名 称:H&P
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:変化なし
発祥地:不明
発見日:不明
詳 細:感染方法:
1)カレントディレクトリ内の未感染.COMファイルを探し出
す。
2)すでにH&Pウイルスに感染していれば、他の未感染.COM
ファイルを探す。
3)一度に1つのファイルに感染する。
破壊:オリジナルファイルを上書きするため、ファイルの
サイズは変化しない。
使用割り込み命令:なし
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、プログラム実行時に"書き込
み不可"という意味のエラーメッセージを表示する。
名 称:HA
分 類:ファイル感染型
対 象:.COM;.EXE
ウイルスサイズ:1458-1468バイト(.EXE)、1462バイト
(.COM)
発祥地:不明
発見日:不明
詳 細:感染方法:
1)メモリに常駐していなければ、最上位メモリに常駐す
る。常駐後、オリジナルプログラムを実行する。
2)すでに常駐していれば、そのままオリジナルプログラム
を実行する。
3)未感染ファイルが実行される度に感染する。
破壊:感染、増殖以外の活動はなし。
名 称:HACKCOM
別 名:HACKER BBS
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:N/A
詳 細:これは本当のウイルスではなく、ウイルスを作
成するプログラム自体である。これはCOMバージョンであ
る。することはCOMファイルをロードし、コマンドパラメ
ータによって指定された場所に感染を行う。最も多くはケ
ースはハッカーBBSから見られる。ハッカーは自分の能
力を証明するために、または、ハッカー内のグループに認
めるために、作り出したものと考えられます。最近このよ
うなプログラムが多数があった。そのプログラムによる被
害を防ぐために、一般的にキットを解析し、不能にする研
究が行われている。
備 考:誤実行や感染をしないように、ウイルスファイ
ルを削除してください。
名 称:HACKTIC2
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:93バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
カレントディレクトリ内の未感染.COMファイルを探し出し
て1つずつ感染する。
破壊:感染、増殖以外の活動はなし。
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、プログラム実行時に"書き込
み不可"という意味のエラーメッセージを表示する。
名 称:HAFEN
別 名:HAFENSTRASSE
分 類:ファイル感染型
対 象:.EXE
ウイルスサイズ:N/A
詳 細:感染方法: 感染ファイルを実行すると、カレン
トディレクトリにある.EXEファイル1つに再感染します。
感染ファイルは、ファイルサイズが809バイト増加します。
ダメージ: 感染ファイルを実行する度に、4文字のいやらし
いファイル名のファイルを隠し属性で作成します。
名 称:HALLO
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:496バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
1) カレントディスクの未感染.COMファイルを探し出す。
2)すでに感染していれば、他の未感染ファイルを探し1つ
ずつ感染する。
感染後、
"I have got a virus for you!" と表示する。
破壊:感染、増殖以外の活動はなし。
識別方法:
プログラムを実行すると、
"I have got a virus for you!"
という文字列を表示するか、もしくはファイルが599バイト
増加しているかどうかチックする。
使用割り込み命令:なし
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、プログラム実行時に"書き込
み不可"という意味のエラーメッセージを表示する。
名 称:HALLO-759
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:533バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
1)カレントディレクトリ内の未感染.COMファイルを探し出
す。
2)すでに感染していれば、他の未感染ファイルを探し1つ
ずつ感染する。
.EXEファイルには感染しない。
3)感染後、
"Ihave got a virus for you!" と表示する。
破壊:感染、増殖以外の活動はなし。
識別方法:
プログラムを実行したときに
"I have got a virus for you!" という文字列を表示す
るか、
ファイルが759-775バイト増加しているかチェックする。
備 考:1)ウイルスプログラムに欠陥があるため、感染
ファイルを実行するとシステムがハングする。
2)メディアなどにライトプロテクト(書き込み禁止処理)
が施されている場合、プログラム実行時に"書き込み不可"
という意味のエラーメッセージを表示する。
名 称:HALLOWEEN
別 名:HLL.HALLOWEEN、HLLP.10000
分 類:ファイル感染型
対 象:.COM;.EXE
ウイルスサイズ:10、000bytes
発祥地:不明
発見日:12月31日
詳 細:感染方法:
- このウイルスは直接感染型のウイルスで、感染ファイル
が実行されたときに、カレントディレクトリの.COMまたは.
EXEファイルを探し、サイズが10KB以上のファイルにウイル
スコードをコピーする。
- ウイルスコードは、対象ファイルの先頭に付け加えられ
る。感染したファイルは約10、000バイトサイズが増加する。
- 感染対象のファイルが存在しなかった場合、以下のよう
なメッセージが表示される。
"Runtime error 002 at 0000:0511"
損害:
- 10月31日になると、ファイル名がない10、000バイトのフ
ァイルを作成する。このファイルには、ウイルスコードが含
まれる。その後、以下のメッセージを表示する。
"Runtime error 150 at 0000:0AC8".
