
クタの両方に感染します。
感染は、ウイルスが感染しているディスケットからシステ
ムが起動されるときに起きます。
次にウイルスは、ウイルスプログラムをメモリへロードし
ます。
メモリに常駐した後、書込み保護されていないすべてのデ
ィスケットに感染します。
ウイルスは、感染するたびに別のものとなるように自分自
身を暗号化します。
システムに感染すると、ウイルスは、マスタブートレコ
ードのパーティションテーブルを暗号化します。システム
を起動するとき、ウイルスは、パーティションテーブルを
復号し、「感染していない」元のコピーを表示しま
ステルス技術が使用されているために、ユーザが感染を発
見するのは困難です。
注意: ウイルスは、元のMBRを暗号化するので、FDISK/MBR
を使用してこのウイルスを駆除しないでください。
名 称:MONXLA
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:939バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
1)カレントディレクトリ内の.COMファイルを探し出す。
2)システムの日付が13日であれば発病し、.COMファイルを
破壊する。
3)13日以外であればウイルスに感染しているかチェックす
る。
すでにMONXLAウイルスに感染していれば他の未感染.COM
ファイルを探す。
4)カレントディレクトリ内の.COMファイル1つに感染す
る。
5)最後にオリジナルファイルを実行する。
破壊:システムの日付が13日であれば、.COMファイルを破
壊する。
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、プログラム実行時に"書き込
み不可"という意味のエラーメッセージを表示する。
名 称:MORE-649
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:649バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
1)メモリに常駐していなければ常駐する。
2)常駐後、オリジナルファイルを実行する。
3)メモリに常駐し、未感染のファイルが実行される度に感
染する。
ただし、.EXEファイルや、タイムスタンプの日付が1999
年を超えるファイルには感染しない。
4)1999年を超える日付のファイルを実行すると、
"OH NO NOT MORE ARCV"と表示する。
破壊:感染、増殖以外の活動はなし。
名 称:MPC-1
分 類:ファイル感染型
対 象:.COM;.EXE
ウイルスサイズ:641バイト(.COM、.EXE)
発祥地:不明
発見日:不明
詳 細:感染方法:
1)カレントディレクトリ内の.COMまたは.EXEファイルを探
し出す。
2)すでにMPC-1ウイルスに感染していれば他の未感染.COM
または.EXEファイルを探す。
3)カレントディレクトリ内の全ての.COMまたは.EXEファイ
ルに感染する。
4)最後にオリジナルファイルを実行する。
破壊:感染、増殖以外の活動はなし。
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合でも、プログラム実行時に"書
き込み不可"という意味のエラーメッセージを表示しない。
名 称:MR-VIR
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:508バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
カレントディレクトリ内の未感染.COMファイルを探し出し
て1つずつ感染する。
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、プログラム実行時に"書き込
み不可"という意味のエラーメッセージを表示する。
名 称:MS-DOS_3.0
別 名:REQUIRES.981
分 類:ファイル感染型
対 象:.COM(command.comを除く);.EXE
ウイルスサイズ:981バイト(.com)
発祥地:不明
発見日:1992/05
詳 細:感染方法:
1)メモリに常駐していなければ上位メモリに常駐する。
2)その後、オリジナルルーチンに戻る。
ファイルサイズが64256バイト未満の未感染.COMファイル
(COMMAND.COMを除く)と、ファイルサイズが16384バイ
ト未満の未感染.EXEファイルをオープン、また実行する
と感染する。
識別方法:
1)メモリ:
全システムメモリが1952(7A0h)バイト減少する。
2)ファイル:
a)感染した.COMファイルは981バイト増加する。
b)感染した.EXEファイルは1009-1024バイト増加する。
破壊:
特に、発病ルーチンはもっていないが、バージョン3未満
の(MS-DOS Ver2.11など)システムで感染ファイルを実行
しようとすると、
"This program requires MS-DOS 3.00 or later"と表示
されて、
プログラムが実行できなくなることがある。
また、ファイルの実行時や終了時にディスクアクセスが増
加する兆候が見られる。
備 考:1)感染ファイルの日付と時刻は変わらない。
