名 称:ULTRASIK-1967
分 類:ファイル感染型
対 象:.EXE
ウイルスサイズ:1967バイト
発祥地:不明
発見日:不明
詳 細:感染方法:未感染.EXEファイルを探し出して感
染する。
検索パスは、カレントディレクトリ→
そのサブディレクトリ→
サブディレクトリの下の最終サブディレク
トリ→
ルートディレクトリ→
ルートディレクトリの下のサブディレ
クトリの順。
その後、オリジナルルーチンへもどる。
感染可能なファイルがない場合、システムをハングする。
(もともとC:ドライブをフォーマットする目的で作成された
が、
ウイルス自体に欠陥があるためシステムをハングするに留
まる。)
破壊:感染、増殖以外の活動はなし。
識別方法:
感染ファイルのサイズが増加する。
まずオリジナルサイズが16の倍数になるまで増加し、更に
1967バイト増加する。
備 考:感染ファイルの日付と時刻は更新されない。
名 称:UMB_V1.43
別 名:UMBVIRUS-1271
分 類:ファイル感染型
対 象:.COM;.EXE
ウイルスサイズ:1271バイト
発祥地:日本
発見日:1994/04
詳 細:感染方法:
−ウイルスを実行するとUMB領域にウイルスが常駐し、
その後実行された.COM、.EXEのファイルに感染する。
−ただしこのウイルスが感染するのは、ファイルサイズが
32〜64、264バイトまでのファイルのみ。感染を行うファイ
ルに対して、既に感染しているかどうかのチェックを
行っているため、重複して感染することはない。また、「
DIET.EXE」で圧縮された実行ファイルには感染を行わない。
−このウイルスに感染したファイルを、バージョン5以外
のDOSや、UMBを設定していない環境で実行すると、
暴走する。また、UMBに1,280バイト以上の空き領
域が
ない場合も暴走する。
−このウイルスが常駐している状態では、DOSの機能の
内、メモリの割り当て方法の取得/設定が無効化されてい
るため、UMBに空き領域があっても、「LOADHIG
H」
コマンドでプログラムをUMBにロードすることができな
い。
−このウイルスが、ライトプロテクトを施されたディスク
の実行ファイルに感染しようとすると、「書き込み禁止で
す」というDOSのエラーメッセージが表示される。
−ウイルスの先頭部分に、アスキー文字列で次のように書
かれている。
"UMBVIRUS-1271 Ver.1.43 (C) 1994 Japan Computer
Virus Labo. 94/04/25" _
−オリジナル(元親)のウィルスはウィルス検索プログラ
ムをまねているので、いかにもウィルス検索を行ったよう
な以下のメッセージを表示する。
Virus Scanning program Ver.1.02
Scanning the Command.com & All Memory..
No Virus found.
−また、親ウィルスに(子ウィルスにはない)は以下の文
字列がある。
Virus Scanning program Ver.1.02
Incorrect DOS version.(Ver.5.00+)
No Virus found.
Scanning the Command.com & All Memory..
\COMMAND.COM
Scanning Error!
−発病(ファイルが壊れる以外)はしないと思われる。
備 考:このウイルスは、1994年の4月に幾つかの
パソコン通信のネットにVSCAN.COMというファイ
ルに感染した状態で、アップロードされていました。VS
CAN.COM
というファイルは、その動作をウイルス検査プログラムの
様に見せかけているため(実際はメッセージを表示してい
るだけ)、ウイルス作者がウイルスの流通を目的として、
偽装
したものと思われま
名 称:URKEL-R
別 名:URKEL、 NWAIT
分 類:システム領域感染型
対 象:FD:ブートセクタ;HD:マスターブートレコード
ウイルスサイズ: 512バイト
詳 細:感染方法:
感染ファイルを実行すると、ディスク上の上位メモリ1
KBを占有する。ついで、パーティション・テーブルを変更
し、そのコピーを保存する。その後、ユーザが未感染のフ
ロ
ッピーディスクからコンピュータを立ち上げると、パーテ
ィション・テーブルが無効なので、ハードディスクにアク
セスできない。感染したハードディスクから立ち上げたと
き
は、最初にウイルスが実行され、ハードディスクは通常ど
おり使用できる。そのため、フロッピーから起動させよう
としないかぎり、感染に気づくのは難し
損害:
とくに破壊活動は行なわないが、一時間ごとに”Urkel”
という名前のテキストをスクリーン上に表示する。
備 考:
名 称:URUK_HAI.300
別 名:URUK_HAI
分 類:ファイル感染型(COMMAND.COMを含むCOMファイ
ル),メモリ常駐型
ウイルスサイズ:300バイト
発祥地:ロシア
発見日:1992
詳 細:メモリー常駐したウイルスは、その後実行され
たCOMファイルすべて(COMMAND.COMにも)に感染する。感
染ファイルはサイズが300バイト増加する。ファイルエディ
ターで感染ファイルを調べると、次の文字列が見つかる。
“Igor 1992 v.2.0 The Uruk-hai and winged Nazgul
strikes again!”
名 称:URUK-HAI
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:394バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
メモリに常駐していなければ、上位メモリに常駐する。
常駐後、オリジナルルーチンに戻る。
未感染の.COMファイルが実行される度に感染する。
使用割り込み命令:INT 21H、INT 24h
破壊:感染、増殖以外の活動はなし。
識別方法:感染ファイルは394バイト増加する。
備 考:
名 称:USSR
別 名:570、 8-17-88、 2:08A
分 類:ファイル感染型
対 象:.EXE
ウイルスサイズ:570バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
.EXEファイルに感染し、サイズが570〜585(570+15)バイト
増加する。
(まずオリジナルサイズが16の倍数になるまで増えたあと、
更に570バイト増加する。)
ファイルのディレクトリエントリにある日付と時刻はそれ
ぞれ、8-17-88と2:08a になる。
破壊:
C:ドライブのブートセクタに1セクタ書き込み、システムを
ハングする。
備 考: