名 称:NANITE
分 類:システム領域感染型
対 象:.COM;.EXE
ウイルスサイズ:変化なし
発祥地:不明
発見日:不明
詳 細:感染方法:
1)カレントディレクトリ内の.COMまたは.EXEファイルを探
し出す。
2)すでにNaniteウイルスに感染していれば、他の未感染.
COMまたは
.EXEファイルを探す。
3)カレントディレクトリ内の全ての.COMまたは.EXEファイ
ルに感染する。
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、
プログラム実行時に"書き込み不可"という意味のエラーメ
ッセージを表示する。
名 称:NAPC
分 類:ファイル感染型
対 象:.COM;.EXE
ウイルスサイズ:729バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
カレントディレクトリ内の.COMまたは.EXEファイルを探し
出して感染する。
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、
プログラム実行時に"書き込み不可"という意味のエラーメ
ッセージを表示する。
名 称:NATAS
別 名:SATAN、 SAT_BUG.NATAS、 NATAS-1〜NATAS-7
分 類:複合感染型
対 象:FD:ブートセクタ;HD:マスターブートレコード;.
COM;.EXE
ウイルスサイズ:4744バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
−メモリ常駐後、実行した.COM及び.EXEファイルに感染す
る。また、アクセスしたフロッピーディスクのブートセク
タにも感染する。
−この感染したファイルを実行するか、このウイルスに感
染したフロッピーディスクでマシンの起動動作を行うとハ
ードディスクのシステム領域(マスターブートレコード)
に感
染する。
−このウイルスに感染したハードディスクでマシンを起動
すると、メモリーに常駐してファイルの入出力を監視す
る。その後、実行した.COM及び.EXEファイルに感染し、
また書き込み可能なフロッピーディスクにアクセスする
と、そのディスクのブートセクタに感染する。
−ただし極めて小さいか、または大きな.COMファイルと内
部オーバーレイ・コードを持つ.EXEファイルには感染しな
い。
発病:
−感染ディスクで512回起動されたときに、ハードディ
スクにフォーマットをかけてしまう。
その他:
−ウイルスコード内部に以下の二つの暗号化された文字列
をもつ。
"Natas"
"BACK MODEM"
備 考:
名 称:NAVI-282
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:282バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
1)カレントディレクトリ内の.COMファイルを探し出す。
2)すでにNAVI-282ウイルスに感染していれば、他の未感
染.COMファイルを探す。
3)一度に1つずつ感染する。
破壊:感染、増殖以外の活動はなし。
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、
プログラム実行時に"書き込み不可"という意味のエラーメ
ッセージを表示する。
名 称:NAZGUL
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:266バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
カレントディレクトリ内の未感染.COMファイルを探し出し
て感染する。
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、
プログラム実行時に"書き込み不可"という意味のエラーメ
ッセージを表示する。
名 称:NAZI-PHOBIA
分 類:ファイル感染型
対 象:.EXE
ウイルスサイズ:なし
発祥地:不明
発見日:不明
詳 細:感染方法:
カレントディレクトリ内の未感染.EXEファイルを探し出し
て1つずつ感染する。
破壊:オリジナルファイルをウイルスコードで上書きして
破壊する。
備 考:1)メディアなどにライトプロテクト(書き込み
禁止処理)が施されている場合、プログラム実行時に"書き
込み不可"という意味のエラーメッセージを表示する。
2)高級言語で書かれている。
名 称:NCU_LI
分 類:ファイル感染型
ウイルスサイズ:1690/1670バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
1)メモリに常駐していなければ常駐する。
2)常駐後、オリジナルファイルを実行する。
3)メモリに常駐し、未感染のファイルが実行される度に感
染する。
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、
プログラム実行時に"書き込み不可"という意味のエラーメ
ッセージを表示する。
名 称:NE_DROP.1168
分 類:ファイル感染型
対 象:.EXE
ウイルスサイズ:N/A
発祥地:不明
発見日:不明
詳 細:感染方法:
- 感染ファイルを実行すると、カレントディレクトリの他
のNEタイプファイルに直接コードを書き込んで感染する。
- 感染したファイルは1168バイトサイズが増加する。
備 考:このウイルスは元ファイルを書き換えるために
アンチウイルスソフトで修復することはできない。ファイル
を削除してバックアップで置き換える以外に方法はない。
名 称:NE_RED_TEAM
別 名:RedTeam.4766
分 類:ファイル感染型
対 象:Windows 3.xx
ウイルスサイズ:4766 bytes
発祥地:1997/06
詳 細:これはE-Mailで感染を広げるタイプのウイルス
のはしりとも言えるファイル感染型ウイルスです。拡散す
るために使用するメールクライアントソフトはEUDORAだけ
です。また、NEタイプの実行型ファイルにも感染すること
ができます。
このウイルスは、発見された当時としては画期的な感染手
法を用いていました。Windowsのカーネルにまず感染し、こ
れによってシステム起動時に必ずウイルスがロードされる
ようにするのです。ウイルスがメモリにロードされた後、
アクセスしたNEファイルにはすべて感染する事ができま
す。感染したファイルはサイズが、4766bytes増加します。
ウイルスコードの大半は暗号化されており、中には以下の
テキストが含まれています。
<<-RED TEAM->> (C) The Soul Manager. Made in
Australia - 06.97. So, so, Herr Kurtzhals - Is F/Win
able to follow The Red Team?
