HOME >> 情報セキュリティ >> ウイルス対策 >> IPAに届けられたウイルスの概要

IPAに届けられたウイルスの概要

2012年 5月 9日現在

独立行政法人 情報処理推進機構
セキュリティセンター(IPA/ISEC)

( )は日本語表記 (ABC順)

1554(イチゴウゴウヨン)

常駐型ウイルスでCOM、EXEファイルに感染する。感染ファイルは1,544〜1,569バイト増加する。
このウイルスは9月〜12月に発病する。
ファイルの更新時に10バイトずらして書き込みが行われるため最初の10バイトが消失し、最後の10バイトにゴミが追加され、ファイルが破壊される。
メモリの内容を上書きするため、システムがハングアップする場合がある。

1575(イチゴウナナゴウ)

常駐型ウイルスでCOMMAND.COMを含むCOMとEXEファイルに感染する。
常駐時にプログラムを実行しても、そのファイルには感染しないが、DOSの「dir」または「copy」コマンドを実行すると、COMとEXEファイルに感染し、感染ファイルのタイムスタンプが感染日に変更される。

15years(フィフティーンイヤーズ)

このウイルスは、常駐型でディスクのブートセクタに感染する。感染したディスクを起動するとウイルスはメモリに常駐する。
メモリに常駐したウイルスは、ディスクアクセスを監視し、アクセスしたディスクに感染する。
4月7日にこのウイルスに感染しているディスクからコンピュータを起動すると発病し、以下のメッセージを表示しディスクを破壊する。

Esto te pasa por programas que a nosotros nos cuesta
tanto trabajo hacer.
Que te quede de Experiencia, Mexico,1994

3445(サンヨンヨンゴウ)

常駐型でCOM、EXEファイルに感染する。また、マスターブートレコードに「アンチテレフォニカ」を感染させる。
IBM-PC及びその互換機にしか感染しない。

3783(サンナナハチサン)

このウイルスは、常駐型でCOM、EXEファイル、ディスクのブートセクタに感染する。感染したファイルを実行するとメモリに常駐する。
メモリに常駐したウイルスは、ファイルの実行を監視し、実行したファイルと、そのファイルがあるディスクのブートセクタに感染する。
ウイルスが常駐している状態では、ファイルのサイズを見ても、感染前のものを表示する。(ステルス型)
このウイルスは感染するだけで発病はしない。

4096(ヨンゼロキュウロク)

常駐・ステルス型でCOM、EXE、OVLファイルに感染する。感染ファイルの増加サイズは4,096バイトである。
常駐時に、ウイルスがFATを書き換えて、ファイルを破壊する。感染しているシステムは毎年9月22日以降に、ハングアップしてしまう。
データファイルにも感染する場合があり、その時は、データファイルが破壊されてしまう。
感染したファイルはタイムスタンプが100年分大きくなる。

64(ロクヨン)

常駐型でCOM、EXEファイルに感染し、1,831バイト〜1,845バイトファイルを増加させる。常駐するとメモリが2048バイト減少する。
発病すると1991年以降の毎年6月4日以降に天安門事件に関連した英文メッセージ
「Eternal glory to those Chinese people who fell in 1989,in the noble・・・(以下省略)」を表示する。
また、年号・日付に関係なく、突然メッセージを表示したり、環境条件(使用しているメモリの状態)により暴走することがある。


ABCD(エイビーシーデー)

このウイルスは、常駐型でディスクのブートセクタに感染するウイルスである。
感染したディスクで起動すると ウイルスはメモリに常駐する。
ウイルスが常駐した状態でアクセスされたフロッピーディスクに感染する。
IBM機及びIBM互換機以外での感染はない。
ハードディスクに感染した際に、パーティションテーブルを移動させるので、FDISKによるウイルス駆除を行おうとするとディスク内容が失われる。
また、システムフロッピーで起動すると、ハードディスクが認識不可能になる。
通算200回起動すると、ハードディスクのマスタブートセクターの内容を無意味な内容で上書きし、起動不可能にする。

ABRAXAS(アブラクサス)

このウイルスは、非常駐型でEXEファイルに感染する。感染したファイルは完全にこのウイルスと同一内容に書き換えられてしまう。(ファイルサイズも同一になる)
感染ファイルを実行すると、最初に見つけたEXEファイルに感染し、画面にカラーの修飾文字で、下記メッセージを表示する。

「I AM THE EDWIN CLETON VIRUS... AND I LOVE A GOOD HARD DRIVE ..Ahhhh!
Get a ROD just thinking about it!」

Aids(エイズ)

このウイルスは、常駐型でディスクのブートセクタに感染するウイルスである。
感染したディスクで起動すると ウイルスはメモリに常駐する。
ウイルスが常駐した状態でアクセスされたフロッピーディスクに感染する。
IBM機及びIBM互換機以外での感染はない。
ハードディスクに感染した際に、パーティションテーブルを移動させるので、FDISKによるウイルス駆除を行おうとするとディスク内容が失われる。
また、システムフロッピーで起動すると、ハードディスクが認識不可能になる。
通算200回起動すると、ハードディスクのマスタブートセクターの内容を無意味な内容で上書きし、起動不可能にする。

Your COMputer is infected with ...
@ Aids Virus II @
- Signed WOP & PGT of DutchCrack -

オリジナルのEXEが終了すると以下のメッセージを表示する。

Getting used to me ?
Next time Use a Condom .....

