MACGYV_V4.0


名  称:MACGYV_V4.0

分  類:ファイル感染型

対  象:.EXE

ウイルスサイズ:N/A

発祥地:不明

発見日:不明

詳  細:- このウイルスは「MACGYVER」ウイルスの一統で
ある。MACGYVERの亜種の多くがそうであるように、このウイ ルスはメモリに常駐し対象ファイルにウイルスコードを付 け加える。
感染方法:
- 感染ファイルを実行すると、まずメモリに常駐し、その後 アクセスしたファイルすべてに感染する。
損害:
- 破壊活動なし。

MACGYV_V4.0-1


名  称:MACGYV_V4.0-1

別  名:MACGYVER

分  類:ファイル感染型

対  象:COM EXE

ウイルスサイズ:4480 bytes

発祥地:台湾

発見日:09.09.1993

詳  細:MacGyverウイルスの変種。COMファイルとEXEフ
ァイルに感染する。 感染ファイルにウイルスコード(4,480バイト)を書き加え る。 また、活動中に音を鳴らす
備  考:ウイルスコード中に次のテキストがある。
MacGyver v4.0 written by Dark Slayer Taiwan. 93/09/09

MACGYVER


名  称:MACGYVER

別  名:MACGYBER.2803, MACGYVER255, MAD SATAN,
MCGY, SATAN, SHOO
分  類:ファイル感染型

対  象:.EXE

ウイルスサイズ:2、824バイト

発祥地:台湾

発見日:1993/9

詳  細:感染方法:
 感染プログラムが実行されると、メモリに常駐する。常 駐サイズは3、072バイト。常駐後は、.EXEファイルがオープ ン、また実行される度に感染する。
− ウイルスコード内に以下の文字列を含む:
"SCANVIR.SHW" − ウイルスコード内に以下の文字列が暗号化されて含ま
れている:
"SCAN ZTEST EXEGOD MACGYVER V1.0 Written by JOEY in Keelung. TAIWAN" − ウイルスの常駐時に.EXEファイルを実行すると頻繁に システムハングが起る。また、DOSのCHKDSKコマンドを実行 すると、感染ファイルにファイルアロケーションエラーが 見られる。 − ウイルスのステルス行動により、ウイルスのメモリ常 駐時には感染ファイルのサイズ増加が確認できない。 − 感染してもファイル日時は更新されない。
備  考:− 2803バイトから4645バイトまで様々なファ
イルサイズの亜種が確認されている。

MACGYVER-E


名  称:MACGYVER-E

別  名:MACGYVER.3

分  類:ファイル感染型

対  象:.COM, .EXE

ウイルスサイズ:4,640 bytes

発祥地:台湾

発見日:1993

詳  細:これはMacGyverの亜種である。.COMと.EXEに感
染し、感染時にファイルに4640 bytesのコードを付け加え る。
症状:感染したファイルを実行すると音をならす。感染す
るだけで、そのほか破壊活動はない。
備  考:このウイルスのコードには以下のテキストが含
まれる。 3*.MacGyver 3.*3 3 Hi! I am MacGyver 3 3 Written by 3
3 ..:) .. 3

3 in .. :), Taiwan. 3
3 Don’t Worry, I just 3 3 a Virus. Ha..Ha.. 3

MADE-255


名  称:MADE-255

分  類:ファイル感染型

対  象:.COM

ウイルスサイズ:255バイト

発祥地:不明

発見日:不明

詳  細:感染方法:
1)カレントディレクトリ内の.COMファイルを探し出す。 2)すでにMade-255ウイルスに感染していれば他の未感染. COMファイルを探す。 3)一度に感染するファイルは1つだけ。
破壊:感染、増殖以外の活動はなし。

備  考:1)感染ファイルを実行するとシステムがハング
する。 2)メディアなどにライトプロテクト(書き込み禁止処理) が施されている場合、プログラム実行時に"書き込み不可" という意味のエラーメッセージを表示する。

MAGNITOGORSKI-3


名  称:MAGNITOGORSKI-3

分  類:ファイル感染型

対  象:.COM;.EXE

ウイルスサイズ:3000バイト

発祥地:不明

発見日:不明

詳  細:感染方法:
メモリに常駐していなければメモリ上位に常駐する。 その後、オリジナルルーチンに戻る。 未感染の.COMまたは.EXEファイルが実行される度に感染す る。

MAGNUM


名  称:MAGNUM

分  類:ファイル感染型

対  象:.COM;.EXE

ウイルスサイズ:2560バイト(.COM、.EXE)

発祥地:不明

発見日:不明

詳  細:感染方法:
1)メモリに常駐していなければ常駐する。 2)常駐後、オリジナルファイルを実行する。 3)メモリに常駐し、未感染のファイルが実行される度に感 染する。
破壊:感染、増殖以外の活動はなし。
−DOS3.3の環境でしか感染しない。
備  考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合でも、プログラム実行時に"書 き込み不可"という意味のエラーメッセージを表示しない。

MAINMAN.263


名  称:MAINMAN.263

別  名:MAINMAN.GEN

分  類:ファイル感染型

対  象:Dos EXE

ウイルスサイズ:263 bytes

発見日:1997/06

詳  細:これは.COMファイルに感染する直接感染型ウイ
ルスである感染したファイルを実行すると、カレントディ レクトリにある.COMファイルを探し、見つかったファイル すべてにコードをコピーして感染する。感染したファイル は263bytesサイズが増加する。
損害:
感染するだけで特に破壊活動はない。
備  考:コード内に以下のテキストがある。
“written by mainman”

