名 称:F3
分 類:ファイル感染型
対 象:.COM;.EXE
ウイルスサイズ:50406バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
1)メモリに常駐していなければメモリ上位に常駐する。
2)システムの日付が4月1日であれば発病し、ウイルスコ
ードを2行表示する。
3)その後、オリジナルファイルが実行される。
4)メモリに常駐し、未感染のファイルが実行される度に感
染する。
破壊:感染、増殖以外の活動はなし。
識別方法:感染ファイルが50406バイト増加する。
使用割り込み命令:INT 21h、INT 24h
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合でも、
プログラム実行時に"書き込み不可"という意味のエラーメ
ッセージを表示しない。
名 称:FACK.330
別 名:ATOMIC, FACK.330-C
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:330bytes
発見日:1998年初頭
詳 細:感染方法:
- ウイルスに感染したファイルが実行されると、まず、ウイ
ルスコードにジャンプする。メモリにすでにウイルスが常駐
していないかチェックし、常駐していなければハイメモリ領
域に常駐する。その後、その感染ファイルのヘッダーに戻っ
てオリジナルプログラムを実行する。
- このウイルスは、他のプログラムが実行されているとき
のみ感染活動を行う。ウイルスコードを、.COMファイルのプ
ログラムの末尾に付け加えた後、ファイル実行時にヘッダ
ーからウイルスコードの場所ににジャンプするようにプロ
グラムを修正する。
損害:
感染ファイルはサイズが330bytes増加し、ウイルスの運び屋
となって他のファイルに感染させる。
それ以外の損害は特にない。
備 考:ウイルスコードの末尾に以下のテキストを含む。
“Fack Virus #6. . .”
名 称:FAM1
分 類:ファイル感染型
対 象: .COM
ウイルスサイズ:1063bytes
詳 細:実行手順:
1) 既にメモリに常駐しているかを確認します。常駐してい
なければ、INT21hをフックし、常駐します。
2) 元のファイルを実行します。
3) 常駐している状態で、未感染ファイルを実行すると、感
染します。
ダメージ: なし
症状: 感染すると、サイズが1036バイト増加します。
また、モノクロのディスプレイカードのみで発生します。
注 意: メモリに常駐します。
I/Oエラーが発生した場合、エラーメッセージが表示されま
す。
名 称:FAM-1
分 類:ファイル感染型
対 象:.COM;.EXE
ウイルスサイズ:1036バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
1)メモリに常駐していなければ常駐する。
2)常駐後、オリジナルファイルを実行する。
3)メモリに常駐し、未感染ファイルが実行する度に感染す
る。
破壊:感染、増殖以外の活動はなし。
− MONOビデオカードを使用している場合のみ、感染ファ
イルは1036バイト増加する。
− メディアにライトプロテクト(書き込み禁止処理)が
施されていると、プログラム実行時に"書き込み不可"とい
う意味のエラーメッセージを表示する。
備 考:
名 称:FAME
分 類:ファイル感染型
対 象:.EXE
ウイルスサイズ:896バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
1)メモリに常駐していなければ、メモリ上位に常駐す
る。
2)常駐後、オリジナルルーチンに戻る。
3)未感染の.EXEファイルが実行される度に感染する。
使用割り込み命令:INT 21H、INT 24h
破壊:感染、増殖以外の活動はなし。
識別方法:感染ファイルは896バイト増加する。
備 考:
名 称:FAT_AVENGER
分 類:システム領域感染型
対 象:FD:ブートセクタ;HD:マスターブートレコード
ウイルスサイズ:N/A
発祥地:不明
発見日:不明
詳 細:感染方法:
−このウイルスに感染したフロッピーディスクでマシンの
起動動作を行うとハードディスクのシステム領域(マスタ
ーブートレコード)に感染する。
−このウイルスに感染したハードディスクでマシンを起動
すると、メモリーに常駐してファイルの入出力を監視す
る。その後、書き込み可能なフロッピーディスクにアクセ
スすると、そのディスクのブートセクタに感染する。
発病:
特にウイルス自身による破壊活動はないものと思われる。
名 称:FAT_TABLE
分 類:ファイル感染型
対 象:.EXE
ウイルスサイズ:6540bytes
詳 細:このウイルスは.EXEファイルに感染します。
感染ファイルが実行されると、ウイルスは同じディレクト
リ内の1つ.EXEファイルに感染します。ウイルスは元のファ
イルの最初の6、540バイトを上書きします。
感染ファイルのタイムスタンプは更新されます。
ウイルス内に以下の文字列が存在します。
"hitohana""karu ba""rb C:・ * .* FAT TABLE
名 称:FATTABLE
分 類:ファイル感染型
対 象:全てのファイル
ウイルスサイズ:6542バイト
発祥地:不明
発見日:不明
詳 細:感染方法:1)カレントディレクトリ内の未感染
‘*.*’ファイルを探し出す。
2)1)で発見したファイルと同名のファイルを作成し、オリ
ジナルファイルを上書きする。
− 結果的に、15バイトサイズで
"FAT TABLE ERROR"という文字列を含む。
破壊:カレントディレクトリの未感染ファイルを全て上書
きして破壊する。
使用割り込み命令:なし
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、プログラム実行時に"書き込
み不可"という意味のエラーメッセージを表示する。
名 称:FAX_FREE
別 名:MOSQUITO, PISELLO, TOPO
分 類:複合感染型
対 象:FD:ブートセクタ;HD:マスターブートレコード;.
