名 称:G2_DROPPER
分 類:その他
ウイルスサイズ:N/A
発祥地:不明
発見日:不明
詳 細: これはウイルスを生成するプログラムであ
り、感染はしない。実行されると、ファイル感染型のウイル
スを作成しはじめる(ただし、G2.DATファイルがないと、
うまく実行されない)。このとき、ユーザは以下の特性を
独自に設定できる。
1.ウイルス名
2.作者名
3.暗号化する/しない
4.デバッグを無効にする機能を使う/使わない
5.感染対象となるファイルサイズ(最小値と最大値を設
定する)
6.感染するファイル数(最大値を設定する)
7.感染ファイルの種類(.COMファイル/.EXEファイル)
8.COMMAND.COMに感染する/しない
9.発病日(発病日に実行すると、ハードディスクをフォ
ーマットする)
名 称:G2-118-1
別 名:MPCA, PS-MPC
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:422Bytes
発祥地:不明
発見日:不明
詳 細:このウイルスはシンプルな直接感染型のウイル
スで、.COMファイルに感染する。
感染方法:
- 感染したファイルを実行すると、カレントディレクトリ
のすべての.COMファイルに感染し、その後、ホストプログラ
ムのコードを実行する。
- このウイルスはメモリに常駐しない。感染するときは、.
COMファイルの真ん中にウイルスコードを付け加える。また、
感染対象のファイルの最初の3バイトを書き換えて、先にウ
イルスコードが実行されるように修正する。
- ウイルスコードは一部暗号化されている。
損害:
- ウイルスコードをコピーする以外特に破壊活動はない。
備 考:感染したファイルはサイズが422バイト増加する
。
名 称:G2-78-1
分 類:ファイル感染型
対 象:.com
詳 細:これは16bit OS用に書かれたウイルスで、他の
ファイルに感染する以外の動作は何も行いません。ステル
ス行動や暗号化行動もありません。
しかしこのウイルスに感染したファイルは、一番後ろにコ
ードが付け足されます。このコードはとても複雑に作られ
ており、さらに、バグがあるため、ウイルスを駆除するこ
とができません。この意味ではこのウイルスはとても破壊
的です。
名 称:GALICIA
別 名:ANTI-TEL, CAMPANA, GALICIA.800, KAMPANA.MP.
800, KAMPANA-800, TELEFONICA
分 類:システム領域感染型
対 象:FD:ブートセクタ;HD:マスターブートレコード
ウイルスサイズ:N/A
詳 細:Galiciaは、システム領域に感染するウイルスで
す。
ハードディスクのパーティションテーブルとフロッピーデ
ィスクのブートセクタに感染します。
感染は、ウイルスに感染しているディスケットからシステ
ムが起動されるときに起きます。起動シーケンスが完了し
ている必要はありません。その場合でも、ウイルスは感染
します。
感染に加えて、Galiciaにはペイロードが含まれています。
5月22日の午前12時に次に示すメッセージを表示します。
Galicia contra telefonica!
名 称:GALILEO
分 類:ファイル感染型
対 象:.COM;.EXE
ウイルスサイズ:760バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
1)システムの日付が月曜日であれば、ハードディスクのデ
ータを全て破壊する。
2)カレントディレクトリ内の未感染.COMまたは.EXEファイ
ルを探し出す。
3)カレントディレクトリ内の未感染の.COM及び.EXEファイ
ルに感染する。
破壊:
システムの日付が月曜日であれば発病し、ハードディスク
のデータを全て破壊する。
使用割り込み命令:INT 24h
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合でも、プログラム実行時に"書
き込み不可"という意味のエラーメッセージを表示しない。
名 称:GANEU
分 類:ファイル感染型
対 象:.COM;.EXE
ウイルスサイズ:1527バイト(.COM),1531〜1547バイト(.