MALAISE


名  称:MALAISE

分  類:ファイル感染型

対  象:全てのファイル

ウイルスサイズ:1335〜1365バイト

発祥地:不明

発見日:不明

詳  細:感染方法:
1)メモリに常駐していなければ常駐する。 2)常駐後、オリジナルファイルを実行する。 3)メモリに常駐し、未感染のファイルが実行される度に感 染する。
破壊:感染、増殖以外の活動はなし。

備  考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、プログラム実行時に"書き込 み不可"という意味のエラーメッセージを表示する。

MANOLA


名  称:MANOLA

分  類:ファイル感染型

対  象: .COM

ウイルスサイズ:831bytes

詳  細:ウイルスは、現在の日付が7日かチェックしま
す。 そうであれば、次のメッセージを表示し、システムを 再起動します。 "The Atomic Dustbin 2B - I'm Here To Stay". 上記条件に合致しない場合は、カレントディレクトリに未 感染の.COMファイルを検索して、感染します(一度に1つの ファイルだけに感染します)。
ダメージ: ウイルスがシステムを「再起動」することがあ
ります。
症状:感染したファイルは、サイズが831バイト増加しま
す。
備  考:メモリに常駐しません。
INT 24hをフックしないので、感染時に、エラーメッセ ージが現れます。

MANOLA-1


名  称:MANOLA-1

分  類:ファイル感染型

対  象:.COM

ウイルスサイズ:831バイト

発祥地:不明

発見日:不明

詳  細:感染方法:
システムの日付が7日であれば発病し、 "The AtomicDustbin 2B - I’m Here To Stay" と表示した後、システムを再起動する。7日以外の日であれ ば、 カレントディレクトリから未感染.COMファイルを探して1つ ずつ感染する。
破壊:システムを再起動することがある。

備  考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、プログラム実行時に"書き込 み不可"という意味のエラーメッセージを表示する。

MANZON


名  称:MANZON

分  類:ファイル感染型

対  象:.COM

ウイルスサイズ:N/A

詳  細:感染方法:
1) 1417バイトのウイルスコードを解読し、1728バイトを HMA内にアロケートします。 2) サイズ1712バイトのコードをHMAに転送します。 3) INT 21をフックします。 4) 元のルーチンに制御を戻します。 5) メモリに常駐後、アクセスした.COMファイルすべてにウ イルスコードをコピーして感染します。 - このウイルスは感染ごとにコードを変更するポリモフィ ック型(ミューテーション型)です。
備  考:このウイルスコードには、プログラムの文字列
とdosユーティリティが含まれていて、ウイルスはこれを使 って感染先ファイルとの比較を行います。

MARAUDER


名  称:MARAUDER

分  類:ファイル感染型

対  象:.COM

ウイルスサイズ:860バイト

発祥地:不明

発見日:不明

詳  細:感染方法:
1)カレントディレクトリ内の.COMファイルを探し出し、 Marauderウイルスに感染していなければ感染する。 2)すでに感染していれば他の未感染.COMファイルを探す。 .EXEファイルには感染しない。 3)その後、オリジナルファイルを実行する。
破壊:
システムの日付が2月2日であれば発病し、 "=[Marauder]1992Hellraiser - Phalcon/Skism." という文字列でファイルは全て上書きされる。

MARCH-25H


名  称:MARCH-25H

分  類:ファイル感染型

対  象:.COM;.EXE

ウイルスサイズ:1056バイト

発祥地:不明

発見日:不明

詳  細:感染方法:
1)感染ファイルを実行すると、ウイルスはすでにメモリに 常駐しているかチェックする。 2)すでに常駐していれば、感染ファイルを実行する。 ウイルスはMCB (memorycontrol block)上位、DOS 640k 境界下に常駐する。 空きメモリが1056 (420H)バイト減少する。 3)196608バイト未満の.COM及び.EXEファイルがハードディ スクから実行されると感染する。
破壊:ハードディスクを破壊する。
-感染ファイルは1025〜1040バイト(401h〜410h)増加し、末 尾にウイルスコードを持つ。
-システムの日付が3月25日であれば、C:ドライブの以下の
場所に無意味なデータを書き込む。 セクタ0〜6、シリンダ0、ヘッド0 セクタ1〜7、シリンダ1、ヘッド0 セクタ1〜7、シリンダ2、ヘッド0

MASSACRE


名  称:MASSACRE

別  名:KEEPER.MASSACRE

分  類:ファイル感染型

対  象:.COM;.EXE

ウイルスサイズ:742〜-778byte

発祥地:不明

発見日:不明

詳  細:
− メモリに常駐していなければメモリ上位に常駐し、オ リジナルプログラムを実行する。 − 未感染ファイルを実行する度に感染する。 − 感染時にファイルの一部を上書きするため駆除はでき ない。

MATH-TEST


名  称:MATH-TEST

分  類:ファイル感染型

対  象:.COM;.EXE

ウイルスサイズ:1136バイト

発祥地:不明

発見日:不明

詳  細:感染方法:
メモリに常駐していなければ、上位メモリに常駐する。 常駐後、オリジナルルーチンに戻る。 未感染の.COMまたは.EXEファイルが実行される度に感染す る。
備  考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、プログラム実行時に "書き 込み不可"という意味のエラーメッセージを表示する

MD-354


名  称:MD-354

分  類:ファイル感染型

対  象:.COM

ウイルスサイズ:354バイト

発祥地:不明

発見日:不明

詳  細:感染方法:
カレントディレクトリ内の未感染.COMファイルを探し出し て1つずつ感染する。
破壊:感染、増殖以外の活動はなし。

備  考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、プログラム実行時に "書き 込み不可"という意味のエラーメッセージを表示する。