さらに、このウイルスはE-mailを使って拡散します。ただ
し、この動作にはEudoraがインストールされていることが
必要です。マシンにEudoraがインストールされていると、
そのユーザーデータベースを利用してメールアドレスを取
得し、メールを自動的に送信します。
メール本文には以下のテキストが書かれています。
-----------------------------------------------------
----------------- Hiya! Just thought I’d warn you
about a destructive new e-mail virus. Here is some
info: _
> The "Red Team" virus is a complex new computer
virus that spreads via > the Microsoft Windows
operating system, and Internet E-Mail. Although > it
is not the first virus to spread via E-Mail (that was
"Good Times"), > the Red Team virus is unparalelled
in its destructive capabilities. > Further more, the
virus is exceedingly common - it has already been >
reported in much of western Europe, the USA, Russia,
Australia, and > Japan. In short, everywhere. > > We
at QUEST, have spent several weeks analysing this
virus, and are > proud to anounce that we finally
have a cure! The program, named > "K-RTEAM" (Kill Red
Team), can be executed in any Microsoft Windows >
environment, and will reliably detect (and remove if
nescessary) > the Red Team virus from your system
buffers. > > -- > Julia Blumin > QUALCOMM Enterprise
Software Technologies > World Wide Web: http://www.
qualcomm.com _
The reason I thought I should warn you, is that we
recently had arun in with this beast. Luckily we
managed to get a copy of theexcellent ’K-RTEAM’
programme before the destruction really started.Just
in case you should suffer the same misfortune, I have
includedthis programme for you too. Bye! _
P.S. Make sure you warn all your friends of this new
threat! ---------------------------------------------
-------------------------
感染したEXEファイルがこのメールに添付されます。このウ
イルスはWin95/NT/98環境では実行しても感染することがで
きません。しかし、感染したNEファイルをWin32環境に持っ
てきた場合、そのファイルは正しく動作することができま
す。
名 称:NE_SKIMPOD.1455
別 名:SKIM.1455、 WINSURF.G
分 類:ファイル感染型
対 象:.EXE(NE形式のWindows用16bit実行ファイル)
ウイルスサイズ:1455バイト
発祥地:U.S.A.
発見日:1997/07
詳 細:感染方法:
- 感染ファイルが実行されると、ウイルスはメモリに常駐
し、その後実行されたWindows用16ビットの.EXEファイルに
すべて感染する。
- このウイルスは感染時にウイルスコードをファイルの末
尾に付け足し、その後、ウイルスコードが一番最初に実行さ
れるように対象ファイルのヘッダーを書き換える。
損害:
- 感染ファイルはサイズが1455バイト増加する。
- 感染する以外に特に損害はないが、上書き感染型のため
駆除不可能。ファイルを削除するしかない。
備 考:- これはシンプルなWindows3.x形式のファイル
感染型ウイルスである。
- ウイルスコードの中に以下の文字列が存在する。
"Skim.Poppy by VicodinES"
名 称:NE_SMALL.JOKE
分 類:トロイの木馬型
対 象:なし
ウイルスサイズ:11048Byte
詳 細:− 無害な、いたずらプログラムです。
− 実行すると以下の文字列を含んだダイアログが現れま
す。
"An application error has occured.Possible
cause is that you havesmall penis. Do you
have a small penis?"