EXE)
発祥地:不明
発見日:不明
詳 細:感染方法:
−感染ファイルを実行すると、メモリに常駐する。
−常駐後、ファイルを実行すると、カレントディレクトリ
を検索して、発見した最初の未感染の.COMまたは.EXEファ
イルに感染する。
−.COMファイルの場合は、2、500バイト以上から62、000バイ
ト未満、.EXEファイルの場合は、4、090バイト以上のファイ
ルに感染する。
発病:
−メモリ常駐後、ファイルを実行した日が5月17日場合、ビ
ープ音に続き以下のメッセージをゆっくり表示して、シス
テムをハングさせる。
"Beware of the BUG !!!"
−上記のメッセージは暗号化されている。
−カレントドライブがA:またはB:の場合は感染しな
い。
名 称:GENERIC
分 類:システム領域感染型
対 象:FD:ブートセクタ;HD:マスターブートレコード
詳 細:−「Generic」ウイルスとは、フロッピーのブ
ートセクタまたはハードディスクのパーティション・テ
ーブルに感染したシステム領域感染型の未知ウイルス(ユ
ーザが使用したパターンファイルに情報が含まれていない
ウイルス)を意味する。
したがって、これは特定ウイルスを差しているのではな
く、「検索によるシステム型未知ウイルス発見機能」によ
って新種ウイルスなどが発見された場合にも表示される。
−そのため、実際にはウイルスではなく、何らかの原因に
よってFDのブートセクタやHDのパーティションテーブ
ル内のコードが書き換わってしまった状態や、通常とは違
った常駐方式を取るデバイスドライバなどを「ウイルスの
可能性あり」として発見している場合もある。
Windows95システム上でGenericウイルス発見の警告があっ
た場合には、まず以下の点を確認する。
1)ウイルス発見場所:
発見場所が「メモリ中」、「HDのシステム領域」、「F
Dのブートセクタ」のいずれであるかを確認。
2)「ファイルシステム」と「仮想メモリ」の状態:
「システムのプロパティ」から「パフォーマンス」のメニ
ューを参照する。「パフォーマンスの状態」の「ファイル
システム」と「仮想メモリ」の表示が「32ビット」である
場合、ウイルス感染の可能性は低い。表示が「MS−DOS互換
モード」になっている場合は実際のウイルス感染の疑いが
ある。
備 考:【Generic発見回避処理】
1)「FDのブートセクタ」発見の場合:
FD内のファイルをすべてバックアップし、FDをフォ
ーマットします。
2)「HDのシステム領域」発見の場合:
注)ウイルスの駆除はいつの場合にも、必ず成功するとは
限りません。万が一の場合を考え、重要なデータは必ずバ
ックアップをお取りいただいた上で下記作業を行ってくだ
さい。
HDに対してMBR(マスターブートレコード)の初期化を
行います。
「Windows95起動ディスク」でシステムを起動し、コマン
ドプロンプトから下記を実行して下さい。
A:\> FDISK /MBR
数秒しますとすぐコマンドプロンプトに戻りますので、フ
ロッピーを抜いてマシンの電源を落として下さい。
3)「メモリ中」発見の場合:
デバイスドライバなど何らかのプログラムの常駐をGeneric
として発見している可能性があります。
Adaptec社製「EZ-DRIVE」など、一般にシステムに変更を加
えるプログラムである場合が多いです。
config.sys、autoexec.batなどにおいて組み込まれている
ドライバやプログラムをチェックし、常駐プログラムから
はずしていただく、ドライバを組み込む順番をご変更いた
だくなどの対応を行って見てください。上記のようなプロ
グラムを特にご使用いただいてない場合は、念のため重要
なデータのバックアップをお取りいただいた上で、 2)
「HDのシステム領域」発見の場合: の作業を行って見
てください。
名 称:GENERIC_408
別 名:B1, NYB, STONED.I
分 類:システム領域感染型
対 象:FD:ブートセクタ;HD:マスターブートレコード
ウイルスサイズ:N/A
発祥地:不明
発見日:不明
詳 細:感染方法:
−このウイルスに感染したフロッピーディスクでマシンの
起動動作を行うとハードディスクのシステム領域(マスタ
ーブートレコード)に感染する。
−このウイルスに感染したハードディスクでマシンを起動
すると、メモリーに常駐してファイルの入出力を監視す
る。その後、書き込み可能なフロッピーディスクにアクセ
スすると、そのディスクのブートセクタに感染する。
発病:
−トリガらしきものがあるが、タイミングを満たさない。
また、発病らしきルーチンがあるが特に被害はないように
思われる。
−フロッピーディスクに感染する場合、オリジナルのブ
ートセクタをルートディレクトリエントリの最終セクタに
保存する。そのため、感染時にデータの一部が破壊されて
しまう場合がある。
−ステルス型なので、ウイルス常駐後ではウイルスコード