COM;.EXE
ウイルスサイズ:約3Kバイト、2048バイト(ファイル感染
時)
発祥地:不明
発見日:不明
詳 細:感染方法:感染ファイルを実行するか、感染し
たディスクから起動すると感染する。
いくつか感染方法がある。
使用割り込み命令:INT 21h
− マスターブートレコードへの感染の際、暗号データを
解読して以下の文字列を表示する。
"PISello tenere fuori dalla portata dei
bambini.
PaxTibiQuiLegis.FaxFree!!"
− 以下のような名前のファイルには感染しない。
"*AN.???" 、"*OT.???" or "*ND.???"
− システムの日付が4月の25〜30日であれば発病し、シス
テムをハングする。
備 考:亜種:
・Mosquito:
ウイルスサイズは1024バイト。発病日は毎月の25、26
日。
以下のような名前のファイルには感染しない。
"AN*.*" 、"LD*.*"
以下の文字列が暗号化されて含まれている:
"Mosquito"
"Hello this is the core Rev 3 26/4/91 P 0.98c
P. 0.98 Rev 4 24IX89 bye bye"
・Topo:
ウイルスサイズは1536バイト。
・Pisello:
ウイルスサイズは1024バイト。
名 称:FAX_FREE.1536
言 語:English
分 類:ファイル感染型
対 象:DOS
ウイルスサイズ:1536バイト
詳 細:メモリ常駐ウイルスで、EXEファイルに感染す
る。
感染するたびに、自身のウイルスコードを異なる形で暗号
化する。
備 考:破壊性を持ってはいないが、ドライブCのすべて
のEXEファイルに感染する。また、ファンクションキーの動
作がおかしくなる。
名 称:FAXFREE
分 類:複合感染型
対 象:HD:ブートレコード;.COM、.EXE
ウイルスサイズ:2048bytes
詳 細:32バイト以上、131、072バイト以下の.COM、.EXE
ファイルに感染します。パーティション・レコードに感染
します。
感染方法:感染したプログラムの実行、または感染したディ
スクからのシステム起動を通じて蔓延します。感染にいく
つかの方法があります。感染したプログラムが、汚染され
ていないシステムで実行されると、ウイルスは最初に、ハ
ードディスクのオリジナルのパーティションセクタの内容
を、最終シリンダの最終サイドの最終セクタに移動しま
す。そして、最終シリンダの最終サイドの最後から9つ目か
ら最後の6つ目までのセクタに自分の複製を作ります。これ
らのセクタは「不良セクタ」としてマークされず、既存の
内容には関係なしに、ウイルスによって上書きされます。
ダメージ: システムをハングさせます。感染ファイルは、
ウイルスコードで、サイズが2048バイトほど増えます。
症 状: ウイルスがオリジナルのパーティションセクタ
を置換しようとするときに、一部データを暗号解読する必
要があり、その暗号解読のあとに、次の文字列を表示しま
す。
"PISello tenere fuori dalla portata dei bambini.
PaxTibiQuiLegis.FaxFree!!"
