YAN2505A


名  称:YAN2505A

分  類:ファイル感染型

対  象:.EXE;.COM

ウイルスサイズ:2505バイト

発祥地:不明

発見日:不明

詳  細:感染方法:
1)メモリに常駐しているかどうか確認する。 もし常駐していなければ、上位メモリに常駐する。 その後、オリジナルルーチンを実行する。 2)未感染の.COMまたは.EXEファイルが実行される度に感 染する。
使用割り込み命令: INT 21H、INT 24H

破壊: 感染、増殖以外の活動はなし。

識別方法: 感染ファイルは 2505 バイト増加する。

備  考:

YANK-D.TP.44.A


名  称:YANK-D.TP.44.A

別  名:YANKEEDOODLE、 TP44VIR、 FIVE0`CLOCK VIRUS

分  類:ファイル感染型

対  象:.EXE;.COM

ウイルスサイズ:2、885 or 2、899バイト

発祥地:オーストラリア、ブルガリア

発見日:1989/09

詳  細:−常駐型で.COMと.EXEファイルに感染する。
−ブルガリアではTP44VIRとして知られている。 −感染ファイルの増加サイズは2、899byteである。
−常駐してから、17:00になると"Yankee Doodle"をシステ
ムスピーカーから奏でる。 −"Yankee Doodle"を奏でる以外にファイルに感染するだけ で、ダメージは与えない。 −感染ファイルの増加サイズは2、899byteである。 −変種の中にはPing Pongウィルスを探して、100個のファ イルに感染するとPing Pongが自己崩壊するように書き換え てしまう変種がある。
−変種: TP33VIR  :デバッカーで発見されないよう
に、割り込み番号01h、03hを使えないようにする。更にファ イルに感染すると午後5時に"YankeeDoodle"を奏でるよう に変更されている。感染ファイルの最後から2番目のバイ トにウィルスのバージョンナンバーを持つ。この変種の場 合バージョンは"21h"(16 進で33)である。
TP34VIR  :TP33VIRと同じであるが、常駐後に実行
したプログラムに感染する。感染ファイルの最後から 2番目のバイトに"22h"(34)を持つ点 が異なる。
  TP38VIR  :TP34VIRと同じであるが、異なった方法
で.COMと.EXEファイルに感染する。この変種はメモリーに CodeViewがロードされると メモリーから消える。更に、感染ファイルの最後から2番 目のバイトに"26h"(38)を持つ点等が異なる。この変種はブ ルガリアで一番古いウィルス。1988年にブルガ リアで発見され
TP41VIR  :TP38VIRと同じであるが、感染ファイル
の最後から2番目のバイトに"29h"(26)を持つ点が異な る。
TP42VIR  :Vacsinaの変種で、システムにPing Pong
が感染しているかどうかをチェックして、感染してい れば書き換えて無害にしてしまう。 感染ファイルの最後から2番目のバイトに"2Ah"(42)を持 つ。
  TP44VIR  :TP42VIRと同じであるが、感染ファイル
の最後から2番目のバイトに"2Ch"(44)を持つ点が異なる。
TP45VIR  :TP44VIRと同じであるが、感染ファイル
の最後から2番目のバイトに"2Dh"(45)を持つ点が異な る。
TP46VIR :TP45VIRと同じであるが、この変種は
Cascade(1701)を探し発見すると除去してしまう。感染 ファイルの最後から2番目の バイトに"2Eh"(46)を持つ点等が異なる。Yankee Doodle-
1905:TP44VIRより派生。常駐型でCOMMAND.COMを含む.COM
ファイル と.EXEファイルに感染する。割り込み番号1Chと21hにフッ クを掛ける。常駐後トータルシステムメモリと使用可能な フリ−メモリを30、464byte減少させる。 常駐後,実行したファイルの最後にウィルスコ−ドを追加 して感染する。感染後のファイルの増加サイズは1、905byte から1、924byteのあいだである。感染ファ イルは全て最後付近に"Zak!"という文字列を持
発祥地:不明 発見日:1992年7月

Yankee Doodle-2505:TP44VIRより派生。常駐型で,
COMMAND.COMを含む.COMファイルと.EXEファイルに感染す る。割り込み番号 1Chと21hにフックを掛ける。常駐後、ト−タルシステムメ モリと使用可能なフリ−メモリを5、408byte減少させる。常 駐後,実行したファイルの最後にウィルスコ −ドを追加して感染する。感染後のファイルの増加サイズ は2、505byteから2、524byteのあいだである。感染ファイル のタイムスタンプは変更されない。
発祥地:不明 発見日:1992年10