- 感染ファイルが実行されているとシステムの動作が非常
に遅くなる。
備 考:- ウイルスコードには以下の文字列が含まれる
。
"ALL GONE"
"Happy Halloween"
名 称:HARD-DAY
分 類:ファイル感染型
対 象:.COM;.EXE
ウイルスサイズ:662バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
メモリに常駐していなければ上位メモリに常駐する。
常駐後、オリジナルルーチンに戻る。
未感染の.COMまたは.EXEファイルが実行される度に感染す
る。
使用割り込み命令:INT 21h
破壊:
システムの日付が月曜日であり、なおかつ時刻が18:00以降
であれば、
" Hard day's night !"
というメッセージを表示してシステムをハングする。
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、プログラム実行時に"書き込
み不可"という意味のエラーメッセージを表示する。
名 称:HARE
別 名:HARE.7682、 HARE.7682-1、 HARE.NEW、 HARE.NEW-
1、 HARE.7610、 EUTHANASIA、 HDEUTHANASIA、 KRSNA、 7750、
77
分 類:複合感染型
対 象:FD:ブートセクタ;HD:マスターブートレコード;.
COM;.EXE
ウイルスサイズ:7610 〜 7770バイト
発祥地:ニュージーランド
発見日:1996/07
詳 細:感染方法:
−感染したプログラムが実行されるとメモリに常駐し、ハ
ードディスクのシステム領域(マスターブートレコード)
に感染する。メモリ常駐後に実行された.COM、.EXEファイ
ルすべてに感染する。
−ハードディスクのパーティションテーブルを暗号化し、
ウイルス常駐状態でないとハードディスクを認識できなく
する。
発病:
−8月22日、9月22日にウイルスが実行されていた場
合に発病する。
"HDEuthanasia" by Demon Emperor: Hare Krsna、 hare、
hare...
以上のメッセージを表示した後、システムから認識される
すべてのハードディスク内の、全データを上書きして破壊
してしまう。
その他
−多くの亜種が発見されている。
−「FDISK /MBR」コマンドを使用してはならない。このコ
マンドを使用してしまうと、ハードディスクを元に戻すこ
とができなくなってしまう。
名 称:HARM-1082
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:1082〜1097バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
1)メモリに常駐していなければ、最上位メモリに常駐す
る。常駐後、オリジナルプログラムを実行する。
2)すでに常駐していれば、そのままオリジナルプログラム
を実行する。
感染詳細:未感染ファイルが実行される度に感染する。
破壊:感染、増殖以外の活動はなし。
備 考:
名 称:HAVOC
別 名:STONED.B
分 類:その他
対 象:Dos Exec
ウイルスサイズ:21,903 bytes
詳 細:フロッピーディスクと最初のハードディスクの
マスターブートレコード(MBR)の両方のDOSブートセクタ
ーに感染する。ステルス機能は持たず、ファイルには感染
しない。ネットワークを介してウイルスが伝染することも
ない。
感染すると、ウイルスは元のMBRをハードディスクのセクタ
ー7に移動する。感染したシステムは、“HAVOC2”という名
称で検出される。
名 称:HBT
分 類:複合感染型
対 象:FD:ブートセクタ;HD:マスターブートレコード;.
COM;.EXE
ウイルスサイズ:394バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
1)メモリに常駐していなければ常駐する。
2)常駐後、オリジナルプログラムを実行する。
3)メモリに常駐し、未感染ファイルが実行される度に感染
する。
破壊:
ウイルスがメモリに常駐していると、プログラムは実行で
きないがウイルス感染してしまう。
使用割り込み命令:INT 21h
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、プログラム実行時に"書き込
み不可"という意味のエラーメッセージを表示する。
名 称:HDENOWT
分 類:ファイル感染型
対 象:.COM、.EXE(COMMAND.COMにも感染する)
ウイルスサイズ:1、757バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
感染ファイルを開くと、FindFirstとFindNextファンクシ
ョンを使ってファイルに感染していく。
1)感染ファイルを実行したとき、すでにウイルスがメモリ
に常駐していなければ、上位メモリに常駐する。2)常駐
後、オリジナルプログラムのルーチンに戻る。3)未感染