備 考:割り込み: INT 21h
このウイルスは、ファイル名が*AN.???"、*OT.???"または"
*ND.???"のファイルには感染しません。
システム日付が4月25日〜30日のときにシステムをハングさ
せます。このウイルスは、パーティションセクタを改変す
るときに、ウイルス検出プログラムの網をかいくぐる知能
的な手法を使っています。つまり、INT 01hをフックして、
シングルステップフラグをオンにして、DOSのオリジナルの
エントリにフックをかけておきます。そのあとMCB(Memory
Control Block)の先頭へ自分自身を移動させて、MCBの利
用可能メモリを3Kbほど減らします。Int 13hとInt 21hをフ
ックして、元のプログラムを実行します。
名 称:FBSWV
別 名:UNASHAMED
分 類:システム領域感染型
対 象:FD:ブートセクタ;HD:マスターブートレコード
ウイルスサイズ:N/A
詳 細:このウイルスに感染したフロッピーディスクで
マシンの起動動作を行うとハードディスクのシステム領域
(マスターブートレコード)に感染する。このウイルスに
感染したハードディスクでマシンを起動すると、メモリ
ーに常駐してファイルの入出力を監視する。その後、書き
込み可能なフロッピーディスクにアクセスすると、そのデ
ィスクのブートセクタに感染する。
”the UNashamed Naked!”というメッセージを表示して、
マシンをハングアップさせるルーチンを持っているが、キ
ーボードの割り込みをうまくフックできていないため発病
しない。
その他、特にウイルス自身による破壊活動はないものと思
われる。
名 称:FCB
分 類:ファイル感染型
対 象:.COM;.EXE
ウイルスサイズ:N/A
詳 細:1)カレントディレクトリ内の.COMファイルを探
します。
2)見つかったファイルがFCBによって感染されているかを確
認します。感染していれば、更にファイルを検索します。
3)それは一度に1つのファイルだけに感染します。
4)カレントディレクトリ内の.EXEファイルを探します。
5)見つかったファイルがFCBによって感染されているかを確
認します。感染していれば、更にファイルを検索します。
6)それは一度に1つのファイルだけに感染します。
ダメージ: 元のファイルを上書きするため、ファイルサイ
ズは変化しません。
注 意:
メモリに常駐はしません。
INT24hをフックしません。I/Oエラーが発生した場合、エラ
ーメッセージが表示されます。
名 称:FEINT
別 名:ANTICMOS.C, CMOS.B, DELCMOS.B, INT7F, INT7F
-E9
分 類:システム領域感染型
対 象:FD:ブートセクタ;HD:マスターブートレコード
ウイルスサイズ:N/A
発祥地:スペイン
発見日:1996/01
詳 細:感染方法:
このウイルスに感染したフロッピーディスクでマシンの起
動動作を行うとハードディスクのシステム領域(マスタ
ーブートレコード)に感染する。このウイルスに感染した
ハードディスクでマシンを起動すると、メモリーに常駐し
てファイルの入出力を監視する。その後、書き込み可能な
フロッピーディスクにアクセスすると、そのディスクのブ
ートセクタに感染する。
− 3.5インチHD形式のフロッピーにしか正常に感染できな
い。5インチFDやDD、EDフォーマットのフロッピーに対して
は感染時にデータを壊してしまう。
− ウイルス常駐中は使用可能メモリが2KB減少する。
− マシンのBIOSによっては常駐が行えず結果的にシステ
ムクラッシュを引き起こす場合がある。
− CMOSのセットアップ情報を上書きする破壊ルーチンを
持つが、発病ルーチンがないため、実際に破壊を行う事は
ない。
− その他、破壊活動などは行わないものと思われる。
名 称:FEIST
分 類:ファイル感染型
対 象:.COM;.EXE
ウイルスサイズ:670
発祥地:不明
発見日:1992/01
詳 細:感染方法:
1)メモリに常駐していなければ、メモリに常駐する。
2)常駐後、オリジナルルーチンに戻る。
3)未感染のファイルが実行される度に感染する。
− ウイルスコード内に以下の文字列が含まれる
"R.Feist"
破壊:ウイルス感染の影響によりプログラムが正常に実行
できない場合がある
名 称:FILLER
分 類:ファイル感染型
対 象:.COM;.EXE
ウイルスサイズ:不明
発祥地:不明
発見日:不明
詳 細:− 実行すると、ディスクA:の、サイド0、トラ
ック28、セクタ1、から8セクタを上書きして破壊する。
備 考:
名 称:FILLER.A
分 類:システム領域感染型
対 象:FD:ブートセクタ;HD:マスターブートレコード
ウイルスサイズ:N/A
発祥地:ハンガリー
発見日:不明
詳 細:感染方法:
1)このウイルスに感染したフロッピーディスクでマシン
の起動動作を行うとハードディスクのシステム領域(マス
ターブートレコード)に感染する。
2)このウイルスに感染したハードディスクでマシンを起
動すると、メモリーに常駐してファイルの入出力を監視す
る。
3)その後、書き込み可能なフロッピーディスクにアクセ
スすると、そのディスクのブートセクタに感染する。
−その他、特にウイルス自身による破壊活動はないものと
思われる。
−DOSのCHKDSKコマンドで見ると「全メモリ」が8192バイト
減少している。
名 称:FINDM-608
分 類:ファイル感染型
対 象: .COM
ウイルスサイズ:608〜623バイト
詳 細:実行手順:
1) カレントディレクトリ内の.COMファイルを検索します。
2) ファイルが感染済みかを確認します。感染済みであれ
ば、更に検索します。
3) 未感染ファイルが見つかると、感染します。
ダメージ: なし
症状:感染すると、ファイルサイズが608〜623バイト増加し
ます。
備 考:1) 感染部分のコードは間違って書かれており、
通常感染したファイルのほとんどが実行できません(ほと
んど、感染も発病もしません)。
2) メモリに常駐しません。
3) ファイルに感染するとき、INT 24hをフックしません。
4) I/Oエラーが発生すると、エラーメッセージが表示され
ます。
名 称:FINDM-695
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:695〜710バイト
発祥地:不明
発見日:不明
詳 細:− カレントディレクトリ内の未感染のファイ
ルに感染する。
− ウイルスプログラムに大きな欠陥があるため感染した
ほとんどのファイルは正常に実行できず、またウイルス自
体も再感染やデータの破壊ができない。
− メディアなどにライトプロテクト(書き込み禁止処
理)が施されていると、感染行動の際に"書き込み不可"と
いう意味のエラーメッセージを表示する。
名 称:FINNISH-357
別 名:FINNISH
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:709バイト
発祥地:フィンランド
発見日:不明
詳 細:感染方法:
1)メモリに常駐していなければ、メモリ上位に常駐す
る。
2)システムを起動したCOMMAND.COMが感染しているかチェ
ックする。
3)未感染であれば感染し、その後オリジナルルーチンに
戻る。
4)未感染の.COMファイルが実行される度に感染する。
使用割り込み命令:INT 21H
識別方法:感染ファイルは709バイト増加する。
名 称:FIRE
分 類:トロイの木馬型
対 象:なし
ウイルスサイズ:4304バイト
発祥地:不明
発見日:不明
詳 細:− 感染行動を行わない「トロイの木馬」。
− 使用可能な全ドライブの全データを破壊し、音を鳴ら
す。
備 考:
名 称:FISH-1100
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:1100バイト
発祥地:不明
発見日:不明
詳 細:− メモリに常駐していなければメモリ上位に
常駐し、オリジナルプログラムを実行する。
− 未感染ファイルを実行する度に感染する。
備 考:
名 称:FISH-2420
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:2420バイト
発祥地:不明
発見日:不明
詳 細:− メモリに常駐していなければメモリ上位に
常駐し、オリジナルプログラムを実行する。
− 未感染ファイルを実行する度に感染する。
備 考:
名 称:FLAGYLL
分 類:ファイル感染型
対 象:.EXE
ウイルスサイズ:不明
発祥地:不明
発見日:不明
詳 細:感染方法:
1)メモリに常駐していなければ、メモリ上位に常駐する。
2)常駐後、オリジナルルーチンに戻る。
3)未感染の.EXEファイルが実行される度に感染する。
使用割り込み命令:INT 21H
破壊:オリジナルファイルをウイルスコードで上書きする
ため、ファイルが破壊される。
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、
プログラム実行時に"書き込み不可"という意味のエラーメ
ッセージを表示する。
名 称:FLIP
別 名:2343, FLIP VIRUS, FLIP-2343
分 類:複合感染型
対 象:FD:ブートセクタ;HD:マスターブートレコード;.