を書き込んであるセクタにアクセスできない。また、フロ
ッピーディスクのフォーマット時にエラーが発生しフォ
ーマットできなくなる場合がある。
名 称:GENERIC_437
別 名:BOOT-437
分 類:システム領域感染型
対 象:FD:ブートセクタ;HD:ブートレコード
ウイルスサイズ:N/A
発祥地:不明
発見日:不明
詳 細:感染方法:
−このウイルスに感染したフロッピーディスクでマシンの
起動動作を行うとハードディスクのシステム領域(ブート
レコード)に感染する。
−このウイルスに感染したハードディスクでマシンを起動
すると、メモリーに常駐してファイルの入出力を監視す
る。その後、書き込み可能なフロッピーディスクにアクセ
スすると、そのディスクのブートセクタに感染する。
−このウイルスは、他のシステム領域感染型ウイルスと違
い、ハードディスク上のマスタブートレコードではなく、
ブートレコードに感染する。他には「Form」が同じタイプ
のウイルスである。
発病:
−文字列な発病ルーチンはないため、感染のみのウイルス
である。
−フロッピーディスクに感染する場合、オリジナルのブ
ートセクタをルートディレクトリエントリの最終セクタに
保存する。そのため、感染時にデータの一部が破壊されて
しまう場合がある。
名 称:GEOFF
分 類:トロイの木馬型
対 象:なし
ウイルスサイズ:5952バイト
発祥地:不明
発見日:不明
詳 細:
− 感染行動を伴わない「トロイの木馬」。
− 破壊活動を行う前に、
" Search And Destroy Loading v1.0
Bringing The Best And Latest Warex.......
Press [ENTER] to Start The Game." と表示する。
− 使用可能なドライブの全てのデータを破壊する。
− 破壊活動後、
" Hey Geoff You know what happened a few days ago?
Some friend asked me to get rid of you、........
P.S. I have nothing personal against you!
You just FUCKED with the Cold Brother and I had
to take you down、again"
と表示する。
備 考:
名 称:GERGANA
別 名:GERG
分 類:ファイル感染型
対 象:.COM;.EXE
ウイルスサイズ:182〜450バイト
発祥地:不明
発見日:不明
詳 細:− カレントディレクトリ内の未感染のファイ
ルに感染する。
− ウイルスコード内に以下の文字列を持つ:
GERGANA
Happy 18th Birthday
破壊:感染、増殖以外の活動はなし。
備 考:
名 称:GETIT
別 名:GETIT.754, LOGIN THIEF TROJAN, QNPC.GETIT.
754
分 類:トロイの木馬型
対 象:DOS
ウイルスサイズ:754バイト
詳 細:-
これはいわゆるトロイの木馬です。他のファイルに感染
することはありません。一個のプログラムのため、「駆
除」は行えません。ファイルごとの削除となります。
ユーザーがこのプログラムを不注意に実行すると、この
トロイの木馬は割りこみ命令を駆使して、メモリーに常駐
します。常駐後、"LOGIN"という文字列を含んだファイル名
のプログラム/コマンドが実行されると発病します。
発病:
発病するとまず、"testing.tmp"というファイル名の隠し
ファイルを作り、コマンドラインから入力された文字列を
すべて記録します。
次にDIRコマンドを実行に対して割りこみをかけ、DIRコ
マンドを実行してもカレントディレクトリが空である旨の
表示をさせユーザーを混乱させます。
名 称:GHOST PLAYER
分 類:ファイル感染型
対 象:.EXE
ウイルスサイズ:1200バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
ファイルに感染して広まる。Ghost Playerウイルスに感染
したプログラムを実行すると、DOSのバージョンが3以降で
かつデフォルトディスクのシリアル番号がゼロの場合の
み、オリジナルプログラムを実行する。条件に合わなけれ
ば、MCB (memory control block)上位で、DOS 640k境界下
の部分に常駐する。空きメモリが1200 (4B0H)バイト減少す
る。
破壊:感染ファイルは増加する。
特徴:空きメモリが減少する。1/65280の確率で次のような
メッセージを表示する。
" ! y Bumpy~ (R)Ghost Player "
さらに、画面が上下にシフトして揺れる。
備 考:以下のような名前のファイルには感染しない。
"TB*.???" 、"F-*.???" 、"CP*.???" 、"NA*.???" 、"SC*
.???"