− ダイアログの「NO」のボタンが押せないように、カ
ーソルを近づけるとボタンが動いてしまいます。「YES」の
ボタンを押すとプログラムは終了します。
− 感染行動はありません。ファイルごと削除してくださ
いる。
備 考:− ダイアログの実例:
名 称:NECRO
分 類:ファイル感染型
対 象:.COM;.EXE
ウイルスサイズ:696バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
1)未感染の.COMまたは.EXEファイルを探し出す。
2)すでに感染していれば、他のファイルを探す。
3)一度に3つのファイルに感染する。
特徴:
ウイルスプログラムに欠陥があるため、感染したファイル
を正常に実行できず、
また他のファイルへの感染やデータの破壊は不可能とな
る。
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、
プログラム実行時に"書き込み不可"という意味のエラーメ
ッセージを表示する。
名 称:NECRO-B
分 類:ファイル感染型
対 象:.COM;.EXE
ウイルスサイズ:696バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
1)カレントディレクトリ内の.COMまたは.EXEファイルを探
し出す。
2)すでにNecroウイルスに感染していれば、他の未感染.
COMファイルを探す。
3)一度に3つのファイルに感染する。
備 考:1)メディアなどにライトプロテクト(書き込み
禁止処理)が施されている場合、
プログラム実行時に"書き込み不可"という意味のエラ
ーメッセージを表示する。
2)感染ファイルは、実行したり他のファイルに感染するこ
とはできない。
名 称:NEUROQUILA
別 名:WEDDING、 HAVOK、 NEUROBASHER、 NEUROBAS、
NEUROBASH GERM、 NFB
分 類:複合感染型
対 象:FD:ブートセクタ;HD:マスターブートレコード;.
EXE
ウイルスサイズ:4644〜4675バイト
発祥地:ドイツ
発見日:1993
詳 細:− 複合感染型ウイルスであり、HDのMBR、FDの
ブートセクタ、EXE形式の実行ファイルに感染する。
− HDのMBRに感染する場合、オリジナルのMBRを暗号化
し、移動させてしまう。このため、HDからの起動ができな
くなる場合がある。また、ウイルス感染の無いシステ
ムFDから起動を行うとHDの内容を認識できない。
− 感染後、数ヶ月が経過すると以下のメッセージを表示
する:
HAVOC by Neurobasher'93/Germany-GRIPPED-BY-
FEAR-UNTIL-DEATH-US-DO-PART-
備 考:
名 称:NEUROQUILA.B
別 名:HAVOC
分 類:複合感染型
対 象:FD:ブートセクタ;HD:マスターブートレコード;.
EXE
ウイルスサイズ:4、644〜4675bytes
発祥地:不明
発見日:不明
詳 細:感染方法:
- 感染ファイルを実行、または感染したFDDでシステムを起
動すると、HDDのマスターブートレコードに感染し、その後
High Memory領域に常駐する。ステルス
型のウイルスであるため、感染後にブートセクタ情報をみて
も変化は判らない。
損害:
- フロッピーディスクのAdditional Trackをフォーマット
し、ウイルスコードを格納するのに使用する。
- オリジナルのマスターブートレコードとパーティション
テーブル、ウイルスコードを暗号化し、これらを一番最初の
物理ドライブのside 0、 track 0、sectors 7 〜 16に配列す
る。
備 考:ウイルスのステルス行動のため、HDDのMBRとブ
ートセクタ、感染ファイルはウイルスがメモリに常駐してい
る間は隠されている。
また、HDDのブートセクタは暗号化される。
名 称:NEW_YORK
別 名:NEW_YORK-1, New Year-1356, NewYear.1356,
New_Year.1356, New_Year
分 類:ファイル感染型
対 象:DOS
ウイルスサイズ:1356bytes
詳 細:-
DOSの実行可能形式ファイル(COM、EXE)に感染するファ
イル感染型ウイルスです。メモリ常駐を行い、常駐中にア
クセスされた実行可能形式のファイルに感染します。
感染行動だけを行い、特に悪質な破壊活動は行いませ
ん。
名 称:NEWBOOT_1
別 名:QUANDARY、 PARITY.BOOT.ENC、 IHC、 NEWBOOT、
WERSILLY、 QUANDRY
分 類:システム領域感染型
対 象:FD:ブートセクタ;HD:マスターブートレコード
ウイルスサイズ:N/A
発祥地:ドイツ
発見日:1996/01
詳 細:感染方法:
−このウイルスに感染したフロッピーディスクでマシンの
起動動作を行うとハードディスクのシステム領域(マスタ
ーブートレコード)に感染する。
−このウイルスに感染したハードディスクでマシンを起動
すると、メモリーに常駐してファイルの入出力を監視す
る。その後、書き込み可能なフロッピーディスクにアクセ
スする
と、そのディスクのブートセクタに感染する。
−通常のシステム感染型ウイルスとは異なり、起動用でな
いスレイブのハードディスクを含め、メモリ常駐したマシ
ンに接続されているすべてのハードディスクに感染する。
発病:
−破壊活動などは行わないものと思われる。
その他:
−1996年1月に、IBMドイツが配布したフロッピ
ーに感染しているものが発見された。
備 考:
名 称:NEW-S
分 類:ファイル感染型
対 象:.EXE
ウイルスサイズ:1214バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
1)まず、音を鳴らして画面に図柄を表示する。
2)カレントディレクトリ内の.EXEファイルを探し出す。
次に、1214バイトの大きさでこの.EXEファイルと同名の
ファイルを作成し、
オリジナルファイルを上書きする。この新しいファイル
が New-Sウイルス本体となる。
3)最後に、ルートディレクトリの COMMAND.COMを上書き
し、ルートディレクトリにコピーする。
破壊:オリジナルファイルを上書きする。
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、
プログラム実行時に"書き込み不可"という意味のエラーメ
ッセージを表示する。
名 称:NG-914
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:914バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
1)メモリに常駐していなければ、常駐する。
2)常駐後、オリジナルファイルを実行する。
3)メモリに常駐し、未感染のファイルが実行される度に感
染する。
.EXEファイルには感染しない。
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されていない場合、
プログラム実行時に"書き込み不可"という意味のエラーメ
ッセージを表示しない。
名 称:NINA
別 名:NINA-1 、 NINA-2
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:256バイト
発祥地:ブルガリア
発見日:不明
詳 細:ウイルスコードの末尾に「NINA」という文字
列が見られる。
その他破壊活動などはない。
備 考:
名 称:NINES
別 名:NINESCOMPLEMENT、 NINES_CO.705
分 類:システム領域感染型
対 象:.COM
ウイルスサイズ:706または776バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
メモリに常駐していなければ、上位メモリに常駐する。
常駐後、オリジナルルーチンに戻る。
未感染のCOMファイルが実行される度に感染する。
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、
プログラム実行時に"書き込み不可"という意味のエラーメ
ッセージを表示する。
名 称:NINJA
分 類:ファイル感染型
対 象:.COM;.EXE
ウイルスサイズ:1466または1511バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
1)メモリに常駐していなければ、上位メモリに常駐す
る。
2)常駐後、オリジナルルーチンを実行する。
3)システムの年号が1992年で日付が13日、時刻が13:00で
あれば発病し、
ハードディスクのデータをすべて破壊する。
4)未感染の.COMまたは.EXEファイルが実行される度に感
染する。
破壊:ハードディスクのデータがすべて破壊されることが
ある。
備 考:
名 称:NO_OF_BEAST
別 名:NO. OF THE BEAST、 NUMBER_OF_THE_BEAST.E、
DARTH、 666、 512
分 類:ファイル感染型
対 象: .COM
ウイルスサイズ:512バイト
詳 細:No_of_Beastは、ファイルに感染するウイルスで
す。
*.COMファイルだけに感染します。
感染は、感染しているファイルが実行されるときに起きま
す。
次にウイルスは、ウイルスコードをメモリへロードしま
す。メモリに常駐した後、No_of_Beastは、アクセスされる
COMファイルに感染しま
備 考:
名 称:NOPS
別 名:STEALTH_BOOT.C、 AMSE、 STELBOO、 STB
分 類:システム領域感染型
対 象:FD:ブートセクタ;HD:マスターブートレコード
ウイルスサイズ:N/A
発祥地:不明
発見日:不明
詳 細:感染方法:
−このウイルスに感染したフロッピーディスクでマシンの
起動動作を行うとハードディスクのシステム領域(マスタ
ーブートレコード)に感染する。
−このウイルスに感染したハードディスクでマシンを起動
すると、メモリーに常駐してファイルの入出力を監視す
る。その後、書き込み可能なフロッピーディスクにアクセ