MEDICAL


名  称:MEDICAL

分  類:ファイル感染型

対  象:.COM

ウイルスサイズ:189バイト

発祥地:不明

発見日:不明

詳  細:感染方法:
1)カレントディレクトリ内の.COMファイルを探し出す。 2)すでにMedicalウイルスに感染していれば他の未感染. COMファイルを探す。 3)一度に感染するファイルは1つだけ。
破壊:感染、増殖以外の活動はなし。

備  考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合でも、プログラム実行時に"書 き込み不可"という意味のエラーメッセージを表示しない。

MEGATRENDS-2000


名  称:MEGATRENDS-2000

別  名:EINSTEIN-MAGIC, FRANKENSTEIN

分  類:システム領域感染型

対  象:FD:ブートセクタ;HD:マスターブートレコード

ウイルスサイズ:N/A

発祥地:不明

発見日:不明

詳  細:感染方法:
1)このウイルスに感染したフロッピーディスクでマシン の起動動作を行うとハードディスクのシステム領域(マス ターブートレコード)に感染する。 2)このウイルスに感染したハードディスクでマシンを起 動すると、メモリーに常駐してファイルの入出力を監視す る。 3)その後、書き込み可能なフロッピーディスクにアクセ スすると、そのディスクのブートセクタに感染する。 −パーティションテーブルを暗号化する。よって、駆除は MONKEYウイルスと同じ方法で行う必要がある。 「fdisk /mbr」を使用しての駆除はできない。 −10月30日、12月25日、5月31日に発病する。 (発病などの活動については現在解析中)

METAL_MILITIA


名  称:METAL_MILITIA

別  名:IMMORTAL RIOT, MMIR

分  類:ファイル感染型

対  象:.COM

ウイルスサイズ:1、054〜1055バイト

発祥地:不明

発見日:不明

詳  細:感染詳細:
メモリに常駐後は、.COMファイルが実行される度に感染す る。 ファイルに感染する際、ウイルスはファイルの先頭に追加 される。 感染ファイルのサイズは1、054〜1055バイト増加する。 感染ファイルの日付及び時刻情報は変更されない。 −ウイルスは以下の文字列を含む。 "Senseless Desctruction..." "Protecting what we are joining together to take on the world.." "METAL MiLiTiA [iMMORTAL RIOT] SVW"
備  考:空きメモリが3、072バイト減少する。

MG-1


名  称:MG-1

分  類:ファイル感染型

対  象:.COM

ウイルスサイズ:757Bytes

発祥地:不明

詳  細:感染方法
- メモリに常駐すると、ユーザーがCOMファイルを実行しよ うとしたとき、またはDOSモードで起動して「DIR」コマンドを 実行したときに、COMファイルに感染する。 - 感染ファイルが実行された場合は、ウイルスはそのファ イルのカレントディレクトリのCOMファイルのひとつに感染 する。感染対象ファイルが実行されている必要はない。 - DIRコマンドが実行された場合も同様に、感染ファイルが あるカレントディレクトリの中のファイルのひとつに感染 する。
感染兆候:
- ウイルスに感染したファイルはサイズが757バイト増加 する。しかし、ウイルスがすでにメモリに常駐している場合、 ファイル・サイズとタイム・スタンプはオリジナルと全く 同じものが表示される。ウイルスコードはファイルの最後尾 に付く - ウイルスがメモリに常駐している状態で、DOSの[CHKDSK] プログラムを実行すると、COMファイルのファイルアロケ ーションエラーが起きる。 - [DIR]コマンドも正常に機能しない。例えば、
>DIR A:\*.COM
というコマンドを打つと、.COMファイルがAドライブに現に 存在していているにもかかわらず、 >File not found. というエラーメッセージが返ってくる場合がある。エラーを 返さない場合でも、[DIR]コマンドのレスポンスが遅くなり、 コマンドを実行後、しばらく経ってからディレクトリ一覧を 表示する。
備  考:- ウイルスが常駐しているためにアロケーショ
ンテーブルにアクセスできず、予期せぬシステムハングが起 きる場合もある。

MICHELANGELO


名  称:MICHELANGELO

分  類:複合感染型

対  象:FD:ブートセクタ;HD:マスターブートレコード;.
COM
ウイルスサイズ:N/A

発祥地:スウェーデンまたはオランダ

発見日:1991/04

詳  細:感染方法:
−感染したフロッピーディスクでシステムを起動しようと すると、システムメモリ上位,DOSの640K境界下に常駐す る。起動が成功か不成功かに関らず、メモリに常駐する。 −常駐後、アクセスしたフロッピーディスクのブートセク タに感染する。ユーザーがハードディスクのファイルにア クセスすると、ハードディスクのマスターブートレコード にも感染する。  −360K 5.25インチ・フロッピーディスクの場合、オリジナ ルのブートセクタはウイルスにより、ルートディレクトリ の最後のセクタ、セクタ11に移動される。 −1.2M 5.25インチ・フロッピーディスクの場合、オリジナ ルのブートセクタはルートディレクトリの一部、セクタ28 にリロケートされる。オリジナルのブートセクタがルート ディレクトリに移動することにより、ルートディレクトリ の上書きされた部分にあるエントリは破壊される。 −マスターブートレコードに感染すると、オリジナルのパ ーティションテーブルはハードディスクのサイド0、シリン ダ0、セクタ7に移動する。
発病:
−3月6日に発病する。その際、ハードディスクをフォ ーマットし、システム・メモリのランダムなキャラクタ文 字列で上書きする。

