名 称:RADYUM
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:448バイト(.COM)
発祥地:不明
発見日:不明
詳 細:感染方法:
1)カレントディレクトリ内の.COMファイルを探し出す。
2)すでに Radyumウイルスに感染していれば他の未感染.
COMファイルを探す。
3)一度に1つのファイルに感染する。
4)最後にオリジナルファイルを実行する。
破壊:感染、増殖以外の活動はなし。
識別方法:感染ファイルは448バイト増加する。
使用割り込み命令:なし
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、
プログラム実行時に"書き込み不可"という意味のエラーメ
ッセージを表示する。
名 称:RAJA.871
別 名:RAJA.871-O
分 類:ファイル感染型
対 象:DOS
ウイルスサイズ:860〜977bytes
詳 細: COMファイルに感染するファイル感染型ウイル
スです。メモリ常駐はせず、感染ファイル実行時に未感染
のCOMファイルを探し出し感染します。ウイルスコードは暗
号化されていますが、ステルス活動は行いません。
このウイルスに感染されたCOMファイルはサイズが900〜
1000バイト増加します。
名 称:REAPER
分 類:ファイル感染型
ウイルスサイズ:1072バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
1)メモリに常駐していなければ常駐する。
2)常駐後、オリジナルファイルを実行する。
3)メモリに常駐し、未感染のファイルが実行される度に感
染する。
破壊:
Reaperウイルスはメモリ常駐後、
システムの日付が各年8月21日であれば発病して"Reaper
Man. (c)92、 Apache Warrior、 ARCV Pres." と表示する。
識別方法:感染ファイルは1072バイト増加する。
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、
プログラム実行時に"書き込み不可"という意味のエラーメ
ッセージを表示する。
名 称:RED_9-1
分 類:ファイル感染型
対 象:.COM、.EXE
ウイルスサイズ:1、451バイト
発祥地:不明
発見日:不明
詳 細:感染方法
感染ファイルを実行するとメモリに常駐し、DOSのload関
数とwrite関数とを書き換える。
そのため、ユーザーが未感染プログラムをロード・実行ま
たはセーブすると、そのプログラムは
ウイルスに感染する。 発病期間に達するまでは、感染以外
の活動は行なわない。
損害
発病期間(9月から12月)において、感染ファイルの
はじめと最後の各10文字を無意味な
文字に置きかえる。
名 称:RED_SPIDER
分 類:システム領域感染型
対 象:.COM;.EXE
ウイルスサイズ:949〜964バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
MCB (memory control block)上位、DOS640k境界下に常駐
する。
.EXEと.COMを実行する度に感染する。
感染ファイルは949〜964バイト増加し、ファイル末尾にウ
イルスコードが含まれる。
−使用可能な空きメモリが976バイト減少する。
−COMMAND.COMが感染した場合、ファイルサイズは変わらな
い。
また感染したCOMMAND.COMから別のファイルへは感染しな
い。
−つぎのような暗号化された文字列がウイルスコードの中
に見られる。
"Red Spider Virus created by Garfield from
Zielona Gora in feb 1993 ......."
使用割り込み命令:INT 21h
備 考:
名 称:REDX
別 名:AMBULANCE CAR
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:796バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
−感染ファイルを実行すると、Cドライブの各ディレクト
リの.COMファイル1個にのみ感染する。
ディレクトリの一番最初の.COMファイルには感染しない。
発病:
−感染ファイルを実行すると、サイレンを鳴らしながら走
る救急車を画面の下部に表示する。
名 称:REDX_1
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:796バイト
発祥地:不明
発見日:不明
詳 細:感染方法:
1)C:ドライブのルートディレクトリから.COMファイルを探
し出す。
2)すでにREDX-1ウイルスに感染していれば他の未感染.COM
ファイルを探す。
3)一度につき2つの.COMファイルに感染する。
4)最後にオリジナルファイルを実行する。
破壊:感染、増殖以外の活動はなし。
識別方法:感染ファイルは796バイト増加する。
使用割り込み命令:なし
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、プログラム実行時に
"書き込み不可"という意味のエラーメッセージを表示す
る。
名 称:REDX-1
分 類:ファイル感染型
対 象: .COM
ウイルスサイズ:796バイト
詳 細:実行手順:
1) C:\ ルートディレクトリの中の.COMファイルを探しま
す。
2) それがREDX-1に感染済みかを確認します。感染済みであ
れば、検索を続けます。
3) ディレクトリ内の2つのファイルに感染します。
4) 最終的に元のファイルを実行しま
ダメージ: なし
検出方法: 感染したファイルは約796バイト増加します。