スする
と、そのディスクのブートセクタに感染する。
発病:
−感染、増殖以外の活動はなし。
その他:
−ウイルスが常駐していると、ハードディスクのセクタを
検査しようとしても、空の(0のみ表示する)バッファの情報
しか見ることができない。
−ステルス型のため、ウイルスが常駐しているときに感染
セクタにアクセスしてもウイルスコードを参照することが
できない。
備 考:
名 称:NOT-586
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:586バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
メモリに常駐していなければ、上位メモリに常駐する。
常駐後、オリジナルルーチンに戻る。
未感染の.COMファイルが実行される度に感染する。
備 考:
名 称:NOUIN
分 類:ファイル感染型
対 象:.COM;.EXE
ウイルスサイズ:855バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
1)メモリに常駐していなければ、上位メモリに常駐す
る。
2)常駐後、オリジナルルーチンに戻る。(このウイルス
の常駐方法はかなり粗雑なので、
実行プログラムをロードしたアドレスの最終MCBがDOSに
よって制御される必要がある。)
3)60、000バイト未満の未感染の.COMファイルもしくは
.EXEファイル(SCAN.EXEとCLEAN.EXEを除く)を実行す
る度に感染する。
破壊:
メモリ常駐後、ある一定回数キーボードのキーを押すか、
システムの日付が11月11日〜30日のあいだであれば、カレ
ントディスクのセクタ1から9までを破壊する。
備考:感染ファイルの日付とサイズは変更されない。
備 考:
名 称:NOV.17-1
分 類:ファイル感染型
対 象:.COM;.EXE
ウイルスサイズ:768バイト
詳 細:感染方法:
1)メモリに常駐していなければ常駐する。
2)常駐後、オリジナルファイルを実行する。
3)メモリに常駐し、未感染のファイルが実行される度に感
染する。
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されて
いる場合、プログラム実行時に"書き込み不可"という意味
のエラー
メッセージを表示する。
名 称:NOV-17-768
分 類:ファイル感染型
対 象:.COM;.EXE
ウイルスサイズ:768バイト(file)、800バイト(メモリ)
発見日:1992年1月
詳 細:November-17thウイルスの変種。
起源や発祥地は不明だが、1991年12月には既にイタリアの
ローマで大量発生した。
このウイルスはメモリ常駐型で、COMMAND.COMを含む.COM
と.EXEファイルに感染
する。
November 17thウイルスに感染したファイルを実行すると、
システムメモリ上位、
DOS 640K境界下にウイルスが常駐する。
破壊:
カレントディスクのセクタ1から8までを破壊する。DOSの
CHKDSKコマンドを実行
すると、全システムメモリと使用可能なフリーメモリが896
バイト減少しているの
を確認できる。
特徴:
感染ファイルは855バイト増加し、ファイル末尾にウイルス
プログラムが追加さ
れる。DIRコマンドで見てもファイルの日付と時刻は更新さ
れない。
備 考:
名 称:NOV-17-800
分 類:ファイル感染型
対 象:.COM;.EXE
ウイルスサイズ:800バイト(file)、832バイト(メモリ)減
少
詳 細:"SCAN"、"CLEAN" には感染しない。
感染方法:
November 17thウイルスに感染したファイルを実行すると、
システムメモリ上位、
DOS 640K境界下に常駐する。
破壊:
ハードディスクのFATを破壊する。システムの日付が1月で
あれば、カレントディ
スクのセクタ1から8までに無意味なデータを書き込む。
備 考:
名 称:NOVEMBER_17TH
別 名:855、 NOV 17
分 類:ファイル感染型
対 象:.COM;.EXE
ウイルスサイズ:855バイト
発祥地:イタリア
発見日:1992/01
詳 細:感染方法:
1)メモリに常駐していなければ常駐する。
常駐後、DOSのCHKDSKを使用するとト−タルシステムメ
モリと使用可能なフリ−メモリが
896byte減少しているのが確認できる。
2)常駐後、オリジナルファイルを実行する。
3)メモリに常駐し、未感染のファイルが実行される度に感
染する。
実行またはオープンしたファイルの最後にウィルスコ−
ドを追加して感染する。
−感染ファイル内のウィルスコードに以下の文字列が含ま
れている。
"SCAN. CLEAN. COMEXE"
破壊:毎年11月17日に発病し、システムのハードディ
スクを上書きする。
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、
プログラム実行時に"書き込み不可"という意味のエラーメ
ッセージを表示する。
名 称:NO-WEDNESDAY