MI-NAZI


名  称:MI-NAZI

分  類:ファイル感染型

対  象:.COM

ウイルスサイズ:1084バイト

発祥地:不明

発見日:不明

詳  細:感染方法:
1)カレントディレクトリの.COMファイルを探し出す。 2)すでに感染していれば他のファイルを探す。 3)未感染ファイルがあれば1つずつ感染する。カレントデ ィレクトリの全ての.COMファイルに感染する。
破壊:
ウイルスプログラムに欠陥があるため、感染ファイルは正 常に実行できず、再感染やデータの破壊もできない。
備  考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、プログラム実行時に"書き込 み不可"という意味のエラーメッセージを表示する。

MINDLESS


名  称:MINDLESS

分  類:ファイル感染型

対  象:.COM

発祥地:不明

発見日:不明

詳  細:感染方法:
1)システムの曜日が日曜日であれば発病し、ハードディス クのデータを全て破壊する。 2)それ以外の曜日であれば、カレントディレクトリの*.C* ファイルを探し出す。 3)カレントディレクトリの全ての *.C* ファイルに感染す る。
破壊:
1)システムの曜日が日曜日であれば、ハードディスクのデ ータを全て破壊する。
識別方法:なし

備  考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、プログラム実行時に"書き込 み不可"という意味のエラーメッセージを表示する。

MINI-195


名  称:MINI-195

分  類:ファイル感染型

対  象:.COM

ウイルスサイズ:195または218バイト

発祥地:不明

発見日:不明

詳  細:感染方法:
カレントディレクトリ内の未感染#*.COMファイル("#"はA〜
Zまでのアルファベット。例: A*.com、F*.COM、X*.COM
等)を探し出して1つずつ感染する。
破壊:感染、増殖以外の活動はなし。

備  考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、プログラム実行時に "書き 込み不可"という意味のエラーメッセージを表示する。

MINI-2


名  称:MINI-2

分  類:ファイル感染型

対  象:.COM

ウイルスサイズ:変化なし

発祥地:不明

発見日:不明

詳  細:感染方法:
1)カレントディレクトリ内の.COMファイルを探し出す。 2)すでにMINI-2ウイルスに感染していれば他の未感染.COM ファイルを探す。 3)ディレクトリ内の全ての.COMファイルに感染する。
破壊:
オリジナルファイルを上書きするので、ファイルの大きさ は変わらない。
備  考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、プログラム実行時に"書き込 み不可"という意味のエラーメッセージを表示する。

MINI-207


名  称:MINI-207

分  類:ファイル感染型

対  象:.COM

ウイルスサイズ:207バイト

発祥地:不明

発見日:不明

詳  細:感染方法:
カレントディレクトリ内の未感染.COMファイルを探し出し て感染する。
備  考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、プログラム実行時に"書き込 み不可"という意味のエラーメッセージを表示する。

MINI-212


名  称:MINI-212

分  類:ファイル感染型

対  象: .COM

ウイルスサイズ:212または300バイト

詳  細:実行手順:
1) カレントディレクトリの「A」で始まる.COMファイルを 検索します。 2) それがMini-212に感染済みかを確認します。感染済みで あれば、検索を続けます。 3) ディレクトリ内の1つのファイルに感染します。
ダメージ: なし

検出方法: 感染したファイルは約212バイトか300バイト増
加します。
注  意:
1) メモリに常駐はしません。 2) INT24hをフックしません。I/Oエラーが発生した場合、 エラーメッセージが表示されます。

MINI-212/300


名  称:MINI-212/300

分  類:ファイル感染型

対  象:.COM

ウイルスサイズ:212 または 300バイト(.COM)

発祥地:不明

発見日:不明

詳  細:感染方法:
1)カレントディレクトリ内で、ファイル名がA〜Zのアルフ ァベットのうちいずれかで始まる.COMファイルをランダム に探し出す。 2)すでにMINI-212/300ウイルスに感染していれば他の未感 染.COMファイルを探す。 3)一度に1つのファイルに感染する。
破壊:感染、増殖以外の活動はなし。

備  考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、プログラム実行時に"書き込 み不可"という意味のエラーメッセージを表示する。

MINIMITE


名  称:MINIMITE

分  類:ファイル感染型

対  象:.COM

ウイルスサイズ:183バイト

発祥地:不明

発見日:不明

詳  細:感染方法:
1)カレントディレクトリ内の.COMファイルを探し出す。 2)すでにMinimiteウイルスに感染していれば他の未感染. COMファイルを探す。 3)ディレクトリ内の未感染COMファイルを探し出して感染 する。
破壊:感染、増殖以外の活動はなし。

備  考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、プログラム実行時に"書き込 み不可"という意味のエラーメッセージを表示する。

MINOSSE


名  称:MINOSSE

分  類:ファイル感染型

対  象:.EXE

ウイルスサイズ:3075バイト

発祥地:不明

発見日:不明

詳  細:感染方法:
ミューテーション型で、DEBUGコマンドを実行しても自分の 痕跡を隠してしまう為発見できない。 MINOSSEに感染したファイルを実行すると、以下のことが起 こる。 1. ウイルスコードを解読する。 2. MCB (memory control block)上位、DOS 640k境界下 に常駐する。
破壊:
システムの日付が6月25日以降であれば発病し、システムを ハングする。 感染ファイルは3075バイト増加し、ファイル末尾にウイル スコードを持つ。 空きメモリが5772バイト減少する。
特徴:空きメモリが減少する。
"Minose1V5 (c)93 WilliWonka." と表示される。
備  考:ミューテーション型で非常に手強いタイプであ
る。