"CL*.???" or "V*.???".
名 称:GHOST-A
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:330バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
1)メモリに常駐していなければ常駐する。
2)その後、オリジナルプログラムを実行する。
3)メモリに常駐し、未感染のファイルが実行される度に感
染する。
破壊:
常駐後、システムの日付が金曜日であれば、実行したファ
イルを削除してシステムをハングする。
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、"書き込み不可"という意味
のエラーメッセージを表示する。
名 称:GINGER.2774
別 名:BADSEED, GINGER, GINGERBREAD, GINGERBREAD
MAN, PEANUT, RAINBOW
分 類:複合感染型
対 象:FD:ブートセクタ;HD:マスターブートレコード;.
COM;.EXE
ウイルスサイズ:2〜3KB
発祥地:オーストラリア
発見日:1993/03
詳 細:− 感染ファイルを実行するとメモリに常駐
し、ハードディスクのMBRに感染しする。
− 一度ハードディスクのMBRに感染すると次回以降の起動
時にメモリに常駐する。
− 常駐後実行されたファイルに感染する。
− ウイルスのステルス行動により、MBRの情報が確認でき
ない。
− ウイルスコード内に以下の文字列を含む:
PTT (You can’t catch the Gingerbread Man!
Bad Seed - Made in OZ!
COMSPEC=
CHKDSK
MEM
10/23/92
破壊:
− ハードディスクへの感染時にパーティションテーブル
の情報を破壊する。このため、FDのシステムから起動する
とシステムクラッシュを引き起こす。パーティションテ
ーブルの破壊は修復できない。
備 考:システム感染の部分は「Ginger.2774-B」で発見
される。
名 称:GOLD
分 類:ファイル感染型
対 象:.COM;.EXE
ウイルスサイズ:612バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
1)メモリに常駐していなければ、上位メモリに常駐す
る。
2)常駐後、オリジナルルーチンに戻る。
3)未感染の.COMまたは .EXEファイルが実行されると感染
する。
4)感染後、50%の確率でオリジナルルーチンに戻る。
そのほかの場合、画面に文字をランダムに表示してオリジ
ナルルーチンを実行せずに終了する。
破壊:感染、増殖以外の活動はなし。
使用割り込み命令:INT 21H
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、プログラム実行時に"書き込
み不可"という意味のエラーメッセージを表示する。
名 称:GOLDBUG
分 類:複合感染型
対 象:FD:ブートセクタ;HD:マスターブートレコード
ウイルスサイズ:1024バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
− DOSのバージョン5.0もしくは6.*のある環境で拡張(
HMA)メモリに常駐する。
− このウイルスに感染した.EXEプログラムを実行する
と、CPUが80186以下であればプログラムを終了する。CPUが
80186以上であればハードディスクのパーティションテ
ーブルに感染し、HMA (High Memory Area)が有効であれば
(CONFIG.SYSにDOS=HIGHが記述されている場合は)同メモ
リエリアに常駐する。
− その後、感染 ファイルのオリジナルコードを実行す
る。ウイルスの感染機能はこの時点では働いていない。
破壊:
− GoldBugウイルスは、ウイルス対策製品を回避するさま
ざまなルーチンを持つ。
− Gold-Bugウイルスがメモリ常駐していると、ほとんど
のウイルス検索プログラムを強制終了する。Gold-Bugウイ
ルスはファイル名の末尾に"A*"(*はNからZまでのアルファ
ベット)をもつ、64Kバイト以上の大きな.EXEファイルの動
作を阻止する。その結果、SCAN.EXE、CLEAN.EXE、NETSCAN.