Aircop(エアーコップ)

IBM-PC及びその互換機で感染する。常駐型でフロッピィディスクのブートセクターに感染する。
感染回数をカウントしており、感染回数が8の倍数になると、発病し、画面にメッセージ 「.RED STATE Germ offensing --Aircop」を表示する。
感染が行われると、対象フロッピーディスクのブートセクタを強制的に書き換えるため、システムが起動できなくなる場合がある。

ALBANIA(アルバニア)

このウイルスは、非常駐型でCOMファイルに感染する。感染したファイルを実行すると、環境変数「PATH=」に設定されたディレクトリを検索し最初に見つけたCOMファイルに感染する。
そのファイルが既に自分自身によって感染している場合は、再度検索して次のCOMファイルに感染する。
このウイルスは、感染するだけで発病はしない。

AndroidOS/Adware(アドウェア) 2012年08月03日公開

このウイルスは、モバイル端末用のAndroidOSを感染対象としたウイルスです。
感染すると、ポップアップ広告を表示し、モバイル端末の情報を収集して外部に情報を送信します。

AndroidOS/Bgserv(ビージーサーブ) 2012年12月01日公開

このウイルスは、モバイル端末用のAndroidOSを感染対象としたウイルスです。
感染すると、モバイル端末の情報を収集して外部に情報を送信します。また攻撃者は、感染したモバイル端末より SMSメッセージ(※)の送信を試みます。
(※ 携帯端末同士で、短い文章のメールを送受信できるサービス)

AndroidOS/Fakeflash(フェイクフラッシュ) 2012年08月03日公開

このウイルスは、モバイル端末用のAndroidOSを感染対象としたウイルスです。
感染すると、偽のアプリケーションをインストールし、利用者を意図しないウェブサイトへ誘導します。

AndroidOS/Fakeinst(フェイクインスト) 2012年05月07日公開

このウイルスは、モバイル端末用のAndroidOSを感染対象としたウイルスです。
このウイルスは、利用者が有益なアプリケーションと思い込み、インストールすることで感染します。
感染すると、モバイル端末の情報を盗み取って外部に情報を送信したり、プレミアムSMSメッセージ(※)を送信したりします。
(※ 送信先が利益を得ることができる、有料のショートメッセージサービス)

AndroidOS/Ginmaster(ジンマスター) 2013年05月09日公開

このウイルスは、モバイル端末用のAndroidOSを感染対象としたウイルスです。
感染すると、モバイル端末のroot権限(※1)を取得され、利用者に気づかれずにアプリケーションをインストールしたり、モバイル端末の情報を盗み取り、外部に情報を送信したりします。
また、受信したSMSメッセージ(※2)を、外部のサーバーに送信します。
このウイルスは、利用者が故意にインストールしない限り、感染することはありません。
(※1 管理者権限のこと。この権限を取得されると、モバイル端末の保護機能が破られてしまいます。)
(※2 携帯端末同士で、短い文章のメールを送受信できるサービス)

AndroidOS/Lightdd(ライトディーディー) 2011年07月05日公開

このウイルスは、モバイル端末用のAndroidOSを感染対象としたウイルスです。
感染すると、モバイル端末の情報を盗み取り、外部に情報を送信します。

AndroidOS/Lotoor(ロトール) 2011年04月06日公開

このウイルスは、モバイル端末用のAndroidOSを感染対象としたウイルスです。
Webサイトからダウンロードすることにより感染し、モバイル端末に保存されている情報を収集したり、外部に情報を送信するといった機能を有しています。

AndroidOS/Nickispy(ニッキスパイ) 2013年05月09日公開

このウイルスは、モバイル端末用のAndroidOSを感染対象としたウイルスです。
感染すると、GPS情報や電話をかけた際の通話内容の記録、受信トレイおよび送信トレイ内のテキストメッセージを収集し、外部に情報を送信します。

AndroidOS/Pjapps(ピージャップス) 2013年05月09日公開

このウイルスは、モバイル端末用のAndroidOSを感染対象としたウイルスです。
感染すると、モバイル端末の情報を収集して外部に情報を送信したり、SMSメッセージ(※)の送信を試みます。
また、バックドアを設定して外部からのコマンドを受け付けるようになります。
(※ 携帯端末同士で、短い文章のメールを送受信できるサービス)