MINSK-GH


名  称:MINSK-GH

分  類:ファイル感染型

対  象:.COM;.EXE

ウイルスサイズ:1450-1490バイト

発祥地:不明

発見日:不明

詳  細:感染方法:
メモリに常駐していなければ、上位メモリに常駐する。 常駐後、オリジナルルーチンに戻る。 未感染の.COMまたは.EXEファイルが実行される度に感染す る。
備  考:DOS 5.0では感染しない。

MIX-1


名  称:MIX-1

別  名:ICELANDIC.1618, MIXER1A, VIRUS1618

分  類:ファイル感染型

ウイルスサイズ:約1618バイト

発祥地:不明

発見日:不明

詳  細:感染方法:
1)メモリに常駐していなければ常駐する。 2)常駐後、オリジナルファイルを実行する。 3)メモリに常駐し、未感染のファイルが実行される度に感 染する。
破壊:
BIOS機能を使用し、シリアル/パラレルポートに送られる文 字を変換(混合)させるのがこのウイルスの発病症状であ る。ポートに送られた文字(バイト)は、ウイルス自身の 持つ変換表により変換される。メモリに常駐して50分が経 過すると、キーボードの機能定義を変更する。 この時からCapsLock機能はOFFに、Numlock機能はONにセッ トされる。 この時点までにコンピュータが再起動されていなければ、 Del 、Ctrl及びAltの3つのキーが同時に押されるか どうか監視する。 これら3つのキーが押されると、「ALT」キーを無効にしてリ セットをさせない。 代わりに画面変更ルーチンを起動するが、これは失敗す る。 テキストモードでは、ビデオページ0の属性を全て変更す る。 全ての属性を1ずつ増やしていき、256になるとリセットす る。 メモリに常駐して60分が経過すると、Ping-Pongウイルスで 見られるように画面でボールが弾み出す。 このボールは"o"の文字でできており、その動きはBIOSによ って制御されている。
備  考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、プログラム実行時に"書き込 み不可"という意味のエラーメッセージを表示する。

MMIR.DAS_BOOT


名  称:MMIR.DAS_BOOT

別  名:BERYLLIUM

分  類:システム領域感染型

対  象:FD:ブートセクタ;HD:マスターブートレコード

ウイルスサイズ:N/A

発祥地:不明

発見日:不明

詳  細:感染方法:
このウイルスに感染したフロッピーディスクでマシンの起 動動作を行うとハードディスクのシステム領域(マスタ ーブートレコード)に感染する。 このウイルスに感染したハードディスクでマシンを起動す ると、メモリーに常駐してファイルの入出力を監視する。 その後、書き込み可能なフロッピーディスクにアクセスす ると、そのディスクのブートセクタに感染する。 −表示ルーチンを持っており、表示内容は以下の通りであ る。 You cannot boot from this diskette. Please SWITCH OFF the computer and start again. −また、ウイルスコード内に、以下の文字列が含まれてい る。 BERYLLIUM! −その他、特にウイルス自身による破壊活動はないものと 思われる。

MOG


名  称:MOG

分  類:ファイル感染型

対  象:.COM

ウイルスサイズ:328バイト

発祥地:不明

発見日:不明

詳  細:感染方法:
カレントディレクトリ内の未感染.COMファイルを探し出し て感染する。 その後、 " Maccabi Yafo !!!!!" と表示する。 未感染ファイルの有無に関わらず、システムの日付が日付 が2月25日であればシステムをハングする。
破壊:システムをハングすることがある。

備  考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、プログラム実行時に "書き 込み不可"という意味のエラーメッセージを表示する。

MOMBASA


名  称:MOMBASA

分  類:ファイル感染型

対  象:.COM

ウイルスサイズ:3568バイト

発祥地:不明

発見日:不明

詳  細:感染方法:
1)ウイルスに感染したファイルを実行すると、MCB ( memory control block)上位、DOS 640k境界下に常駐す る。空きメモリが3584バイト減少する。
2)常駐後、C:ドライブのCOMMAND.COMや他の.COMファイル
が実行されると感染する。 感染ファイルは3568バイト増加し、末尾にウイルスコ ードを持つ。 −自分の痕跡を隠すミューテーション型ウイルス。 MOMBASAウイルスがメモリに常駐している状態では、ファ イルサイズを変更しても、オリジナルサイズを元に戻す ので変更に気付きにくい。
ディレクトリを作成また削除したり、A:やB:ドライブなど
のデフォルトドライブを選択すると、ウイルスはディスク に何かデータを書き込もうとするがこれは失敗する。
破壊:
画面がフェードアウトしていき、真っ暗になる。 すると、システムがハングし、ハードディスクドライブの ブートセクタとFATが破壊される。 感染ファイルは3568バイト増加し、末尾にウイルスコード を持つ。
特徴:次のメッセージを表示する。
"I’m gonna die...Attackradical...Mombosa virus ( MM 92’)."

