名 称:203
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:203バイト
発祥地:不明
発見日:不明
詳 細:カレントディレクトリ内の未感染.COMファイル
を探し出して1つずつ感染する。
感染、増殖以外の活動はなし。
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合でも、"書き込み不可"という
意味のエラーメッセージを表示する。
名 称:2048-2051.EXE
別 名:VANITAS
分 類:ファイル感染型
対 象:.EXE
ウイルスサイズ:2040 bytes 〜 2051 bytes発祥地:不明
発見日:1997/07
詳 細:感染方法:
1)感染ファイルを実行すると、メモリに常駐していなけれ
ば常駐する。2)常駐後、ホストプログラムを実行するため
、ユーザは感染に気付くことは無い。
3)メモリに常駐し、未感染のファイルが実行される度に感
染する。
このウイルスは32bitPEタイプを含む.EXEファイルに感染す
ることができる。また、CドライブのルートとWindowsディレ
クトリの中を探して
COMMAND.COMファイルにも感染する。
症状:
- DOS上で3月27に感染ファイルを実行すると、緑色の矢印
のような幾何学模様を表示する。この矢印はまるで万華鏡の
ように変化し、だんだん大きくなる。ユーザーがCTRLキーと
る。
- ただし、このときウイルスによってディスプレイのモ
ードがグラフィックモードに変更されている。これは手動で
テキストモードにもどすより他ない。
- 感染したファイルは2040〜2051バイト増加する。
備 考:このウイルスは感染ごとにコードを変化させる
ポリモフィックタイプである。
名 称:205
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:205バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
1)カレントディレクトリ内の.COMファイルを探し出す。
2)既に205ウイルスに感染していれば、他の未感染の.COM
ファイルを探す。
3)同ディレクトリ内の未感染.COMファイルに次々と感染し
ていく。
4)その後、オリジナルプログラムを実行する。
識別方法:感染ファイルは205バイト増加する。
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、プログラム実行時に"書き込
み不可"という意味のエラーメッセージを表示する。
名 称:2100-1
別 名:DARK_AVENGER.2100.SI.A、 V2100、 2100
分 類:ファイル感染型
ウイルスサイズ:N/A
発祥地:不明
発見日:不明
詳 細:割り込み: INT 13h、INT 21h
感染方法: 感染ファイルを実行すると、ウイルスはメモリ
にロードされます。ウイルスがメモリ常駐している間は、
アクセスしたり実行したファイルのほとんどに再感染し、
感染したファイルのサイズを2100バイト増加します。感染
ファイルは、ファイルサイズが2100バイト増加し
ていますが、その改変はステルス機能によって隠されてい
ます。
ダメージ: ファイル破壊を起こします。
注 意: ウイルスの常駐時は、感染ファイルのファイル
サイズの増加を隠します。
備 考:
名 称:2136
分 類:ファイル感染型
対 象:.COM;.EXE
ウイルスサイズ:2136バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
1)ウイルスがメモリに常駐していなければ常駐する。
2)常駐後、オリジナルプログラムを実行する。
3)メモリに常駐し、未感染のファイルが実行される度に感
染する。
識別方法:感染ファイルは2136バイト増加する。
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合でも、プログラム実行時に"書
き込み不可"という意味のエラーメッセージを表示しない。
名 称:2559
別 名:YAUNCH、 WENCH
分 類:ファイル感染型
対 象:.EXE
ウイルスサイズ:2559バイト
発祥地:不明
発見日:1991/06
詳 細:− 感染方法:カレントディレクトリ内の未感
染ファイルに感染する。カレントディレクトリに適当なフ
ァイルが無い場合はB:、C:ドライブのファイルを探す。
− 感染ファイルは実行不可になることがある。ひどい場
合はシステムハングを引き起こす。
− ウイルスコード内に以下の文字列が暗号化されて含ま
れている:
'hcnuaY Wench'
− その他破壊行動などはないものと思われる。
備 考:
名 称:2560
分 類:ファイル感染型
対 象:.COM;.EXE
ウイルスサイズ:2560バイト
発祥地:不明
発見日:不明
詳 細:ウイルスがメモリ内に常駐していなければ、上
位メモリに常駐する。
常駐後、オリジナルルーチンに戻る。
感染方法:未感染の.COMまたは.EXEファイルが実行される
度に感染する。
使用割り込み命令:INT 21h、INT 24h
備 考:
名 称:2570
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:2570バイト
発祥地:不明
発見日:不明
詳 細:カレントディレクトリ内の.COMファイルを探
す。
2570ウイルスに感染していれば、他の未感染の.COMファイ
ルを探し出して1つずつ感染する。
発病すると以下のようなメッセージを表示する。
"a)Cycle sluts from hell..b)Virus Mania IV..c) 2 Live
Crew is fucking cool..