COM;.EXE;.OVL
ウイルスサイズ:2343バイト
発祥地:スイス
発見日:1990/07
詳 細:感染方法:
1)感染プログラムを実行すると、メモリー上位に常駐す
る。
CHKDSKコマンドを使うとシステムメモリーとフリーメモ
リーの2、864byteの減少を示す。
2)常駐と同時に、ファイルのサイズに変化は見られない
が、CドライブのルートディレクトリーのCOMMAND.COMに感
染する。
3)感染プログラムをフロッピーディスクから実行した場
合にも、同様に COMMAND.COMに感染するが、COMMAND.COMの
ファイルサイズの変化は見ることが出来る。
4)常駐後、.COM、.EXEに感染する。
5).OVLファイルを参照する感染ファイルを実行すると、
参照した.OVLファイルも感染する。
発病:
1)感染したシステムはアロケーションエラーを起こし、
結果としてファイルリンケージエラーとなる。
この時データーファイルが破壊される場合がある。
2)毎月第二日に、EGAまたはVGAが表示可能なアダ
プタを備えたシステムを、 感染したハードディスクから起
動した場合、16:00から16:59にかけて モニタ
ー画面が180度逆さまになる場合がある。
− FLIPウィルスは感染した.EXEファイルのみによって他
のシステムに感染する。
感染した.COMファイルや感染したフロッピー・ディスクの
ブート・セクタからは感染しない。
− 32Mバイト以上でパーティションを切ったハードデ
ィスクでは、ハードディスクの論理的パーティションがつ
ぶれる場合がある。この現象が起きた際には、32Mバイ
ト以上のパーティションのサイズが32Mバイトよりもわ
ずかに減少する可能性がある。
− ファイルのタイムスタンプの秒を表す数値を、意味の
ない62という数に変更する。
− 感染ファイルには"OMICRON by PsychoBlast"という文
字列が含まれる。
変種:
Flip-2153: オリジナルと類似するが、感染ファイルの増加
サイズは2、153byteで、メモリー上位に常駐する際の常駐サ
イズは2、672byteである。オリジナルとの大きな違いは、
Flip-2153ウィルスがハードディスクのパーティション・テ
ーブルから他のファイルに感染できることである。
発祥地: 不明 発見日: 1991年1月
Flip-2153B: Flip-2153と類似するが、主要な変化として感
染した.COMファイルからメモリに常駐して他のプログラム
に感染できることが挙げられる。
発祥地: アメリカ 発見日: 1991年10月
Flip-2153C: 機能的にはFlip-2153Bと同じ。ウィルス対策
ユーティリティの検索を回避できるように改変されてい
る。
発祥地: 不明 発見日: 1992年2月
Flip-2343B: 機能的にはオリジナルのFlipウィルスと同じ
だが、メモリ中の常駐サイズ は2.864byteで、割り込み番
号21にフックをかける。感染ファイルからメモリに常駐す
ると、感染したハードディスクからシステムを起動しなく
ても、.COMファイルと.EXEファイルに感染可能になる。
Prism : 機能的にはFlip-2153に類似する。この変種は
Flipウィルスを検出可能なほとんどのウィルス対策ユーテ
ィリティによる検索を回避するために改変された。Flip-
2153ウィルスと同じように、感染ファイルの増加サイズは.
COMおよび.EXEファイルともに2、153byteである。このグル
ープの他のウィルスと同じように、このウィルスは感染フ
ァイルを実行するとハードディスクのパーティ シ
ョン・テーブルに感染する。
発祥地: 不明 発見日: 1992年
名 称:FLIP-B
分 類:複合感染型
対 象:FD:ブートセクタ;HD:マスターブートレコード;.
COM;.EXE
ウイルスサイズ:2153バイト
発祥地:不明
発見日:不明
詳 細:− 感染ファイルを実行するとハードディスク
のセクタ#1が感染しているか調べ、未感染であれば感染
し、メモリに常駐していなければ常駐する。常駐後実行さ
れたファイルに感染する。
− ハードディスクから起動できなくなることがある。
− メディアなどにライトプロテクト(書き込み禁止処
理)が施されている場合でも、プログラム実行時に"書き込
み不可"という意味のエラーメッセージを表示しない。
名 称:FLOWER
分 類:ファイル感染型
対 象:.EXE
ウイルスサイズ:883バイト
発祥地:不明
発見日:不明
詳 細:− カレントディレクトリの最初の未感染ファ
イルに感染する。その後、ルートディレクトリのすぐ下の
サブディレクトリ内にある未感染ファイルに感染し、オリ
ジナルルーチンに戻る。
− 隠しファイル、リードオンリー属性のファイルには感
染できない場合がある。
− 感染ファイルには感染した順にウイルスがバージョン
番号をつける。(例:10番目に感染したファイルから感染
したファイルの番号は11。)
− 11月11日に実行された場合、もしくは自らのバージョ
ン番号が174以上であった場合に以下の破壊活動が行われる
:
1)"FLOWER"という題の英詩を表示する:
FLOWER
Support the power of women