の.COMファイルもしくは.EXEファイル、またCOMMAND.COMフ
ァイルにアクセスすると感染する。
損害:
とくに破壊活動は行なわない。感染をわかりづらくするミ
ューテーション型ウイルスであり、ウイルスがメモリー上
にあるときは、ファイルサイズが変化していないように見
える。しかし、コンピュータを再起動すれば、ファイルサ
イズの増加が確認できる。
備 考:このウイルスはステルス行動をとるため、メモリ
に常駐している間は、感染ファイルの日付とサイズに変更が
ないように見える。
名 称:HDKILLER
別 名:CORUNA4、 RASEC、 MEILAN、 RASEK BOOT、 KILLER
BY RASEK
分 類:システム領域感染型
対 象:FD:ブートセクタ;HD:マスターブートレコード
ウイルスサイズ:N/A
発祥地:スペイン
発見日:1994/11
詳 細:感染方法:
このウイルスに感染したフロッピーディスクでマシンの
起動動作を行うとハードディスクのシステム領域(マスタ
ーブートレコード)に感染する。この際FDに起動システ
ムが入ってなくても「Non-System Disk」のエラーは出さな
い。感染したハードディスクでマシンを起動すると、コン
ベンショナルの上位メモリに常駐してファイルの入出力を
監視する。その後、書き込み可能なフロッピーディスクに
アクセスすると、そのディスクのブートセクタに感染する。
− メモリ常駐時に領域をリザーブしない。他のプログラ
ムがウイルスの使用している領域に常駐しようとした場
合、直ちにシステムクラッシュが起る。
− 感染したときのシステム日付を記録し、1ヶ月経過ごと
に発病する。例:ある月の10日に感染した場合、翌月以降の
毎月9日に発病する。発病するとハードディスク内のデータ
をいくつか上書きして破壊する。
− ウイルスコード内に以下の文字列が含まれている:
"HDKiller By Rasek. "
"0UT Meilan! "
名 称:HELLPHORA
分 類:ファイル感染型
対 象:.EXE(DOS用16bit実行ファイル)
ウイルスサイズ:N/A
発祥地:不明
発見日:不明
詳 細:感染方法:
- このウイルスは、直接感染型でありメモリに常駐するこ
となく直接ファイルにコードを書き込む。
- 感染したファイルを実行すると、カレントディレクトリ
の.EXEファイルを探し、次々に感染していく。他のディレク
トリのファイルには感染しない。
損害:
- ファイルをウイルスコードで上書きする。
備 考:- 駆除はできないので、感染ファイルを削除し
オリジナルのものに置き換える他ない。
名 称:HELLWEEN1182
分 類:ファイル感染型
対 象:.COM;.EXE
ウイルスサイズ:1182バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
1)メモリに常駐していなければ上位メモリに常駐する。
常駐後、オリジナルルーチンに戻る。
2)未感染の.COMまたは.EXEファイルが実行される度に感
染する。
使用割り込み命令:INT 21h、INT 24h
破壊:感染、増殖以外の活動はなし。
備 考:
名 称:HELLWEEN-1-S
別 名:HELLWEEN
分 類:ファイル感染型
対 象:.COM;.EXE
ウイルスサイズ:N/A
詳 細:これはステルス行動等を行わない、非常にシンプ
ルなメモリ常駐型ウイルスである。
感染方法:
-感染ファイルが実行されると、メモリに常駐し、その後アク
セスまたは実行されたファイルすべてに感染する。
損害:
- 感染する以外に特に破壊活動無し。
発病:
- 以下のメッセージを10月20日に表示していたはずである
が、コード内にエラーがあるため、このメッセージは表示さ
れない。
Virus napsany specialne pro inzenyra ZAKA ze SPS*****
**************Nepodlehejte panice、 mate nakazeno jen
par souboru...(c) 1993 II.A 1988Tak a ted si
vyzkousime treba: RESETKdyby kazdy nespokojeny
studentnapsal virus、 tak v nasich skolach byani jiny
software nekoloval a McAfee by se divil...After this
the virus waits for a keypress and then resets
themachine.The 1376 bytes long variant is nearly
identical to theHelloween.1839 described above、 but
it displays this message:Nesedte porad u pocitace a
zkuste jednou delat neco rozumneho!******************
*!! Poslouchejte HELLOWEEN - nejlepsi metalovou
skupinu !!