2)ステルス型。ウイルスがシステムメモリに常駐している
と、感染ファイルの情報を元に書き戻す。
名 称:MSJ
分 類:ファイル感染型
対 象:.COM;.EXE
ウイルスサイズ:15395バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
ディスクA、B、Cのカレントディレクトリ内の、未感染.EXE
ファイルを探し出して1つずつ感染する。
備 考:1)メディアなどにライトプロテクト(書き込み
禁止処理)が施されている場合、 プログラム実行時に "
書き込み不可"という意味のエラーメッセージを表示する。
2)高級言語で作成されている。
名 称:MSK
分 類:トロイの木馬型
対 象:なし
ウイルスサイズ:272バイト
発祥地:不明
発見日:不明
詳 細:ハードディスクのデータを全て破壊する。
ファイル、パーティションテーブル、及びブートセクタに
は感染しない。
名 称:MSU
分 類:ファイル感染型
対 象:.COM;.EXE
ウイルスサイズ:2829〜2844バイト(COM) 2828バイト(EXE)
発祥地:フィリピン
発見日:1993/08
詳 細: このウィルスはメモリに常駐し、その後に実
行されるファイル全てに感染していくウィルスで、メモリ
常駐後約3時間で発病し、下記の様な、スペイン語と思わ
れるメッセージを表示してハングアップする。
+---------------------------------------
-------------+
| Ang VIRUS na ito ay taos-puso naming
inaalay kay |
| Professor HERMILITO GO ng MSU-IIT.
Kung hindi |
| dahil sa kanyang KAHAMBUGAN ang
VIRUS na ito ay |
| hindi maisasakatuparan...
|
|
o |
|
Signing off、 <ロ> |
|
< > |
+---------------------------------------
-------------+
その際、右角にはIBM特殊文字で作られた人形がジャンプ
しながら手を振るアニメーションが表示される。このウィ
ルスは、それ以外には特に悪さはしないが、
「MSU Philippines」
と入力させようとするルーチンが残っている。クッキーウ
ィルスの様にその文字列が入力されるまで、表示し続ける
様に考えられていた様である。それ以外としては、既にメ
モリ中にウィルスが常駐している状態で、更になにかの条
件下でプログラムを実行する
「BY: Someone of MSU Main Campus、 Marawi City」
と表示して実行できないようにするルーチンの残骸も残っ
ており、今後改良版が出回る可能性が考えられる。
名 称:MTE
別 名:MUTATION ENGINE
分 類:その他
対 象:.COM
発祥地:不明
発見日:ブルガリア?
詳 細:−このウイルス名は固有のウイルスを意味する
ものではなく、「MTE」と呼ばれるミューテーション型ウイ
ルス作成ツールで作成された一連のウイルスの総称であ
る。
−そのため亜種の種類も非常に多い。
−ウイルスの行動に関しては特定できないが破壊活動はな
いものと考えられる。
名 称:MULE
別 名:FRERE JACQUES, FRERE VIRUS, GROEN LINKS,
KYLIE
分 類:ファイル感染型
対 象:.COM(command.comを除く);.EXE;.OVL
ウイルスサイズ:1808〜1819バイト
発祥地:カリフォルニア(アメリカ)
発見日:1990/5
詳 細:感染方法:
−感染ファイル実行すると、メモリ下位に常駐する。
−常駐後、実行したプログラムに感染する。感染ファイル
の増加サイズは1、808byteから1、819byteのあいだである。
− .COMファイルの場合のみ増加サイズは1、813byteであ
る。
−常駐後では、感染した実行型ファイルの増加と共にフリ
ーメモリーが減少する。
発病:
−ウィルスがプログラムに感染しようとすると時々システ
ムハングする。その場合、システムのデータは失われる。
−金曜日に活動し、Frere Jacquesのメロディーを奏でる。
備 考:−「JERUSALEM」ウィルスから派生したファイル
感染型ウイルス。
−「Jerusalem B」も参照のこと。
名 称:MULTI-2
分 類:ファイル感染型
対 象:.COM;.EXE
ウイルスサイズ:927〜1000バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
1)感染ディスクから起動すると、全システムメモリが3Kバ
イト減少する。
2)メモリに常駐していなければ、メモリの最後3Kバイトの
部分に常駐する。
3)ファイルを実行する度に感染する。
破壊:感染、増殖以外の活動はなし。
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合でも、プログラム実行時に"書
き込み不可"という意味のエラーメッセージを表示しない。
名 称:MULTI-2-B
分 類:複合感染型
対 象:FD:ブートセクタ;HD:マスターブートレコード;.