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:520バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
1)カレントディレクトリ内の.COMファイルを探し出す。
2)すでにNo-Wednesdayウイルスに感染していれば、他の未
感染.COMファイルを探す。
3)カレントディレクトリ内の全ての.COMファイルに1つず
つ感染する。
4)最後に、画面に"file not found."と表示する。
破壊:感染したファイルはオリジナルプログラムを実行で
きない。
識別方法:画面に
"file not found" と表示される。
備 考:メディア等にライトプロテクト(書き込み禁止
処理)が施されている場合、
プログラム実行時に"書き込み不可"という意味のエラーメ
ッセージを表示しない。
名 称:NPOX_2.1
分 類:ファイル感染型
対 象:.COM;.EXE
ウイルスサイズ:1686バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
1)メモリに常駐していなければ常駐する。
2)常駐後、オリジナルファイルを実行する。
3)メモリに常駐し、未感染のファイルが実行される度に感
染する。
破壊:
ウイルス自体に欠陥(エントリポイントの計算エラー)があ
るため、
感染した.EXEファイルが正常に実行できないことがある。
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、
プログラム実行時に"書き込み不可"という意味のエラーメ
ッセージを表示する。
名 称:NPOX-VAR
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:1000バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
1)カレントディレクトリ内の.COMファイルを探し出す。
2)すでに感染していれば、他の未感染ファイルを探し出し
て一度に1つずつ感染する。
症状:
感染すると、ファイルサイズが1000バイト増加する。
備 考:1) メモリに常駐はしない。
2) ファイルに感染するとき、INT 24hをフックしない。
I/Oエラーが発生すると、エラー情報が表示される。
3) ウイルスの先頭は以下の通りです。
INC BX
PUSH AX
POP AX
DEC BX
JMP XXXX
4)メディアなどにライトプロテクト(書き込み禁止処理)
が施されている場合、
プログラム実行時に"書き込み不可"という意味のエラーメ
ッセージを表示する。
名 称:NUKE_X
分 類:トロイの木馬型
対 象:なし
ウイルスサイズ:469バイト
発祥地:不明
発見日:不明
詳 細:破壊:
サブディレクトリを含む全てのファイルをハードディスク
から削除する。
備 考:ファイル、パーティションテーブル、ブートセ
クタには感染しない。
名 称:NUKEX
分 類:トロイの木馬型
ウイルスサイズ:469バイト
詳 細:ダメージ: ハードディスク上の全てのファイル
を削除します(すべてのサブディレクトリを含みます)。
注 意:
1) メモリには常駐しません。
2) ファイル、パーティションテーブル、システム領域に感
染しません。
備 考:
名 称:NULL
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:733バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
1)まずウイルス自身の暗号を解読する。
2)ウイルスはカレントディレクトリ内の.COMファイルを検
索する。
3)すでにNullウイルスに感染していれば、他の未感染.COM
ファイルを探す。
4)一度に1つずつ感染する。
5)その後、オリジナルファイルを実行する。
6)感染するファイルがない場合はシステムの日付を参照
し、各月30日であれば
ハードディスクのデータをすべて破壊して
" Your disk is dead!long life doomsday 1.0 " と表
示する。
破壊:
システムの日付が30日であればカレントディスクのデータ
をすべて破壊する。
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、
プログラム実行時に"書き込み不可"という意味のエラーメ
ッセージを表示する。
名 称:NUM_ONE.4432
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:11、730 bytes
発祥地:不明
発見日:不明
詳 細:感染方法:
-これはメモリに常駐しない直接感染型のウイルスで、実行
するとカレントディレクトリの中で最初に見つかった.COM
ファイルをウイルスコードで上書きする。
損害:
- 感染したファイルをじっこうすると、以下のメッセージ
を表示する。
“This file has been infected by Number One!”