EXE、CPAV.EXE、MSAV.EXE、TNTAV.EXE等のファイルは動作
を強制終了させられる。
− ウイルス検索プログラムは、削除されるか、実行エラ
ーの戻り値を返される。またシステム再起動後は、CMOSの
チェックサムにはエラーが発生するようになる。
"CPAV.EXE"と"MSAV.EXE"により作成された"CHKLIST.???"フ
ァイルは自動的に全て削除されるのでCPAVとMSAVのチェッ
クサム機能が使用できない。
特徴:
− CMOSのチェックサムがエラーとなる。拡張子なしのフ
ァイルを作成し、モデムも呼出し音が7回鳴るまで応答し
ない。ほとんどの検索ソフトは実行できないか削除され
る。また、CHKLIST.??? ファイルも削除される。
使用割り込み命令:INT 21h、INT 13h
備 考:− このウイルスが作成する.EXEファイルで変
化しない部分は2バイトのみ。128通りの暗号化パターンを
持つ。2重の解読方式が使われており、デバッガによる解読
はかなり難しい。512通りの1次暗号化機能をもつアセンブ
リコードがある。2次暗号化機能は、それぞれ128通りある。
名 称:GOMB
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:4093バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
1)メモリに常駐していなければ、上位メモリに常駐す
る。
2)常駐後、オリジナルルーチンに戻る。
3)未感染の.COMファイルが実行される度に感染する。
破壊:感染、増殖以外の活動はなし。
使用割り込み命令:INT 21H
名 称:GORLOVKA
分 類:ファイル感染型
対 象:.COM;.EXE
ウイルスサイズ:なし
発祥地:不明
発見日:不明
詳 細:感染方法:
1)ウイルスがメモリに常駐していれば、
"Tracing mode has been destroyed." と表示する。
2)常駐していなければ、メモリ上位に常駐し、
"Tracing mode has been destroyed." と表示する。
3)未感染の.COMまたは.EXEファイルが実行される度に感
染する。
破壊:オリジナルファイルをウイルスコードで上書きする
ためファイルが破壊される。
使用割り込み命令:INT 21H、INT 24h
備 考:感染ファイルのサイズは増加しない。
名 称:GOT732-1
別 名:GOTCHA
分 類:ファイル感染型
対 象:.COM;.EXE
ウイルスサイズ:732KB
発祥地:不明
発見日:不明
詳 細:「GOTCHA」ウイルスの亜種。
感染方法:1)メモリに常駐していなければ、最上位メモリ
に常駐する。2)その後、オリジナルプログラムを実行す
る。3)メモリに常駐し、未感染のファイルが実行される度
に感染する。ファイルをリネーム、属性変更、検索、削除
した場合にも感染する。
− ウイルスコード内に以下の文字列を含む:
"GOTCHA!"
破壊:感染、増殖以外の活動はなし。
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合でも、プログラム実行時に"書
き込み不可"という意味のエラーメッセージを表示しない。
名 称:GOTCHA
別 名:GOT732, GTC
分 類:ファイル感染型
対 象:.COM;.EXE
ウイルスサイズ:627〜906byte
発祥地:東欧
発見日:1991
詳 細:感染方法:
1)メモリに常駐していなければ、最上位メモリに常駐す
る。
2)その後、オリジナルプログラムを実行する。
3)メモリに常駐し、未感染のファイルが実行される度に感
染する。
ファイルをリネーム、属性変更、検索、削除した場合に
も感染する。
− ウイルスコード内に以下の文字列を含む:
"GOTCHA!"