d) Like .Commentator I、 HIP-HOP sucks..
e) dr. Ruth is a first-class lady!..
f) Don’t be a wimp、 Be dead!.."
その後、オリジナルプログラムを実行する。
使用割り込み命令:INT 21h
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、"書き込み不可"という意味
のエラーメッセージを表示する。
名 称:2623
別 名:UDDY, UDDY.2617.A, V2623
分 類:ファイル感染型
対 象:.EXE
ウイルスサイズ:2617〜2623バイト
発祥地:米国
発見日:1996/04
詳 細:− メモリに常駐していなければメモリ上位に
常駐し、オリジナルプログラムを実行する。
− 未感染ファイルを実行する度に感染する。
− 発病日以降に感染ファイルを実行するとHDを「
UDDY」という文字列で部分的に上書きし、「UDDY」と画面
上に表示してマシンをハングアップさせる。
備 考:− パターン167以前使用時にN88-BASIC内の「
Phone.EXE」でこのウイルスの誤警告あり。
名 称:2881
別 名:YANKEE DOODLE VIRUS
分 類:ファイル感染型
対 象:.COM;.EXE
ウイルスサイズ:2881バイト
詳 細:感染ファイルは約2881バイト増加し、フリーの
メインメモリは2864バイト減少する。感染した.COMファイ
ルの最後には、7A4Fh及び2chの値を含むワードがある。こ
れらのワードは、Vascina等の他のウイルスでもウイルス感
染を示す目印として使用される。一定の条件が整うと「ア
ルプス一万尺」を鳴らす。
破壊:Ping-Pongウイルスを改変する:メモリ中のPing-
Pongウイルスを改変する機能を持つ。2バイトとジャンプ命
令1個を変更し、サブルーチンを1つ追加する。非常に面白
いことに、Ping-Pongウイルスは改変されても動作する。一
旦リブートした後(全てのディスクにリブート回数のカウン
トが書き込まれる)、255回リブートしても改変されたPing-
Pongウイルスはメモリに常駐した後でも発病しない。この
後で、「アルプス一万尺」のメロディを鳴らす。
名 称:2928
別 名:YANKEE DOODLE VIRUS
分 類:ファイル感染型
対 象:.COM;.EXE
ウイルスサイズ:2928バイト
詳 細:[
感染ファイルは約2928バイト増加し、フリーのメインメモ
リは2864バイト減少する。感染した.COMファイルの最後に
は、7A4Fh及び2chの値を含むワードがある。これらのワ
ードは、Vascina等の他のウイルスでもウイルス感染を示す
目印として使用され、一定の条件が整うと「アルプス一万
尺」を鳴らす。
破壊:Ping-Pongウイルスを改変する:メモリ中のPing-
Pongウイルスを改変する機能を持つ、2バイトとジャンプ命
令1個を変更し、サブルーチンを1つ追加する。非常に面白
いことに、Ping-Pongウイルスは改変されても動作する。一
旦リブートした後(全てのディスクにリブート回数のカウン
トが書き込まれる)、255回リブートしても改変されたPing-
Pongウイルスは、メモリで常駐した後でも発病しない。こ
の後で、「アルプス一万尺」のメロディを鳴らす。
備 考:本ウイルスは2881ウイルスの旧バージョンと考
えられる。2881ウイルスは多数の亜種があり、本ウイルス
は古い亜種の一つのように思われる。2928ウイルスは2881
ウイルスと同じメカニズムと発病症状をもつ。ただし2881
ウイルスの場合、毎日メロディを鳴らすわけではないので
早期発見は難しい。2881ウイルスは最適化されているた
め、その旧バージョンである2928ウイルスより約47バイト
小さくなっている。