注 意:
1) メモリに常駐はしません。
2) INT24hをフックしません。I/Oエラーが発生した場合、
エラーメッセージが表示されます。
名 称:REPENT
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:変化なし
発祥地:不明
発見日:不明
詳 細:感染方法:
1)カレントディレクトリ内の.COMファイルを探し出す。
2)すでに感染していれば他の未感染.COMファイルを探す。
3)一度に3つのファイルに感染する。
破壊:オリジナルファイルを上書きするので、ファイルサ
イズは変わらない。
使用割り込み命令:なし
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、
プログラム実行時に"書き込み不可"という意味のエラーメ
ッセージを表示する。
名 称:RIPPER
別 名:JACK RIPPER
分 類:システム領域感染型
対 象:FD:ブートセクタ;HD:マスターブートレコード
ウイルスサイズ:N/A
発祥地:不明
発見日:不明
詳 細:感染方法:
−このウイルスに感染したフロッピーディスクでマシンの
起動動作を行うとハードディスクの
システム領域(マスターブートレコード)に感染する。
−このウイルスに感染したハードディスクでマシンを起動
すると、メモリーに常駐してファイルの
入出力を監視する。その後、書き込み可能なフロッピーデ
ィスクにアクセスすると、そのディスクの
ブートセクタに感染する。
発病:
−ハードディスクへの書き込みを監視し、アトランダムに
(およそ1000回書き込む度1回の割合で)
ライトバッファ内の2ワードをハードディスクに書き込む。
−長期間にわたってこのプロセスを繰り返し、最終的には
ハードディスクを破壊する。
その他:
−メモリ常駐ルーチン部分が暗号化されており、暗号を解
くと以下の文字列とコピーライトを
みることができる。
"FUCK’EM UP ! (C)1992 Jack Ripper"
名 称:RKO-1
分 類:ファイル感染型
ウイルスサイズ:N/A
発祥地:不明
発見日:不明
詳 細:感染方法:
1)システムの日付が各月13日であればハードディスクのデ
ータをすべて破壊する。
それ以外の日であれば、メモリに常駐しているかチェッ
クする。
常駐していなければ常駐する。
2)最後にオリジナルファイルを実行する。
3)メモリに常駐し、未感染のファイルを実行すると感染す
る。
破壊:
システムの日付が13日であればハードディスクのデータを
すべて破壊する。
識別方法:なし
使用割り込み命令:INT 21h、INT 24h
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合でも、
プログラム実行時に"書き込み不可"という意味のエラーメ
ッセージを表示しない。
名 称:RNA#1
分 類:ファイル感染型
対 象:.COM;.EXE
ウイルスサイズ:7296バイト(.COM、.EXE)
発祥地:不明
発見日:不明
詳 細:感染方法:
1)C:ドライブのルートディレクトリから.COMと.EXEファイ
ルを探し出す。
2)前記のファイルがあれば、一度につき前記のファイルを
4つずつ削除する。
3)削除した後、C:ドライブのルートディレクトリに"ZSQA.
TH" というファイルを作成する。
破壊:C:ドライブのルートからファイルを削除する。
識別方法:感染ファイルは7296バイト増加する。
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合でも、
プログラム実行時に"書き込み不可"という意味のエラーメ
ッセージを表示しない。
名 称:RNA#2
分 類:ファイル感染型
対 象:.COM;.EXE
ウイルスサイズ:7408バイト(.COM、.EXE)
発祥地:不明
発見日:不明
詳 細:感染方法:
1)C:ドライブのルートディレクトリから.COMおよび.EXEフ
ァイルを探し出す。
2)前記ファイルがあれば、一度に4つのファイルに感染す
る。
破壊:感染、増殖以外の活動はなし。
識別方法:感染ファイルは7408バイト増加する。
使用割り込み命令:なし
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合でも、
プログラム実行時に"書き込み不可"という意味のエラーメ
ッセージを表示しない。
名 称:ROCKO-1
別 名:NPOX-609
分 類:ファイル感染型
対 象:.COM
ウイルスサイズ:609バイト (.COM)
発祥地:不明
発見日:不明
詳 細:感染方法:
1)メモリに常駐していなければ、最上位メモリに常駐す
る。
2)常駐後、オリジナルファイルを実行する。
3)メモリに常駐し、未感染のファイルが実行される度に感
染する。
破壊:
キーボードを操作するとシステムの日付を参照し、
各月24日であればハードディスクをフォーマットする。
識別方法:感染ファイルは609バイト増加する。
使用割り込み命令:INT 21h、INT 9h
備 考:メディアなどにライトプロテクト(書き込み禁
止処理)が施されている場合、
プログラム実行時に"書き込み不可"という意味のエラーメ
ッセージを表示する。
名 称:ROMEO_JULIET
別 名:TWNO.5248
分 類:ファイル感染型
対 象:.EXE
ウイルスサイズ:5232-5248バイト
発祥地:不明
発見日:1998年中頃
詳 細:-感染方法
実行されると.EXEファイルを探し、上書き感染する。
-損害
感染するとファイルサイズが5232-5248バイト増え、感
染したファイルが実行されると、
以下の文章が表示される。
"Oh Juliet、 where for art thou my dearest love?"