破壊:感染、増殖以外の活動はなし。
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合でも、プログラム実行時に"書
き込み不可"という意味のエラーメッセージを表示しない。
名 称:GOTCHA-2
分 類:ファイル感染型
対 象:.COM;.EXE
ウイルスサイズ:627バイト (.COM)、527バイト (.EXE)
発祥地:不明
発見日:不明
詳 細:感染方法:
1)メモリに常駐していなければ、最上位メモリに常駐す
る。
2)その後、オリジナルプログラムを実行する。
3)メモリに常駐し、未感染のファイルが実行される度に感
染する。ファイルに感染する前に、ファイル名を参照す
る。
破壊:感染、増殖以外の活動はなし。
使用割り込み命令:INT 21h、INT 24h
備 考:1)Gotcha-2ウイルスはファイルに感染する際
に「Ctrl」+[Break]機能を無効にする。
2)メディアなどにライトプロテクト(書き込み禁止処
理)が施されている場合でも、プログラム実行時に"書き込
み不可"という意味のエラーメッセージを表示しない。
名 称:GP1/NOVELL
分 類:ファイル感染型
対 象:.COM;.EXE
ウイルスサイズ:1557バイト(.EXE)、1845バイト(.
COM)
発祥地:ヨーロッパ
発見日:1991
詳 細:感染方法:
1)メモリに常駐していなければ常駐する。
2)その後、オリジナルプログラムを実行する。
3)メモリに常駐し、未感染のファイルが実行される度に感
染する。ファイルに感染する前にファイル名を参照する。
特徴:
ウイルスがメモリに常駐しており、コマンドラインの最初
の文字が "i" 以外の場合、ウイルスは自動的にメモリから
取り除かれる。(ウイルスが一番最後にメモリ常駐してい
る場合のみ。)
ウイルスが取り除かれた後、
"GP1 Removed from memory." というメッセージが表
示される。
破壊:
Jerusalemウイルスを改変したウイルス。
ユーザが最小限の特権しかもっていなくても、Novellのセ
キュリティを突破してネットワーク内部で増殖することを
目的として作成されたと思われる。
NovellのLOGINを監視してそのセキュリティをかわす以外
に、発病行動は特にない。
名 称:GREENCAT
別 名:1575, 1591, CATERPILLAR, GREEN CATERPILLAR,
GREEN.CAT.2, GREENCAT-1
分 類:ファイル感染型
対 象:.COM;.EXE
ウイルスサイズ:1577〜1591バイト
発祥地:台湾
発見日:1991/01
詳 細:感染方法:
−感染ファイルを実行するとメモリーに常駐しCOMMAND.COM
に感染する。
−常駐後、DOSの"Dir"または"Copy"コマンドを実行する
と、.COMと.EXEファイルの最後にウィルスコードを追加し
てに感染する。
−常駐後に、プログラムを実行しても、そのファイルには
感染しない。
−感染ファイルのタイムスタンプが感染日に変更される。
発病:
−一定の時間が経過してから感染ファイルを実行すると、
緑色の青虫が画面上の文字を食いつぶしながら横切る。恒
久的なダメージは与えない。
変種:
1575-B: 機能的には 1575 と同じであるが、以下の点が異
なる。システム・メモリ上部に常駐し、その領域を保護す
る。
1575-C: 1575-Bと同じであるが、実行したファイルに感染
する。更に、DOSのDIRやCOPYコマンドを使用してもファイ
ルに感染する。COMMAND.COMが感染したシステムでは、シス
テムがハングする。
1575-D: 感染ファイルを実行すると、Cドライブのcommand.
comに感染する。その後、システムをCドライブから起動す
ると、ウィルスはメモリに常駐し、COPYコマンドやDIRコマ
ンドを実行する度に、ファイルに感染する。画面上にグラ
フィックの毛虫("caterpillar")が表示されて、スクリ
ーン上の文字を全て食べることから、この変種は "Green
Caterpilllar"とも呼ばれる。
名 称:GROG31
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:1200バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
1)メモリに常駐していなければ常駐する。その後、オリジ
ナルプログラムを実行する。
常駐していればそのままオリジナルプログラムを実行す
る。
2)COMMAND.COMが感染していなければ感染し、その後オリ
ジナルプログラムを実行する。
.EXEには感染しない。
破壊:感染、増殖以外の活動はなし。
使用割り込み命令:INT 21h、INT 24h
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合でも、プログラム実行時に"書
き込み不可"という意味のエラーメッセージを表示しない。
名 称:GROOVE
分 類:ファイル感染型
対 象:.COM;.EXE
ウイルスサイズ:3646〜3708バイト
発祥地:ドイツ
発見日:1992/06
詳 細:感染方法:
1)感染ファイルを実行すると,システムメモリ上位,DOS
の640K境界下に常駐し、割り込み番号21hにフックを掛け
る。
2)常駐後、COMMAND.COMを含む.COMファイルおよび非常に
小さな.EXEファイルの最後にウィルスコ−ドを追加して感
染する。
−感染ファイルのタイムスタンプは感染の日付・時間に変
更される。
−感染ファイルには以下の文字列が含まれるが、通常は暗
号化されていて見えない。
"Don’t wory、 you are not alone at this
hour...