MONGOLAIN


名  称:MONGOLAIN

分  類:システム領域感染型

対  象:FD:ブートセクタ;HD:マスターブートレコード

ウイルスサイズ:N/A

発祥地:不明

発見日:不明

詳  細:感染方法:
1)感染したディスクで起動するとメモリに常駐し、ハ ードディスクのパーティションテーブルに感染する。 2)メモリ常駐後、アクセスしたフロッピーディスクのブ ートセクタに感染する。 _ −5月30日に感染したシステムを起動すると、パーティ ションで区切られた全てのブートセクタを開始セクタから 17セクタ分をデータ"0FEBEh"で上書き破壊する。 その後、パーティションテーブル(1セクタ)も同様に上 書き破壊して、以下のメッセージを表示する。     Mongolain Virus VERSION 1.00    Mongolian Brain Co.Ltd 1992     Today is birthday of my babby !!! 上記の文字列は暗号化されている。 −感染したシステムで、フロッピーディスクにフォーマッ トを掛けようとするとブートセクタへの書き込みエラー で、正常にフォーマットが掛からない場合がある。 −ステルスを行っているので、ウイルスコードにはアクセ スできない。 オリジナルのブートセクタ(パーティションテーブル) とウイルスの本体を保存してある最終の3セクタにアク セスしようとすると、アクセスエラーを起こす。 −ウイルス感染したシステムでは、ドライブへのアクセス が非常に遅くなるため、システムの起動やアプリケーショ ンの起動、ファイルの読み書きが遅くなる。

MONKEY


名  称:MONKEY

別  名:MONKEY-1, STONED.EMPIRE.MONKEY.B

分  類:システム領域感染型

対  象:FD:ブートセクタ;HD:マスターブートレコード

ウイルスサイズ:N/A

発祥地:不明

発見日:1992/10

詳  細:感染方法:
−このウイルスに感染したフロッピーディスクでマシンの 起動動作を行うとハードディスクのシステム領域(マスタ ーブートレコード)に感染する。その際、オリジナルのパ ーティションテーブルを暗号化してしまう。 −このウイルスに感染したハードディスクでマシンを起動 すると、メモリーに常駐してファイルの入出力を監視す る。その後、書き込み可能なフロッピーディスクにアクセ スすると、そのディスクのブートセクタに感染する。 −Monkeyウイルスは、Microsoft Windowsが動作中でもフロ ッピーディスクに感染する、数少ないウイルスの一つであ る。
発病:
−ハードディスクへの感染の仕方が、通常のシステム領域 感染型とは異なっているため、結果として破壊されたよう なイメージを持ってしまう。しかし実際にはウイルス自身 の破壊活動は認められてはいない。 −このウイルスが感染していないシステムディスクでマシ ンを立ち上げた場合は、OSからは感染しているハードデ ィスクを認識することができない。 −これは、このウイルスがハードディスク本来のパーティ ションテーブルを暗号化してしまうためである。 −メモリ中に、このウイルスがいるときは、ウイルスが暗 号化を解いているために、OSからも認識することができ る。 −システム領域感染型だからと言って「FDISK /MBR」コマ ンドを使用してはならない。 このコマンドを使用してしまうと、ハードディスクを元に 戻すことができなくなってしまう。

MONKEY-1


名  称:MONKEY-1

別  名:MONKEY 2, STONED.EMPIRE.MONKEY.B

分  類:システム領域感染型

対  象:FD:ブートセクタ;HD:マスターブートレコード

ウイルスサイズ:N/A

発祥地:不明

発見日:1992/10

詳  細:感染方法:
Monkey-1は、システム領域に感染するウイルスです。 ハードディスクのパーティションとフロッピーのブートセ クタの両方に感染します。 感染は、ウイルスが感染しているディスケットからシステ ムが起動されるときに起きます。 次にウイルスは、ウイルスプログラムをメモリへロードし ます。 メモリに常駐した後、書込み保護されていないすべてのデ ィスケットに感染します。 ウイルスは、感染するたびに別のものとなるように自分自 身を暗号化します。 システムに感染すると、ウイルスは、マスタブートレコ ードのパーティションテーブルを暗号化します。システム を起動するとき、ウイルスは、パーティションテーブルを 復号し、「感染していない」元のコピーを表示しま ステルス技術が使用されているために、ユーザが感染を発 見するのは困難です。
注意: ウイルスは、元のMBRを暗号化するので、FDISK/MBR
を使用してこのウイルスを駆除しないでください。

MONXLA


名  称:MONXLA

分  類:ファイル感染型

対  象:.COM

ウイルスサイズ:939バイト

発祥地:不明

発見日:不明

詳  細:感染方法:
1)カレントディレクトリ内の.COMファイルを探し出す。 2)システムの日付が13日であれば発病し、.COMファイルを 破壊する。 3)13日以外であればウイルスに感染しているかチェックす る。 すでにMONXLAウイルスに感染していれば他の未感染.COM ファイルを探す。 4)カレントディレクトリ内の.COMファイル1つに感染す る。 5)最後にオリジナルファイルを実行する。
破壊:システムの日付が13日であれば、.COMファイルを破
壊する。
備  考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、プログラム実行時に"書き込 み不可"という意味のエラーメッセージを表示する。

MORE-649


名  称:MORE-649

分  類:ファイル感染型

対  象:.COM

ウイルスサイズ:649バイト

発祥地:不明

発見日:不明

詳  細:感染方法:
1)メモリに常駐していなければ常駐する。 2)常駐後、オリジナルファイルを実行する。 3)メモリに常駐し、未感染のファイルが実行される度に感 染する。 ただし、.EXEファイルや、タイムスタンプの日付が1999 年を超えるファイルには感染しない。 4)1999年を超える日付のファイルを実行すると、 "OH NO NOT MORE ARCV"と表示する。
破壊:感染、増殖以外の活動はなし。