Use the power of man
Support the flower of woman
Use the word
FUCK
The word is love
Originally released 7 April 92
2)オリジナルファイルの先頭データを上書きして破壊
する。
3)オリジナルプログラムを実行する
− 感染してもファイルの日付は更新されない。しかし時
刻は暗号化に必要なため更新される。
名 称:FOB
分 類:ファイル感染型
対 象: .COM
ウイルスサイズ:1750-1900bytes
詳 細:実行手順:
カレントディレクトリに未感染の.COMファイルを探して、
感染します(一度に1つのファイルにだけ感染します)。
50%の確率で、ウイルスは次の単語の入力をユーザに求め
るメッセージを表示しま。"SLOVAKIA"。ウイルスは、ユ
ーザがこの単語を入力するまで待って、プログラムを終了
します。
ダメージ: なし
注 意:
1) メモリに常駐しません。
2) INT 24hをフックしないので、感染時に、エラーメッセ
ージが現れます。
症状:感染ファイルは"SLOVAKIA"という単語の入力をユーザ
に要求し、ユーザが入力を行うまで、終了しません。
名 称:FONESEX
分 類:ファイル感染型
対 象:.COM;.EXE
ウイルスサイズ:688バイト
発祥地:不明
発見日:1993/1
詳 細:− 感染したファイルが実行されるとカレント
ディレクトリ内のCOM、EXEファイルすべてに感染する。
− 感染活動後、以下のどちらかのメッセージを表示し、
DOSプロンプトに戻る。
"Out of Memory""Program too big to fit
in memory"
− ウイルスコード内に以下の文字列が暗号化されていな
い状態で含まれている。
"*.* *.exe \ \dos *.com d""Out of
Memory"
"9034600""4545388""2888100""6809100"
"9038181""4540759"
"8840758""8965581"
"6804900"
"4075240"
"9038700"
"7868482"
− COMポートにモデムが接続されていた場合、上記の7桁
の数字列の電話番号にダイヤルするコマンドを送出する。
− 感染ファイルが688バイトより大きい場合、サイズは増
加しない。ファイル日付も更新されない。
名 称:FORM
別 名:FORM BOOT, FORM.A, FORM-18
分 類:システム領域感染型
対 象:FD:ブートセクタ;HD:ブートレコード
ウイルスサイズ:N/A
発祥地:スイス
発見日:1990/06
詳 細:感染方法:
−このウイルスに感染したフロッピーディスクでマシンの
起動動作を行うとハードディスクのシステム領域(ブート
レコード)に感染する。
−このウイルスに感染したハードディスクでマシンを起動
すると、メモリーに常駐してファイルの入出力を監視す
る。その後、書き込み可能なフロッピーディスクにアクセ
スすると、そのディスクのブートセクタに感染する。
−このウイルスは、他のシステム領域感染型ウイルスと違
い、ハードディスク上のマスタブートレコードではなく、
ブートレコードに感染する。他には「Generic_437」が同じ
タイプのウイルスである。
発病:
−毎月24日にキーボード入力があるとクリッキングノイズ
(パチパチという音)を発する。システムハングが起こっ
たり、ブートセクタが上書きされて起動不能になったりす
ることもある。
−DOSの CHKDSKコマンドを実行すると、空きメモリが
653312バイト減少しているのが確認できる。
−ウイルスのバイナリーコードに以下のメッセージを持つ
ものもある。
"The FORM-Virus sends greetings to everyone who’s
reading this text.
FORM doesn’t destroy data! Don’t panic! Fuckings
go to Corinne."
備 考:−亜種
Form II:発祥地不明、発見日1992年5月
FORM-18ウイルスから派生。機能的にはFORM-18と同じだ
が、ほとんどのウイルス対策ユーティリティで検索できな
いように変更されている。
FORM-18:
FORMウイルスに類似。FORM-18は各月の18日に発病し、
システム・クロックとCMOSを持つシステムのスピーカーか
らクリック音を鳴らす。システム・クロックを持たないシ
ステムでは、ほとんどの場合クリック音は鳴らない。
FORM-Canada:発祥地カナダ、 発見日1992年8月
FORM-18に類似するが、少し変更が加えられている。フロ
ッピーディスク上で、ウイルス・コードの残りとオリジナ
ルのブートセクタをフロッピーディスクの先頭の2つの使
われていない使用可能なセクタに移動させ、このセクタを
不良セクタにする。
名 称:FR-1013
分 類:ファイル感染型
対 象:.COM、.EXE
ウイルスサイズ:1013〜1028bytes
詳 細:実行手順:
1) メモリに常駐しているかを確認します。常駐していなけ
ればINT 21hをフックし、メモリに常駐します。次に、元の
プログラムを実行します。
2) メモリに常駐していれば、直接元のプログラムを実行し
ます。
感染方法:
1) INT 21h・AH=4Bによりファイルに感染します。未感染の
プログラムが実行されると、感染します。
2) 感染するとき、INT 24hをフックしません。I/Oエラーが
発生すると、エラーメッセージが表示されます。
ダメージ: なし
症状:感染すると、ファイルサイズが1013〜1028バイト増加
します。
名 称:FREDDY
分 類:ファイル感染型
対 象:.COM;.EXE
ウイルスサイズ:1870〜1880バイト
発祥地:ブラジル
発見日:不明
詳 細:− メモリに常駐していなければメモリ上位に
常駐し、オリジナルプログラムを実行する。
− 未感染ファイルを実行する度に感染する。同時にいく
つかの未感染ファイルを探し出して感染することもある。
− 256バイトより小さい、もしくは感染後65535バイトを
越えてしまうような.comファイルには感染しない。
− command.comに感染する場合のみ一部を上書きして感染
する。この場合の増加サイズは約77バイトである。
− ウイルスは何かのきっかけにより、ダミーのクリティ
カルエラーハンドラーをオリジナルのベクタに上書きして
インストールする。その後、カレントドライブを確認する
が、この時エラーがあるとシステムがハングする。その後ブ
ートセクタが上書きされ、システムは無限ループに陥りハ
ングする。
− ウイルス内に以下の文字列が暗号化されて含まれてい
る:
"FREDDY KRG 0"
− メディアにライトプロテクト(書き込み禁止処理)が
施されていると、感染時に"書き込み不可"という意味のエ
ラーメッセージを表示する。
名 称:FRIDAY_13TH
別 名:1808(EXE), 1813(COM), FLO, FRIDAY_THE_13TH,
ISRAELI, ISRAELIAN, JERUSALEM, RUSSIAN, VIRUS 1813
分 類:ファイル感染型
対 象:.COM;.EXE
ウイルスサイズ:1813(COM) or 1808(EXE)バイト
発祥地:イスラエル
発見日:1987/10
詳 細:感染方法:
−メモリに常駐していなければ常駐しオリジナルファイル
を実行する。
−メモリ常駐後、実行されたcommand.com以外の未感染ファ
イルに感染する。
発病:
−システムの年号が1987年であれば、ファイルに感染する
のみで破壊活動は行わない。
−システム日付が1987年以外の年で各月13日の金曜日であ
れば発病し、実行されたファイルを全て削除する。
−その他の日には常駐後約30分が経過すると、小さな長方
形(ウインドウ)を画面に表示し、コンピュータの処理速
度を下げる。ディレイループは毎秒18.5回繰り返される。
この”ブラック・ウインドウ”または”ブラック・ボック
ス”はディスプレーの左下に表示され、スクリーンをスク
ロールすると同じようにスクロールして常にディスプレイ
左下に留まる。
−オリジナルはウイルスコード内に "sUMsDos" というID文
字列を持っている。
−Suriv 3.00 Virus(Jerusalemより発見されたのは後であ
る)から派生したウイルスと考えられる。最も古くから存
在するウイルスであり、亜種が多数存在する。
−メディアなどにライトプロテクト(書き込み禁止処理)
が施されている場合、感染行動時に"書き込み不可"という
意味のエラーメッセージを表示する。
備 考:−「JERUSALEM」の亜種
・Suriv 3.00:
「JERUSALEM」ウイルスの原形となったウイルスと考えられ
ている。感染したプログラムが実行された後、30秒後に発
病する。
・1361、 1600、 1767、 A-204、 Anarkia、 Apocalypse、
Barcelona、 Captain Trips、 Carfield、 CNDER、 Clipper、
Count、 Discom、 IRA、 Mendoza、 Messina、 Miky、 Mummy、
Nemesis、 Nov 30.、 Payday、 Phenome PSQR、 Pipi、 Puerto、
Spanish、 Sub-Zero、 T13、 Timor
Triple、 Virus #2、 Westwood :
これらの亜種はすべてトリガーとなる日付が違うだけであ
る。まれにウイルス検索プログラムを逃れるための改変が
行われているものもある。
・Century:
この亜種は2000年1月1日に発病し、
"Welcome to the 21st Century" というメッセ
ージを表示する。
・Moctezuma:
この亜種は感染時に暗号化される。感染量は2228byteで
ある。
・GP1、 Jerusalem.GP1:
この亜種はノベル社製ネットウェアのログインパケット
を捕獲しそこに含まれているパスワードをネットワーク全
体にブロードキャストする。ネットウェア2.0以降はこの活
動は行えない。
− その他のJERUSALEM系ウイルスについては、Jerusalem
B、 MULE(別名:Frere Jacques)、 Sunday、 Danubeを参
照。
名 称:FRODO.FISH.6.B
別 名:3584, EUROPEAN FISH VIRUSES, FISH 6,