備 考:
名 称:HERO-394
分 類:ファイル感染型
対 象:.EXE
ウイルスサイズ:394バイト
発祥地:不明
発見日:不明
詳 細:
識別方法:
システムの日付が各月の1日であれば発病し、画面に意味不
明なコードを表示する。
破壊:感染、増殖以外の活動はなし。
備 考:
名 称:HI
分 類:ファイル感染型
対 象:.EXE
ウイルスサイズ:460〜895
発祥地:東欧
発見日:1992/08
詳 細:感染方法:
1)メモリに常駐していなければ、メモリに常駐する。
2)常駐後、オリジナルルーチンに戻る。
3)未感染のファイルが実行される度に感染する。
− ウイルスコード内に以下の文字列が含まれる:
"Hi"
備 考:
名 称:HI!BOY
別 名:HIDE_AND_SEEK
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:709バイト
発祥地:不明
発見日:1993/08
詳 細:感染方法
感染ファイルが実行されると、以下のディレクトリにあ
る.COMファイルに感染する。
カレントディレクトリ
ルートディレクトリ
Aドライブのルートディレクトリ
すべてのファイルに感染するわけではなく、1つのディレ
クトリにつき2個の.COMファイルにだけ感染する。
損害
とくに破壊活動は行わないが、ファイルサイズが増加す
る。
備 考: 直接感染型のウイルスであり、メモリーには
常駐しない。
名 称:HICCUP
別 名:COMP-3351
分 類:ファイル感染型
対 象:.EXE
ウイルスサイズ:3351bytes
詳 細:実行手順:
1) Hiccupは、カレントディレクトリで.EXEファイルを探し
ます。
2) ウイルス自体で構成される*.COM(隠しファイル)を作
成します。実行されるとき、*.COMファイルが実行され、元
のルーチンへ戻ります。
ダメージ: なし
症状:ファイルサイズは3351バイトです。
注 意:
1) メモリに常駐しません。
2) ウイルスファイルは圧縮され、圧縮解除(PKLITEと同
様)しない限り認識することはできません。
名 称:HIDE
分 類:システム領域感染型
対 象:FD:ブートセクタ;HD:マスターブートレコード
ウイルスサイズ:N/A
発祥地:不明
発見日:不明
詳 細:感染方法:
1)このウイルスに感染したフロッピーディスクでマシン
の起動動作を行うとハードディスクのシステム領域(マス
ターブートレコード)に感染する。
2)このウイルスに感染したハードディスクでマシンを起
動すると、メモリーに常駐してファイルの入出力を監視す
る。
3)その後、書き込み可能なフロッピーディスクにアクセ
スすると、そのディスクのブートセクタに感染する。
その他、特にウイルス自身による破壊活動はないものと思
われる。
名 称:HIDER.2143
別 名:MANIC.2143
分 類:ファイル感染型
対 象:.COM, .EXE
ウイルスサイズ:2143 bytes
詳 細:HIDER.2143はメモリ常駐型ウイルスです。実行
するとメモリに常駐し、アクセスしたすべてのEXE とCOMに
感染します。
このウイルスはまたポリモフィック型でもあり、発見され
にくいように、感染ごとにそのコードを変更します。感染
すると、システムのスピードが遅くなります。
感染したファイルを実行すると、.MS, .NTZ という拡張子
のファイルとVIR.DAT ,という文字がファイル名に含まれる
ファイルを検索し、みつかったらこれを削除します。
名 称:HIDER.2143-O
別 名:MANIC.2143分 類:ファイル感染型
対 象:.COM, .EXE
ウイルスサイズ:2143 bytes
詳 細:HIDER.2143-Oは、HIDER.2143のマザーウイルス
です。マザーウイルスとは感染源となるために最初に作成
されたプログラムのことです。このため、HIDER.2143-Oの
駆除はできません。このマザーウイルスから感染したウイ
ルスは、HIDER.2143として検出します。
HIDER.2143はメモリ常駐型ウイルスです。実行するとメモ
リに常駐し、アクセスしたすべてのEXE とCOMに感染しま
す。
このウイルスはまたポリモフィック型でもあり、発見され
にくいように、感染ごとにそのコードを変更します。感染
すると、システムのスピードが遅くなります。
感染したファイルを実行すると、.MS, .NTZ という拡張子
のファイルとVIR.DAT ,という文字がファイル名に含まれる
ファイルを検索し、みつかったらこれを削除します。
名 称:HIGHLAND
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:477バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
1)メモリに常駐していなければ常駐する。
2)常駐後、オリジナルプログラムを実行する。
3)メモリに常駐し、未感染ファイルが実行される度に感染
する。
.EXEファイルには感染しない。
使用割り込み命令:INT 21h
破壊:
システムの日付が各月29日になると、HIGHLANDウイルスに
感染したファイルは全て実行できなくなる。
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、プログラム実行時に"書き込
み不可"という意味のエラーメッセージを表示する。
名 称:HITLER
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:4808バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
1)メモリに常駐していなければ上位メモリに常駐する。
常駐後、オリジナルルーチンに戻る。
2)未感染の.COMファイルが実行される度に感染する。
使用割り込み命令:INT 21h、INT 24h
破壊:感染、増殖以外の活動はなし。
名 称:HLLC.12736
別 名:HLL.CPM.12736
分 類:ファイル感染型
ウイルスサイズ:12736 bytes
発祥地:不明
発見日:不明
詳 細:このウイルスはスタンダードな直接感染型ウイ
ルスである。
感染方法:
1)感染したファイルを実行すると、カレントディレクトリ
のCOMファイルを探しウイルスコードをコピーする。ウ
イルスコードを実行した後にホストプログラムを実行させ
るため、ユーザーは感染に気づく事はない。
2)感染したファイルは12736bytesサイズが増える。
損害:
感染活動以外、特に破壊活動はなし。
名 称:HLLC.SPAWNER
分 類:ファイル感染型
対 象:.EXE
ウイルスサイズ:18、899 bytes
発祥地:不明
発見日:不明
詳 細:感染方法:
1)感染したファイルが実行されると、まず、カレントディレ
クトリに.EXEファイルがないかどうか探す。見つけると、そ
のファイル名をつけた.BINファイルを作成する。(例:
ATTRIB.EXEに感染するときATTRIB.BINを作成する。)そして、
その.EXEファイルをウイルスコードで上書きしてしまう。
2).BINファイルは、元のファイルのコピーだが、ウイルスが
コードなどを書き加えているためオリジナルとしては使用
することができない。修復するには、バックアップファイル
で復元するより他ない。
症状:
1) 上書き感染であるため、もとのファイルのプログラム
は機能しなくなる。
2) 感染したファイルと同名の .BINファイルが作成され
る。
備 考:コード内に以下の文字列がある。
Smuilt / DIFFUSION
SPAWN
c:SPAWNER.DAT
It’s Smuilt’s birthday today、 but that only narrows
me down to about 279452people.