ThisVirus is NOT dedicated to Sara
its dedicated to her Groove (...Thats
my name)
This Virus is only a test Virus there
for
be ready for my Next Test ..."
"C:\NAV_._NO C:\NOVIRCVR.CTS C:\
NOVIRERF.DAT
C:\CPAV\CHKLIST.CPS C:\TOOLKIT\FILES.
LST
C:\UNTOUCH\UT.UT1 C:\UNTOUCH\UT.UT2 C:\
VS.VS"
−上記の二段目のテキストはウィルス作者がターゲットに
した下記のウィルス対策製品のデータファイル名である。
(Symantec社のNorton Anti-Virus、Certus社のNovi、
Central Point Anti-Virus、Dr.Solomon社のAnti-Viral
Toolkit、Fifth Generation Systems社のUntouchable、
XTree社のViruSafe)
これらのデータファイルが存在する場合、ウィルスが破
壊または削除する。
−ウィルスに感染したシステムでは、上記のデータファイ
ルが破壊・削除されるだけでなく、感染プログラムを実行
することが困難になる。感染プログラムは通常、正常に動
作しない。COMMAND.COMが感染すると、起動できない場合が
ある。
備 考:−DAME、Pogue 参照。
−暗号化のためにDark Avenger Mutation Engine (DAME)
を少し改変したバージョンを使用。
名 称:GRUNT2
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:427バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
1)カレントディレクトリ内の未感染.COMファイルを探し出
す。
2)すでにGRUNT2ウイルスに感染していれば未感染の.COMフ
ァイルを探す。
3)一度に 感染するファイルは1つだけ。
4)システムの日付が1993年以降の9月3日であれば発病し、
カレントディスクのファイルをどれか1つ削除して次のよ
うな表示をする。
"S[GRUNT-2] -=> Agent Orange ‘92 <=- Rock of the
Marne Sir!.......".
破壊:システムの日付が1993年以降の9月3日であれば発病
し、カレントディスクのファイルをどれか1つ削除する。
使用割り込み命令:なし
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、プログラム実行時に"書き込
み不可"という意味のエラーメッセージを表示する。
名 称:GRUNT-3
分 類:ファイル感染型
対 象:.COM;.EXE
ウイルスサイズ:473バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
1)暗号化されているウイルスコードを解読し、カレント
ディレクトリ内の未感染.COMファイルを探し出す。
2)次に、未感染.COMまたは.EXEファイルがカレントディ
レクトリまたは親ディレクトリにあり、1993年以降の金曜
日であれば、
"This is a hot LZ ... Eradicating the Enemy!" と表
示するだけで破壊活動は行わない。
それ以外の日であれば、ファイルに1つずつ感染する。
破壊:感染、増殖以外の活動はなし。
備 考:感染ファイルの日付と時刻は変更されない。
名 称:GRUNT-529
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:529バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
1)カレントディレクトリ内の未感染.COMファイルを探し出
す。
2)すでに感染していれば他の未感染ファイルを探す。
3)未感染ファイルがあれば、1つずつ感染する。
4)未感染.COMファイルの有無に関わらず、システムの日付
が 1993年以降の金曜日であれば、以下のメッセージを表示
する。
"Nothing like the smell of napalm in the morning!"
破壊:感染、増殖以外の活動はなし。
使用割り込み命令:なし
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、プログラム実行時に"書き込
み不可"という意味のエラーメッセージを表示する。