MPC-1


名  称:MPC-1

分  類:ファイル感染型

対  象:.COM;.EXE

ウイルスサイズ:641バイト(.COM、.EXE)

発祥地:不明

発見日:不明

詳  細:感染方法:
1)カレントディレクトリ内の.COMまたは.EXEファイルを探 し出す。 2)すでにMPC-1ウイルスに感染していれば他の未感染.COM または.EXEファイルを探す。 3)カレントディレクトリ内の全ての.COMまたは.EXEファイ ルに感染する。 4)最後にオリジナルファイルを実行する。
破壊:感染、増殖以外の活動はなし。

備  考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合でも、プログラム実行時に"書 き込み不可"という意味のエラーメッセージを表示しない。

MR-VIR


名  称:MR-VIR

分  類:ファイル感染型

対  象:.COM

ウイルスサイズ:508バイト

発祥地:不明

発見日:不明

詳  細:感染方法:
カレントディレクトリ内の未感染.COMファイルを探し出し て1つずつ感染する。
備  考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、プログラム実行時に"書き込 み不可"という意味のエラーメッセージを表示する。

MS-DOS_3.0


名  称:MS-DOS_3.0

別  名:REQUIRES.981

分  類:ファイル感染型

対  象:.COM(command.comを除く);.EXE

ウイルスサイズ:981バイト(.com)

発祥地:不明

発見日:1992/05

詳  細:感染方法:
1)メモリに常駐していなければ上位メモリに常駐する。 2)その後、オリジナルルーチンに戻る。 ファイルサイズが64256バイト未満の未感染.COMファイル (COMMAND.COMを除く)と、ファイルサイズが16384バイ ト未満の未感染.EXEファイルをオープン、また実行する と感染する。
識別方法:

1)メモリ:
全システムメモリが1952(7A0h)バイト減少する。
2)ファイル:
a)感染した.COMファイルは981バイト増加する。 b)感染した.EXEファイルは1009-1024バイト増加する。
破壊:
特に、発病ルーチンはもっていないが、バージョン3未満 の(MS-DOS Ver2.11など)システムで感染ファイルを実行 しようとすると、 "This program requires MS-DOS 3.00 or later"と表示 されて、 プログラムが実行できなくなることがある。 また、ファイルの実行時や終了時にディスクアクセスが増 加する兆候が見られる。
備  考:1)感染ファイルの日付と時刻は変わらない。
2)ステルス型。ウイルスがシステムメモリに常駐している と、感染ファイルの情報を元に書き戻す。

MSJ


名  称:MSJ

分  類:ファイル感染型

対  象:.COM;.EXE

ウイルスサイズ:15395バイト

発祥地:不明

発見日:不明

詳  細:感染方法:
ディスクA、B、Cのカレントディレクトリ内の、未感染.EXE ファイルを探し出して1つずつ感染する。
備  考:1)メディアなどにライトプロテクト(書き込み
禁止処理)が施されている場合、 プログラム実行時に " 書き込み不可"という意味のエラーメッセージを表示する。 2)高級言語で作成されている。

MSK


名  称:MSK

分  類:トロイの木馬型

対  象:なし

ウイルスサイズ:272バイト

発祥地:不明

発見日:不明

詳  細:ハードディスクのデータを全て破壊する。
ファイル、パーティションテーブル、及びブートセクタに は感染しない。

MSU


名  称:MSU

分  類:ファイル感染型

対  象:.COM;.EXE

ウイルスサイズ:2829〜2844バイト(COM) 2828バイト(EXE)

発祥地:フィリピン

発見日:1993/08

詳  細: このウィルスはメモリに常駐し、その後に実
行されるファイル全てに感染していくウィルスで、メモリ 常駐後約3時間で発病し、下記の様な、スペイン語と思わ れるメッセージを表示してハングアップする。 +--------------------------------------- -------------+ | Ang VIRUS na ito ay taos-puso naming inaalay kay | | Professor HERMILITO GO ng MSU-IIT. Kung hindi | | dahil sa kanyang KAHAMBUGAN ang VIRUS na ito ay | | hindi maisasakatuparan... | | o | | Signing off、 <ロ> | | < > | +--------------------------------------- -------------+  その際、右角にはIBM特殊文字で作られた人形がジャンプ しながら手を振るアニメーションが表示される。このウィ ルスは、それ以外には特に悪さはしないが、   「MSU Philippines」 と入力させようとするルーチンが残っている。クッキーウ ィルスの様にその文字列が入力されるまで、表示し続ける 様に考えられていた様である。それ以外としては、既にメ モリ中にウィルスが常駐している状態で、更になにかの条 件下でプログラムを実行する
 「BY: Someone of MSU Main Campus、 Marawi City」
と表示して実行できないようにするルーチンの残骸も残っ ており、今後改良版が出回る可能性が考えられる。

MTE


名  称:MTE

別  名:MUTATION ENGINE

分  類:その他

対  象:.COM

発祥地:不明

発見日:ブルガリア?