名 称:HLLC.UNVISIBLE
分 類:ファイル感染型, 上書き感染型, ステルス型
感染方法:
1)感染ファイルを実行すると、未感染のEXEファイルを探
し、見つかったファイルにウイルスコードを上書きする
(したがって、感染後のEXEファイルはウイルスそのものの
コピーということになる)。その際、感染をユーザーから
隠すために、感染ファイルの日付・時刻属性を元のファイ
ルどおりにしておく。
2)OVLという拡張子がついたファイルも作成する。これは
感染前のEXEファイルをコピーしたものでも、ウイルスコ
ードのコピーでもない。
備 考: このウイルスはEXEファイルを上書き感染して
いくタイプであり、発見した場合には、感染ファイルその
ものを削除してください。
名 称:HLLO.13277
分 類:ファイル感染型
対 象:.EXE
ウイルスサイズ:N/A
発祥地:不明
発見日:不明
詳 細:感染方法:
1)このウイルスは直接感染型で、感染ファイルが実行され
ると、他の.EXEファイルにウイルスコードをコピーする。
2)まず、ルートディレクトリの未感染ファイルを探して感
染し、次に一番上の階層のディレクトリ、次にサブディレク
トリという順番で感染していく。
損害:
- 感染されたファイルは、ウイルスコードで上書きされる。
感染兆候:
- 感染したファイルはサイズが13、277bytesになる。
備 考:上書き感染型のため駆除はできない。ファイルを
削除するほかない。
名 称:HLLO.17288
分 類:ファイル感染型
対 象:.COM;.EXE
ウイルスサイズ:17、288bytes
発祥地:不明
発見日:不明
詳 細:感染方法:
1)感染ファイルを実行すると、まず「C:\COMMAND.COM」に
感染した後、Cドライブのルートディレクトリ以下のサブデ
ィレクトリへ感染する。
2)一度の実行で2つのファイルに感染する。
3)感染対象ファイルはランダムに選ばれる。
症状:
ウイルスがファイルを上書きするために、元ファイルは破
壊され駆除は出来ない。
名 称:HLLO_4891
分 類:ファイル感染型
対 象:.COM;.EXE
ウイルスサイズ:4891バイト
詳 細:感染方法:
1) 感染ファイルを実行すると、まず「C:\COMMAND.COM」に
感染した後、Cドライブのルートディレクトリ以下のサブデ
ィレクトリへ感染する。
2) 一度の実行で2つのファイルに感染する。
3) 感染対象ファイルはランダムに選ばれる。
症状:
1) メッセージを表示し、キーボードをロックする。
2) ウイルスがファイルを上書きするために、元ファイルは
破壊され駆除は出来ない。
名 称:HLLP.4000
別 名:HLL.CMP.5482, OVL VIRUS, VIRUS RIDER
分 類:ファイル感染型
対 象:.EXE
ウイルスサイズ:5、482 bytes
発祥地:不明
発見日:不明
詳 細:感染方法:
1) 実行されると、ウイルスコードの部分をジグソーパズル
のように組み合わせてウイルスコードの全体を形作る。その
後、感染ファイルと同じ名前で、拡張子が.ovlのファイルを
作成し、そこにウイルスコードを格納する。感染するときに
呼び出されるファイルはこの.ovlファイルである。
損害:
1) ファイルサイズが5482バイト大きくなる。
2) 感染ファイルと同じ名前で拡張子が .ovlのファイルを
作成し、そのファイルにウイルスコードを格納する。
3)感染ファイルが実行されると、以下のテキストが表示され
る。
→Virus RIDER. Let’s go on riding!
→I beg your pardon、 your infected file cannot be
executed.
→This is DEMO version of RIDER. Register to get
legalized version
→Mr. Lozinsky! I"m just a little child! Please don"
t kill me!