-駆除
上書き感染のため駆除は出来ない。
備 考: ウイルスコードの中に以下の文章が見いださ
れる。
"At last!! I’ve found you my love!.
Romeo
Juliet"
名 称:ROOT-1
別 名:MANGE-TOUT
分 類:ファイル感染型
対 象:.COM;.EXE
ウイルスサイズ:1099バイト
発祥地:香港
発見日:1994/04
詳 細:感染方法:
−このウイルスに感染したファイルを実行するとメモリに
常駐し、そのあとに実行された
ファイルに感染する。
.COMファイルと.EXEファイルに感染する。
−このウイルスは、メモリに常駐してからも暗号化され
る。ウイルスに感染したファイルを
実行された場合とメモリ常駐したあとに割り込み命令が発
生した場合に暗号化を解くという、
強力な暗号化ルーチンを持っている。
発病:
−破壊活動などは行わないものと思われる。
その他:
−このウイルスは特殊なトラップを持っているため、デバ
ッガを使うことができない。
そのため、解析を行うのが非常に難しい。
−他に1,091バイトの亜種ウイルスがある。
名 称:RTINY
別 名:TINY.XXX (XXX = ウイルスサイズ)
分 類:ファイル感染型、メモリ常駐型
対 象:.COM
ウイルスサイズ:数種類ある
詳 細:比較的ファイルサイズが小さいタイプのウイル
ス(100~250バイト)。
実行されたウイルスは割りこみ要求を行い、その後.COMフ
ァイルに感染するように設計
されている。そのとき、感染COMファイルの末尾にはウイル
スコードがコピーされ、冒頭には
末尾へジャンプするように改変される。
このウイルスには数種類の変種があり、それぞれファイル
サイズが異なる。
まだ試験段階にあるウイルスで、大半の変種にはバグがあ
り、作動しない。
とくに、ウイルスコードが割りこみ要求を行なうことはで
きず、そのため、ほかのCOMファイルに
感染することもない。
名 称:RUBBISH
分 類:トロイの木馬型
ウイルスサイズ:14795バイト
発祥地:日本(埼玉)
発見日:1993/08/11
詳 細:−このプログラムは、自分自身をコピーするこ
とにより拡散していく「ワーム」で、
その様子はウィルスと似通っている。
−自分が実行されると、1/2の確率で4096byte以上の破損ク
ラスタをカレントディレクトリに
作成する。
その後、乱数で PATH 及びカレントディレクトリの中から
1つの .EXE ファイルを捜し出し、
可能であれば自分自身を対象と同名で隠し属性の .COM フ
ァイルとしてコピーする。
特徴
・Microsoft Cを使用して作られている。
・自分自身をコピーする際に COMMAND.COM の COPY コマン
ドを使用する。
・不可視属性を付ける時には、外部コマンドの ATTRIB を
使用する。
・ATTRIB コマンドが存在しない場合は、可視の .COM ファ
イルが作成され、
更に、「コマンドまたはファイル名が違います.」などと
表示される。
・ATTRIB コマンドが実行される時の表示はリダイレクトさ
れていないので、
ATTRIB プログラムによっては、画面に変な表示(ATTRIB
プログラムの表示)
が出る。(例:--a-h- a:mifes.com)
・COMSPEC が正常に定義されていない場合は、「ゴミ.毒」
というファイルがカレント
ディレクトリに残る場合がある。
・DOS バージョンが3未満の場合、増殖活動が殆ど行えな
い。
・書き込み禁止のディスクへ増殖しようとした場合、DO
Sのエラーが表示される。
・ファイルの後部に、下記の文字列が見受けられる。
"ゴミ.毒"
"del ゴミ.毒"
"copy %s %s > nul"
"attrib +h %s"