COM;.EXE
ウイルスサイズ:927バイト(COM)、約1000バイト(EXE)
発祥地:不明
発見日:不明
詳 細:感染方法:
1)感染ファイルを実行すると、パーティションテーブルの
セクタ1が
感染しているか参照して未感染であれば感染する。
2)メモリに常駐していなければセクタ1に感染する。
3)常駐していればオリジナルプログラムを実行する。
破壊:感染、増殖以外の活動はなし。
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合でも、プログラム実行時に"書
き込み不可"という意味のエラーメッセージを表示しない。
名 称:MULTIFLU.813-1
分 類:ファイル感染型、メモリー常駐型
対 象:COM (COMMAND.COMを含む)
詳 細:感染ファイルを実行すると、ウイルスが活動す
る。メモリーに常駐し、割り込み要求を行なうことで、実
行された.COMファイルに感染をしていく。
名 称:MUMMY
分 類:ファイル感染型
対 象:.EXE
ウイルスサイズ:1、300〜1、503バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
1)既にメモリに常駐しているかどうか確認する。常駐して
いなければ、
INT 21hにフックをかけて常駐する。2)オリジナルファ
イルを実行する。
3)常駐後は、未感染ファイルが実行される度に感染する。
破壊:いくつかの亜種が存在する。亜種の中には何も破壊ル
ーチンを持たないものもあれば、
システムの実行速度を遅くするものもある。
Mummyウイルスの亜種は乱数カウンタを持っている。
カウンタがゼロになるとハードディスクの先頭部分を上書
きし、深刻なデータ損失をもたらす。
識別方法:ウイルスが常駐している間はシステムが時々ハン
グする。ウイルスコードには以下の暗号化された文字列が
含まれる。
"Mummy Version x.xxx"、
"Kaohsiung Senior School"、
"Tzeng Jau Ming presents"、
"Series Number=[xxxxx]."
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、
プログラム実行時に"書き込み不可"という意味のエラーメ
ッセージを表示する。
名 称:MUMMY_2
別 名:MUMMY、 JERUSALEM.MUMMY.2_1.A、 PC MUMMY
分 類:ファイル感染型
対 象:.COM、.EXE
ウイルスサイズ:1、300〜1、503バイト
詳 細:感染方法: 感染ファイルを実行すると、ウイル
スはメモリにロードされます。ウイルスがメモリ常駐して
いる間は、アクセスしたり実行したファイルに再感染しま
す。
ダメージ: このウイルスには多くの変種が存在します。そ
の幾つかは、全くダメージを与えないが、システムのスピ
ードダウンを起こすものもあります。また、あるものはラ
ン
ダムに数字を作り、数字が0になると、ハードディスクの先
頭を破壊し、データを失わせます。
検出方法: 感染すると、ファイルサイズが1、300〜1、503バ
イト増加します。常駐中にシステムのハングを引き起こす
ことがあります。
暗号化された以下の文字列がウイルス中に存在します。
"Mummy Version x.xxx"、
"Kaohsiung Senior School"、
"Tzeng Jau Ming presents"、
"Series Number=[xxxxx]."
また、メモリ中に常駐するときにI/Oエラーが発生すること
があります。
備 考:
名 称:MZ.5000
分 類:ファイル感染型
対 象:DOS Exe
ウイルスサイズ:5,000バイト
詳 細:実行されると、MZファイルを探しだし、ファイ
ルの4988バイトのコードを上書きする。システムをハング
アップさせることはなく、MZファイルにウイルスコードを
コピーするのみ。
損害:
MZファイルへ直接感染し、感染ファイルのサイズが5,000バ
イト増加する。さらに、ファイルに4988バイトのコードを
上書きするために、ファイルは正常に実行できなくなる。
備 考:感染ファイルは破壊されており、元通り復元す
ることができない。そのため、さらなる感染を防ぐために
は、感染ファイルを削除するしかない。