名 称:HLLP.5658.A
分 類:ファイル感染型
対 象:.EXE
ウイルスサイズ:5658Bytes
発祥地:不明
発見日:不明
詳 細:感染方法:
このウイルスは直接感染型で、感染ファイルが実行されると
、カレントディレクトリの.EXEファイルにコードをコピーす
る。
損害:
1) ウイルスコードをコピーするだけで特に破壊活動はない
。
2) ファイルサイズが5658バイト増加する。
名 称:HOBBIT
分 類:ファイル感染型
対 象:.EXE
ウイルスサイズ:505バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
1)感染ファイルが実行されるとメモリに常駐する。
空きメモリは1、440バイト減少する。
2)常駐すると、未感染の.EXEファイルが実行される度に
感染する。
ファイルの先頭505バイトを上書きする。
感染ファイルの日付及び時刻の情報は変更されない。
感染詳細:ウイルスには"HOBBIT"という文字列が含まれ
る。
名 称:HOLO
別 名:HOLOCAUST, STEALTH
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:3784バイト
発祥地:スペイン(バルセロナ)
発見日:1990/12
詳 細:感染方法:
1)感染ファイルを実行すると,システムのメモリ上位,
DOSの640K境界下に4、080の
サイズで常駐する。常駐したメモリ領域をCommand Data
として印を付ける。
あるメモリマッピングユ−ティリティを使用するとメモ
リ上位に常駐しているにもかかわらず,
メモリ下位の常駐メモリベクタが4、080byte増加している
ことを場合がある。
2)常駐後,実行またはオ−プンしたファイルの最後にウィ
ルスコ−ドを追加して感染する。
但し,サイズ1K以下のファイルには感染しない。
常駐後ではDirコマンドでディレクトリをリスティングし
ても,このファイルサイズの増加が分からない。
3) 常駐後にDOSのChkDskコマンドを実行すると,感染ファ
イルがファイルアロケ−ション
エラ−を起こしているように表示する。そして,/Fオプ
ションを使用してChkDskを
実行すると感染ファイルが破壊される。ウィルスが常駐
していな状態であれば,ディ
レクトリサイズとFATのファイルアロケ−ションが一致し
ているため,ファイルアロ
ケ−ションエラ−は起こらない。
4) 自己を暗号化し,更に,元々の暗号化メカニズムとは異
なった方法で感染ファイルを
暗号化する場合がある。
5) 感染ファイルの最後に以下の文字列を含む場合がある
(中にはこの文字列が暗号化
されている場合がある)。
"Virus Anti - C.T.N.E. v2.10a. (c)1990
Grupo Holokausto.
Kampanya Anti-Telefonica. Menos
tarifas y mas servicio.
Programmed in Barcelona (Spain). 23-8
-90.
- 666 -"
6)上記以外の活動については不明。
備 考:Telecom 参照。
名 称:HOR-2248
分 類:ファイル感染型
対 象:.COM;.EXE
ウイルスサイズ:2248バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
※DOS の Ver. 5.0 では発病しない。
1)メモリに常駐していなければ、最上位メモリに常駐す
る。常駐後、オリジナルプログラムを実行する。
2)すでに常駐していれば、そのままオリジナルプログラム
を実行する。
感染詳細:未感染ファイルが実行される度に感染する。
破壊:感染、増殖以外の活動はなし。
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、プログラム実行時に"書き込
み不可"という意味のエラーメッセージを表示しない。
名 称:HORROR
分 類:ファイル感染型
対 象:.COM;.EXE
ウイルスサイズ:1112-1182バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
1)メモリに常駐していなければ上位メモリに常駐する。
2)常駐後、COMMAND.COMが感染しているかチェックする。
未感染であれば感染し、その後オリジナルルーチンに
戻る。
3)未感染の.COMまたは.EXEファイルが実行される度に感
染する。
使用割り込み命令:INT 21h、INT 24h
破壊:ハードディスクのデータを全て破壊する。
(このウイルスの感染時間はその変種によってそれぞれ
異なる。)
備 考:
名 称:HORSE.1576-C
別 名:NAUGHTY HACKER
分 類:ファイル感染型
対 象:Dos *.COM and *.EXE
ウイルスサイズ:1576バイト
発見日:1991
詳 細:感染方法:
1)HORSEファミリーに属する標準的なファイル感染型ウイ
ルスで、COMファイルとEXEファイルに感染する。
2)実行するとメモリに常駐し、その後実行またはアクセス
した>COM/.EXEファイルに感染する。
3)感染ファイルにウイルスコード(1,576バイト)を書き
加える。
4)ファイルにのみ感染し、ブートセクターに感染すること
はない。メモリ常駐中は、ステルス行動をとり、感染ファ
イルのサイズ増加をわからないようにする。
備 考:HORSEの亜種はとてもたくさんある。ウイルスコ
ード内に“Sophia” または“c Naughty Hacker”というテ
キストを持つ亜種も存在するが、ウイルスとしてはほとん
ど同じである。
亜種の中にはスクリーンをスクロールさせ、ノイズを鳴ら
すものもある。また、キーを入力すると、カチッというノ
イズが鳴らすものもある。
名 称:HORSE-10
分 類:ファイル感染型、メモリ常駐型
対 象:.COM、.EXE
ウイルスサイズ:2,248バイト
詳 細:標準的なファイル感染型ウイルスで、COMファイ
ルとEXEファイルに感染する。ネットワーク経由で感染する
ことができる。
感染方法:
1)メモリに常駐し、感染ファイルにウイルスコード(2,
248バイト)を書き加える。
2)ファイルにのみ感染し、ブートセクターに感染すること
はない。
3)メモリ常駐中は、ステルス行動をとり、感染ファイルの
サイズ増加をわからないようにする。
症状:
スクリーンをスクロールさせ、ノイズを鳴らす。また、キ
ーを入力すると、カチッというノイズが鳴る。
名 称:HOUSE
分 類:ファイル感染型
対 象:.EXE
ウイルスサイズ:N/A
発祥地:アメリカ
発見日:1995
詳 細:感染方法:
1)非メモリ常駐型で、直接、感染対象.EXEファイルを上書
きしてしまう。
2)上書き感染のため、感染ファイルを破壊してしまう。
3)このウイルスに感染したプログラムを実行すると、実行
されたカレントディレクトリと、AまたはBドライブに存
在する、11、636バイトよりも大きなサイズのプログラムに
感染する。
−下記の文字列がウイルスコードの中に見られる。
"*.exe"
"*HOUSEVIRUS*"