Yankee Doodle-2973:TP44VIRより派生。常駐型で,
COMMAND.COMを含む.COMファイルと.EXEファイルに感染す る。割り込み番号 09h、13h、21hにフックを掛ける。常駐後、ト−タルシステ ムメモリと使用可能なフリ−メモリを3、232byte減少させ る。常駐後,実行したファイルの最後にウ ィルスコ−ドを追加して感染する。感染後のファイルの増 加サイズは2、973byteから2、986byteのあいだである。感染 ファイルのタイムスタンプは変更されない。
発祥地:不明 発見日:1992年10

Yankee Doodle-B:Yankee Doodleと同じであるが、ウィル
スコードサイズが2、772byteである点が異なる。
YD Logon-D :TP44VIRの変種で、サイズは3、045byteか
ら3、060byte。メモリ中のサイズは3、312byteで、割り込み 番号 1Chと21hにフックを掛ける。実行した.COMと.EXEファイル に感染する。感染ファイルには"LOGON.EXE"と"bbug"という 文字列が含まれる。
発祥地:不明 発見日:1992年5月

YD Logon-E :YD Logon-Dより派生。上記ウィルスのマ
イナーバージョン。.COMと.EXEファイルに感染し、感染後 のファイルの増加サイズ は3、045byteから3、060byte。この変種は"LOGIN.EXE"と"bb" という文字列を持つ。
発祥地:不明 発見日:1992年5月

YD Logon-X :TP44VIRより派生。サイズは2、968byteか
ら2、987byteのあいだで、実行した.COMと.EXEファイルに感 染する。プログラムを潰したり、ファイルを上書きする場合 もある。メモリ中のサイズは3、232byteで、割り込み番号 09h、1Ch、21h、28hにフックを掛け
発祥地:不明 発見日:1992年6月

備  考:

YAR.590


名  称:YAR.590

別  名:YARD.590、 YARD-590

分  類:ファイル感染型

対  象:.COM、.EXE

ウイルスサイズ:590バイト

発祥地:不明

発見日:不明

詳  細:感染方法 :
感染ファイルを実行すると、ウイルスは.COMファイルと. EXEファイルを探す。また、ファイルヘッダーをチェック し、感染の有無を判断する。すでに感染しているときは、 再感染することなく別ファイルの検索に移る。 感染したファイルには、その末尾にウイルス自身のコード を書き加え、ファイルヘッダーを変更する。なお、.COMフ ァイルへの感染は、ファイルサイズが64、945バイト以下の ときにだけ起こる。ステルス行動をとらず、フロッピーデ ィスクやハードディスクのブートセクターに感染すること もない。
症状   :
多くのウイルス同様に破壊コードを含まず、自己複製する のみ。また、プログラムのロード時間が長くなる。
備考   :
YAR.590の性質上、感染ファイルを残したままの駆除は不可 能であり、ウイルスを除去するには、すべての感染ファイ ルを削除し、再インストールする必要がある。

YESMILE


名  称:YESMILE

別  名:SMILE、 YEAH、 YESSMILE、 SWILE-B、 CRAZY_NINE

分  類:複合感染型

対  象:HD:マスターブートレコード;.COM;.EXE

ウイルスサイズ:不明

発祥地:不明

発見日:不明

詳  細:感染方法:
1)感染ファイルを実行すると、ハードディスクに感染す る。 2)メモリに常駐していなければ常駐する。 3)未感染ファイルが実行される度に感染する。
破壊:感染時にスピーカーから笑い声を流すことがある。
− ウイルスのステルス活動により、ウイルスのメモリ常 駐時には感染ファイルやMBRからウイルスコードを発見でき ない
備  考:

YONYU


名  称:YONYU

別  名:QUOX、 STEALTH 2

分  類:システム領域感染型

対  象:FD:ブートセクタ;HD:マスターブートレコード

ウイルスサイズ:N/A

発祥地:タイ

発見日:1992/07

詳  細:感染方法:
−このウイルスに感染したフロッピーディスクでマシンの 起動動作を行うとハードディスクのシステム領域(マスタ ーブートレコード)に感染する。 −このウイルスに感染したハードディスクでマシンを起動 すると、メモリーに常駐してファイルの入出力を監視す る。その後、書き込み可能なフロッピーディスクにアクセ スする と、そのディスクのブートセクタに感染する。
発病:
−特にウイルス自身による破壊活動はないものと思われ る。 −ウイルスがメモリに常駐していない状態では、感染した フロッピーディスクの内容にアクセスできない場合がほと んどである。
その他:
−ウイルスのステルス行動によりウイルス常駐時にブート レコードの内容にアクセスしても感染前の情報が得られ る。 −メディアなどにライトプロテクト(書き込み禁止処理) が施されている場合でも、プログラム実行時に"書き込み不 可"という意味のエラーメッセージを表示しない。
備  考:「QUOX」で検出される。