- 感染したファイルはウイルスコードで上書きされている
ので削除する以外に復旧する方法はない。
備 考:
名 称:NUMBER6
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:631バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
メモリに常駐していなければ、上位メモリに常駐する。
常駐後、オリジナルルーチンに戻る。
未感染の.COMファイルが実行される度に感染する。
名 称:NVIR
別 名:AIDS, HPAT, JUDE, MEV#, NFLU, NVIR A, NVIR
B
分 類:システム領域感染型
ウイルスサイズ:N/A
発祥地:ヨーロッパ
発見日:1987
詳 細:−nVIRは、"nVIR"というリソース・タイプを含
むウィルス・リソースを感染ファイルに
追加するので、その名がある。
−nVIR AとnVIR Bの2つのタイプがある。
−マッキントッシュへ以下の順序で感染する。
(1)Systemへの感染(2)アプリケーションへの感染
Systemファイルに感染したのち、実行したアプリケーシ
ョンにすぐ感染を開始する。
Note Pad、Scrapbookの両ファイルには感染しない。
Finder、 DA Handlerにも通常感染
するが、ドキュメント・ファイルには感染しない。隠し
ファイルは作らない。
アプリケーションの中には、感染に対して免疫をもつも
のもある。
−アプリケーションに感染する場合は、CODE 0のリソース
にCODE 256のジャンプ命令を
入れる。ウィルスのコードはCODE 256にある。その後、
アプリケーションのコードを
戻す。
−A、Bの両タイプとも、最初は増殖するだけ。Systemファ
イルが最初に感染すると、
カウンタが初期値1000に設定される。システムが起動す
る度にカウンタは1つ減り、
感染したアプリケーションを実行する度に2つ減る。
−nVIRウィルス感染の兆候として、アプリケーションを起
動すると、ビープ音が鳴る。
MacinTalkをインストールしている場合は、ビープ音
の代わりに「Don’t Panic!」と
Macがいう。システムの起動時に事態が起こる確率は1
/16、
感染ずみアプリケーションを実行する際に起こる確率は
15/128である。
また感染ずみアプリケーションを実行する際に、nVIR A
が"Don’t panic"と二度言ったり、
ビープ音を二度出す確率は
1/256である。
−nVIR Bはカウンタがゼロになると、時折ビープ音を発す
る。
nVIR BはMacin Talkをコールしない。システムを起動す
る際に
ビープ音が出る確率は1/8、感染アプリケーションを実行
する際に
起こる確率は7/32。さらに、感染アプリケーションを実
行する際に、
ビープ音を二度出す確率は1/64である。
−アメリカでは1988年前半に発見された。
−nVIRはメモリとディスクの容量を大量に消費するため、
トラブルを引き起こす。
−nVIR Bには、"nVIR"タイプのリソースの代わりに、"Hpat
"タイプの
リソースを使用し、CODE 255リソースをアプリケーショ
ンにインストールする変種がある。
−"nVIR"の代わりに、"AIDS"、 "MEN#"、 "nFULL"、 "Jude"と
いう
リソースを含む変種もある。
−Systemフォルダ内部のファイルを破壊する変種もある
が、絶滅したと思われる。
対策:
−ID番号10のnVIRリソースがあると、このウィルスは感染
できない。アンチ・ウィルス
・プログラムはこの性質を利用して、ウィルス予防のた
めにこのリソースをSystemと
プリケーションにインストールする。
−ウィルス検索プログラムの多くは、nVIRリソースを全て
ウィルスと見なすので、この
リソースは混乱を招きかねない。従って、なるべく高性
能なウィルス検索プログラム
を使用することが望ましい。
−nVIR AとnVIR Bは交配して、両方の一部を組み合わせた
新しいウィルスを作る。
(Disinfectantはそうした子供ウィルスも正常に修復す
る。)
−nVIR Bには多くのクローンがある。これらのクローンは
ごく僅かな違いを除いて、
nVIR Bと全く同じである。Disinfectantはこれらのクロ
ーンを全て認識して、
nVIR Bと同じく的確に処理する。
−ウイルスを除去するには、CODE 256の長さが372byteか
422byteならこれを削除する。
またCODE 0の先頭8byteが"0000 3F3C 0100 A9F0"の場
合、これをnVIR 2リソースに
入っている8byteをCODE 0に戻してから、nVIR 2リソース
を削除する。
ウィルス・リソース:
nVIR A と nVIR Bに感染したSystemファイル
タイプ ID サイズA サイズB
---- ---- ------- -------
INIT 32 366 416
nVIR 0 2 2
nVIR 1 378 428
nVIR 4 372 422
nVIR 5 8 8nVIR 6 868
66nVIR 7 11562 2106
* サイズA、サイズBの項目は、nVIR A、nVIR Bがそれぞれ
使用するリソース・サイズ。
nVIRに感染したアプリケーション
タイプ ID サイズA サイズB
---- ---- ------- -------
CODE 256 372 422
nVIR 1 378 428
nVIR 2 8 8nVIR 3 366
416
nVIR 6 868 66nVIR 7 1562
2106