"*.exe rb rb rb+"
名 称:HTML.ENEL.3787
別 名:HTML.ENEL.3787分 類:ファイル感染型
対 象:.HTM;.HTML;.HTT
ウイルスサイズ:3787 bytes詳 細:Description:
The HTML.Enel.3787 virus is a VBScript virus that can
infect HTML files. Thevirus requires Internet
Explorer 4.0 or greater. The virus targets any
filewith a HTM、 HTML、 or HTT extension in C:\WINDOWS\
WEB、 C:\InetPub\wwwroot、 andC:\MyDocu~1 (usually My
Documents) directories.
One can contract this virus by browsing a webpage via
the Internet; however、using default Internet
Explorer security settings、 one must first approve
apop-up Security Alert. The virus first disables your
Internet Zone securitysettings by changing the
registry keys:
Software\\Microsoft\\Windows\\CurrentVersion\\
InternetSettings\\Zones\\3\\1201
Software\\Microsoft\\Windows\\CurrentVersion\\
InternetSettings\\Zones\\1\\1201
Software\\Microsoft\\Windows\\CurrentVersion\\
InternetSettings\\Zones\\0\\1201
in both HKEY_LOCAL_MACHINE and HKEY_CURRENT_USER.
Default security settingswill never run the code
which changes the above registry keys from a
remotewebpage. However、 using an Internet Explorer
buffer overflow exploit、 the codeis assumed to be on
the local machine giving the user the option of
running themalicious code via the pop-up Security
Alert. Approving this security alertthen turns off
future ActiveX object warnings and allows the virus
to runmalicious VBScript in remote webpages that
infect local HTML files.
The virus checks to see if the files have been
infected already beforeattempting infection. If the
files have not yet been infected、 the virus makesa
temporary copy of the host file. The virus then
overwrites the host file withviral code. After
overwriting the host file、 the virus then appends
theoriginal host data from the temporary file. This
successfully prepends theviral code. The temporary
file is then deleted.
Payload affects include the status bar being changed
to "HTML.Worm v0.2/1nternal" and with a 1/15 chance、
redirection to the author's webpage.
備 考:
名 称:HTML.OFFLINE
分 類:ファイル感染型
対 象:.HTM;.HTML
ウイルスサイズ:N/A
詳 細:感染方法:
もし、ユーザがOFFLINEに感染されたhtmあるいはhtmlファ
イルを開いたら、ウイルスはカレントディレクトリのすべ
てのhtm、htmlファイルを見つけ、ウイルスコードをそれに
コピーする。
損害:
元のファイルが上書きされるので、すべてのデータは失わ
れる。
備 考:感染例:
<元ファイル>
htmloff.htm 2KB 98/11/15 09:32
test.htm 0KB 98/11/18 00:00
test1.htm 0KB 98/11/18 00:00
test2.htm 0KB 98/11/18 00:00
<感染後>
htmloff.htm 2KB 98/11/15 09:32
test.htm 2KB 98/11/15 09:32
test1.htm 2KB 98/11/15 09:32
test2.htm 2KB 98/11/15 09:32
名 称:HTML.PREPEND
分 類:ファイル感染型
対 象:.HTM;.HTML
ウイルスサイズ:N/A
詳 細:感染方法:
1)もし、ユーザがPREPENDに感染されたhtmあるいはhtmlフ
ァイルを開いたら、1/6の確率でほかのファイルに感染す
る。
2)感染するとき、カレントディレクトリのすべてのhtm、
htmlファイルを探し、見つかったファイルの先頭にウイル
スコード(60行)がコピーされる。
損害:
ウイルスコードを書き加えられる以外特になし。
名 称:HTML.REDIRECT
分 類:ファイル感染型
詳 細:感染方法:
1)もし、ユーザがREDIRECTに感染されたhtmあるいはhtml
ファイルを開いたら、1/6の確率でほかのファイルに感染す
る。
2)感染するとき、カレントディレクトリのすべてのhtmフ
ァイルを探し、それを拡張子htmlにリネームする。
3)ウイルスコードを元のファイルにコピーする。例えば、
あるファイルがindex.htmであるとすれば、ウイルスがそれ
をindex.htmlにリネームする。その後、ウイルスコードが
index.htmにコピーされる。
損害:
.htmが.htmlにリネームされる。リネームされたファイルの
拡張子を戻せばデータは無事回復する。
名 称:HTML_LOOPWINDOW
分 類:トロイの木馬型
詳 細:これはWEBサイトに仕掛けられたトロイの木馬型
である。感染活動はない。
損害: ユーザがWebサイトhttp://www.guestbook.de/yasg.