STEALTH VIRUS
分 類:ファイル感染型
対 象:.COM;.EXE
ウイルスサイズ:3584バイト
発祥地:ドイツ
発見日:1990/05
詳 細:感染方法:
1)感染ファイルを実行すると、使用可能なフリーメモリ
ー下位に常駐する。
2)常駐後、COMMAND.COMに感染し、実行した.COM、.EXEフ
ァイルにも感染する。
破壊:
1)CHKDSK /Fを実行すると、ファイルのクラスターが破壊
されたり、 ファイルがクロスリンクしてしまう。
2)ビデオ書き込みの速度を遅らせ、ディスプレーが点滅
する。
3)下記メッセージを画面に表示する。マシンがハングす
る場合もある。
"FISH VIRUS #6 - EACH DIFF BONN 2/90 ’~knzyvo}’"
−ウィルスは自分自身を暗号化するが、感染ファイルの最
後付近に文字列 "FISH FI"があるので感染プログラムを発
見できる。しかし、この文字列はしばらくたつと消えてし
まう。
−感染ファイルの増加サイズは 3、584byteである。しか
し、常駐後に、DIRコマンドを使用しても感染ファイルのサ
イズ増加が分からない。
−常駐後にCHKDSKコマンドを実行すると、感染ファイルの
ファイル・アロケーション・エラーを表示する。
−ハードディスクに書き込みプロテクトを掛けるユーティ
リティーを使用しても、これをかわして感染する。
−4096ウィルスの変更バーションであり、メモリー常駐後
に頻繁にウィルス自身を再暗号化する。
そのため、ウィルス常駐後にシステムメモリーを調べる
と、幾つもの魚の名前を発見できる。
名 称:FRODO.FRODO.A
別 名:100 YEAR, 4096, 4096-1, ANTICAD.4096.A,
FRODO, IDF, VIRUS 4096
分 類:ファイル感染型
対 象:.COM;.EXE;.OVL;.TSR
ウイルスサイズ:4096バイト
発祥地:イスラエル
発見日:1990/01
詳 細:感染方法:
−感染ファイルを実行すると、システムメモリーに常駐す
る。
−常駐後に、実行した61440バイト未満の.COMファイル及び
全サイズの.EXEファイルに感染する。更にオープンされた
ファイル(COPY等の対象となったもの)にも感染する。
発病:
−システムの日付が9月21日以降であれば発病し、ブートセ
クタを書き換える。
感染ディスクから起動すると、
"FRODO LIVES"
というメッセージが表示される。
ウイルスコード自体に欠陥があるため、感染ファイルを
9月21日以降に実行してもシステム領域は書き換えられ
ないが、システムは破壊される。
−データファイルにも感染する場合がある。
−ウイルス感染のフラグ(目印)として感染ファイルのタイ
ムスタンプの年数を100年進める。
(DOSでは下2ケタしか表示しないので、DOSの"DIR"コマン
ドでは発見されにくい)。
−4096が常駐している時は、この感染されたデーターファ
イルは何事もないように使用できるが、常駐が外れると、
このデータファイルは破壊されてしまう。
−変種:
4096-B: 4096と同じであるが、発見されないよう暗号メカ
ニズムが変わった点が異なる。
4096-C: 4096と同じであるが、以下の点が異なる。
DOSのChkDskを使用しても、ファイルのクロスリンクまたは
クラスターの消失が起こっていることが分からない。
更に、DIRコマンドで示されるディスクの開きスペースが、
ChkDskが示す値より大きく表示される。
発祥地: 不明 発見日: 1991年
4096-D: 4096-Cと機能的には同じ。幾つかのアンチ・ウィ
ルス・プログラムで発見できない点が異なる。
発祥地: 不明 発見日: 1992年4月
4096-E: 4096-Cと機能的には同じ。幾つかのアンチ・ウィ
ルス・プログラムで発見できない点が異なる。ファイル・
サイズは5、648byte。
発祥地: 不明 発見日: 1992年10月
備 考:CHKDSK /Fは使用してはならない。
名 称:FVHS
分 類:ファイル感染型
対 象:.COM;.EXE
ウイルスサイズ:不明
発祥地:ロシア
発見日:不明
詳 細:− カレントディレクトリとその親ディレクト
リ内の未感染のファイルを検索し、一回に3つのファイル
に感染する。上書き感染のため、オリジナルファイルは破
壊される。
− メディアなどにライトプロテクト(書き込み禁止処
理)が施されていると、感染行動の際に"書き込み不可"と
いう意味のエラーメッセージを表示する。
備 考:
名 称:FYODOR_145
分 類:ファイル感染型, 上書き感染型
対 象:.COM
ウイルスサイズ:145バイト
詳 細:.COMファイルにのみ感染する。感染ファイルが
実行されると、カレント・ディレクトリのサブ・ディレク
トリを調べ、.COMファイルへの感染を図る。エラーが発生
したり、感染できる.COMファイルがないときには、“Bad
Command or Filename.”というメッセージを表示する。
損害:
感染ファイルの上位145バイトにウイルスコードを上書
きするため、感染したファイルは復元不可能である。さら
なる感染を防ぐためには、感染ファイルを除去するしかな
い。