詳  細:−このウイルス名は固有のウイルスを意味する
ものではなく、「MTE」と呼ばれるミューテーション型ウイ ルス作成ツールで作成された一連のウイルスの総称であ る。 −そのため亜種の種類も非常に多い。 −ウイルスの行動に関しては特定できないが破壊活動はな いものと考えられる。

MULE


名  称:MULE

別  名:FRERE JACQUES, FRERE VIRUS, GROEN LINKS,
KYLIE
分  類:ファイル感染型

対  象:.COM(command.comを除く);.EXE;.OVL

ウイルスサイズ:1808〜1819バイト

発祥地:カリフォルニア(アメリカ)

発見日:1990/5

詳  細:感染方法:
−感染ファイル実行すると、メモリ下位に常駐する。 −常駐後、実行したプログラムに感染する。感染ファイル の増加サイズは1、808byteから1、819byteのあいだである。 − .COMファイルの場合のみ増加サイズは1、813byteであ る。 −常駐後では、感染した実行型ファイルの増加と共にフリ ーメモリーが減少する。
発病:
−ウィルスがプログラムに感染しようとすると時々システ ムハングする。その場合、システムのデータは失われる。 −金曜日に活動し、Frere Jacquesのメロディーを奏でる。
備  考:−「JERUSALEM」ウィルスから派生したファイル
感染型ウイルス。 −「Jerusalem B」も参照のこと。

MULTI-2


名  称:MULTI-2

分  類:ファイル感染型

対  象:.COM;.EXE

ウイルスサイズ:927〜1000バイト

発祥地:不明

発見日:不明

詳  細:感染方法:
1)感染ディスクから起動すると、全システムメモリが3Kバ イト減少する。 2)メモリに常駐していなければ、メモリの最後3Kバイトの 部分に常駐する。 3)ファイルを実行する度に感染する。
破壊:感染、増殖以外の活動はなし。

備  考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合でも、プログラム実行時に"書 き込み不可"という意味のエラーメッセージを表示しない。

MULTI-2-B


名  称:MULTI-2-B

分  類:複合感染型

対  象:FD:ブートセクタ;HD:マスターブートレコード;.
COM;.EXE
ウイルスサイズ:927バイト(COM)、約1000バイト(EXE)

発祥地:不明

発見日:不明

詳  細:感染方法:
1)感染ファイルを実行すると、パーティションテーブルの セクタ1が 感染しているか参照して未感染であれば感染する。 2)メモリに常駐していなければセクタ1に感染する。 3)常駐していればオリジナルプログラムを実行する。
破壊:感染、増殖以外の活動はなし。

備  考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合でも、プログラム実行時に"書 き込み不可"という意味のエラーメッセージを表示しない。

MULTIFLU.813-1


名  称:MULTIFLU.813-1

分  類:ファイル感染型、メモリー常駐型

対  象:COM (COMMAND.COMを含む)

詳  細:感染ファイルを実行すると、ウイルスが活動す
る。メモリーに常駐し、割り込み要求を行なうことで、実 行された.COMファイルに感染をしていく。

MUMMY


名  称:MUMMY

分  類:ファイル感染型

対  象:.EXE

ウイルスサイズ:1、300〜1、503バイト

発祥地:不明

発見日:不明

詳  細:感染方法:
1)既にメモリに常駐しているかどうか確認する。常駐して いなければ、 INT 21hにフックをかけて常駐する。2)オリジナルファ イルを実行する。 3)常駐後は、未感染ファイルが実行される度に感染する。
破壊:いくつかの亜種が存在する。亜種の中には何も破壊ル
ーチンを持たないものもあれば、 システムの実行速度を遅くするものもある。 Mummyウイルスの亜種は乱数カウンタを持っている。 カウンタがゼロになるとハードディスクの先頭部分を上書 きし、深刻なデータ損失をもたらす。
識別方法:ウイルスが常駐している間はシステムが時々ハン
グする。ウイルスコードには以下の暗号化された文字列が 含まれる。 "Mummy Version x.xxx"、 "Kaohsiung Senior School"、 "Tzeng Jau Ming presents"、 "Series Number=[xxxxx]."
備  考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、 プログラム実行時に"書き込み不可"という意味のエラーメ ッセージを表示する。

MUMMY_2


名  称:MUMMY_2

別  名:MUMMY、 JERUSALEM.MUMMY.2_1.A、 PC MUMMY

分  類:ファイル感染型

対  象:.COM、.EXE

ウイルスサイズ:1、300〜1、503バイト

詳  細:感染方法: 感染ファイルを実行すると、ウイル
スはメモリにロードされます。ウイルスがメモリ常駐して いる間は、アクセスしたり実行したファイルに再感染しま す。
ダメージ: このウイルスには多くの変種が存在します。そ
の幾つかは、全くダメージを与えないが、システムのスピ ードダウンを起こすものもあります。また、あるものはラ ン ダムに数字を作り、数字が0になると、ハードディスクの先 頭を破壊し、データを失わせます。
検出方法: 感染すると、ファイルサイズが1、300〜1、503バ
イト増加します。常駐中にシステムのハングを引き起こす ことがあります。 暗号化された以下の文字列がウイルス中に存在します。 "Mummy Version x.xxx"、 "Kaohsiung Senior School"、 "Tzeng Jau Ming presents"、 "Series Number=[xxxxx]." また、メモリ中に常駐するときにI/Oエラーが発生すること があります。
備  考:

MZ.5000


名  称:MZ.5000

分  類:ファイル感染型

対  象:DOS Exe

ウイルスサイズ:5,000バイト

詳  細:実行されると、MZファイルを探しだし、ファイ
ルの4988バイトのコードを上書きする。システムをハング アップさせることはなく、MZファイルにウイルスコードを コピーするのみ。
損害:
MZファイルへ直接感染し、感染ファイルのサイズが5,000バ イト増加する。さらに、ファイルに4988バイトのコードを 上書きするために、ファイルは正常に実行できなくなる。
備  考:感染ファイルは破壊されており、元通り復元す
ることができない。そのため、さらなる感染を防ぐために は、感染ファイルを削除するしかない。