cgi?X=127985にアクセスすると、そのときアクティブなブ
ラウザのウインドウを数百個開く。とくに破壊活動は行な
わないが、終了させるにはWindowsを再起動するしかない。
名 称:HTML_SMILE
別 名:SMILE
分 類:VBスクリプト
対 象:IE4以上
ウイルスサイズ:3〜4 KB(ミューテーションのため不定)
詳 細:-
これはHTML内に組み込んだJAVAスクリプト、VBスクリプ
トを利用してブラウザ上で破壊活動を行えるインターネッ
トウイルスの一種です。マイクロソフト社製
InternetExplorer4以上でのみ動作します。また、mIRCを利
用して自分のコピーを広めることが出来ます。
活動:
このインターネットウイルスは活動をはじめるとまず
JAVAスクリプトによりブラウザの種類を調べます。ブラウ
ザがIE4以上だった場合、"If Your Active-X asks you,
and you want \nto continue load this page answer yes
when asked" というユーザーにActiveXの警告を無視させ
る旨のメッセージを表示します。それ以外のブラウザだっ
た場合は"This page was made for IE 4, and is only for
IE4"というメッセージを表示し終了します。
ユーザーがメッセージ通りにActiveXを有効にさせると、
VBスクリプトが起動しローカルにあるすべてのHTML,HTMの
拡張子のファイルに自らのコードをコピーして感染しま
す。この際、HTML文書のヘッダーを調べ、""
というヘッダーがあるファイルにはすでに自分が感染して
いるものと判断して感染しません。感染の際にはランダム
に空白行やコメント行を挿入し発見されにくくするミュ
ーテーション活動を行います。
次に自分のコードをコピーしたxxxpass.htmというファイ
ルをC:ドライブのルートディレクトリに作成します。その
マシンでmIRCが使用されている場合にはそのスクリプトフ
ァイル"C:\mirc\script.ini"を改変し、自動的にxxxpass.
htmを送信するように設定します。
発病:
システム日付が5月13日だった場合、Windowsの使用者名
を"Techno Phunk"に変更し、"Smile!"というメッセージ
ボックスを表示します。
備 考:-
手動駆除方法:
もしmIRCを使用している場合はscript.iniファイルをオ
リジナルで修復してください。
名 称:HTML_YASG_CGI
分 類:トロイの木馬型
対 象:なし
ウイルスサイズ:4、148バイト
発祥地:不明
発見日:不明
詳 細:これはWEBサイトに仕掛けられたトロイの木馬型
である。感染活動はない。
損害:
ユーザがWebサイトhttp://www.guestbook.de/yasg.cgi?X
=127985にアクセスすると、そのときアクティブなブラウザ
のウインドウを数百個開く。とくに破壊活動は行なわない
が、終了させるにはWindowsを再起動するしかない。
名 称:HUNGARIAN
分 類:ファイル感染型
対 象:.COM;.EXE
ウイルスサイズ:749バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
1)メモリに常駐していなければ、最上位メモリに常駐す
る。
2)その後、オリジナルプログラムを実行する。
3)メモリに常駐し、未感染ファイルが実行される度に感染
する。
破壊:常駐後約1時間経過すると、どのファイルを実行して
も破壊されるようになる。
使用割り込み命令:INT 21h、INT 24h、INT 8h
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合でも、プログラム実行時に"書
き込み不可"という意味のエラーメッセージを表示しない。
名 称:HUNT
別 名:MINNOW, ZEROHUNT
分 類:ファイル感染型
ウイルスサイズ:416バイト
発祥地:アメリカ
発見日:1990年12月
詳 細:感染方法:
1)メモリ常駐時にオープンされたファイルをチェックし、
ファイルにコード「00h」が416バイト以上含まれていた場
合にのみ感染する。上書き感染のため、感染ファイルのサ
イズは増加しない。
2)感染以外の破壊活動はないものと思われる。