AndroidOS/Rootcage(ルートケージ) 2011年12月05日公開

このウイルスは、モバイル端末用のAndroidOSを感染対象としたウイルスです。
感染すると、モバイル端末のroot権限(※)を取得され、モバイル端末の情報を盗み取り、外部に情報を送信します。
(※ 管理者権限のこと。この権限を取得されると、モバイル端末の保護機能が破られてしまいます。)

AndroidOS/Rooter(ルーター) 2012年01月06日公開

このウイルスは、モバイル端末用のAndroidOSを感染対象としたウイルスです。
感染すると、モバイル端末のroot権限(※)を取得され、モバイル端末の設定を勝手に変更されてしまう可能性があります。
(※ 管理者権限のこと。この権限を取得されると、モバイル端末の保護機能が破られてしまいます。)

AndroidOS/Smspacem(エスエムエスパーセム) 2011年07月05日公開

このウイルスは、モバイル端末用のAndroidOSを感染対象としたウイルスです。
感染すると、モバイル端末内のアドレス帳の連絡先に、SMSメッセージ(※)の送信を試みます。
(※ 携帯端末同士で、短い文章のメールを送受信できるサービス)

AndroidOS/Smssend(エスエムエスセンド) 2012年03月05日公開

このウイルスは、モバイル端末用のAndroidOSを感染対象としたウイルスです。
感染すると、モバイル端末内のアドレス帳の連絡先に、SMSメッセージ(※)の送信を試みます。
(※ 携帯端末同士で、短い文章のメールを送受信できるサービス)

AndroidOS/Smstibook(エスエムエスティブック) 2011年07月05日公開

このウイルスは、モバイル端末用のAndroidOSを感染対象としたウイルスです。
感染すると、事前に設定された番号に、プレミアムSMSメッセージ(※)の送信を試みます。
(※ 送信先が利益を得ることができる、有料のショートメッセージサービス)

AndroidOS/Walkinwat(ウォークインワット) 2011年09月05日公開

このウイルスは、モバイル端末用のAndroidOSを感染対象としたウイルスです。
感染すると、モバイル端末内のアドレス帳の連絡先に、「私は海賊版をダウンロードした」旨のSMSメッセージ(※)の送信を試みます。さらに、モバイル端末の情報を盗み取り、外部に情報を送信します。
(※ 帯端末同士で、短い文章のメールを送受信できるサービス)

Angelina(アンジェリーナ)

このウイルスは、常駐型でディスクのブートセクタに感染する。感染したディスクを起動するとウイルスはメモリに常駐する。
メモリに常駐したウイルスは、ディスクアクセスを監視し、アクセスしたディスクに感染する。
このウイルスは感染するだけで発病はしない。

ANTI(アンチ)

マッキントッシュのウイルス。システムファイルには感染せず、アプリケーションファイルに感染する。
また、アプリケーションに似たファインダー等のファイルにも感染する。アプリケーションが実行されなくても感染する可能性がある。
文字列ANTIがウイルス内にあるのでその名前が付けられた。ANTI-AとANTI-Bの2つの亜種がある。
アプリケーションには、なにもしないはずであるが、二次的な要因でクラッシュすることがある。

Anti-CMOS(アンチシーモス)

常駐型でブートセクタに感染する。IBM-PC及び互換機で感染したディスクを起動するとウイルスはメモリに常駐する。メモリに常駐したウイルスは、ディスクアクセスを監視し、アクセスしたディスクへ感染する。
IBM-PC及びその互換機以外のシステムディスクに感染するとそのディスクは起動不可能になる。
このウイルスに感染したデータディスクから起動すると暴走する。(コンピュータ内のCMOSを破壊するような命令が存在することからこの名前が付けられたがその命令は動作しない)

Anti-TELEFONICA(アンチテレフォニカ)

ブートセクタ感染型で、システム起動時に常駐する。
発病は感染システムで400回起動をかけた時、ディスクの大部分が無意味なデータが書き込まれ破壊される。

Argentina(アルゼンティーナ)

非常駐型でCOMファイルに感染する。感染したファイルを実行するとウイルスがメモリに常駐する。
COMファイルを実行すると、そのファイルに感染する。5月25日、6月20日、7月9日、 8月17日にファイルを実行すると(感染ファイルに関わらず)、「(前略)Argentina Virus escrito por AfA - Virus benigno - ENET 35 pulse una tecla para continuar...」と表示する。

AutoStart9805(オートスタートキュウハチゼロゴウ)

このウイルスは、PowerPC搭載のMac機で動作するウイルスである。HFS(*)または、HFSPlus形式のディスクボリュームに侵入し、そこから感染を広げる。
ウイルスに感染しているボリュームをマウントすると、QuickTimeの自動再生機能により、ルートディレクトリィにある、 "DB"という名前のウイルスプログラムを実行する。ウイルスは機能拡張フォルダに"Desktop Print Spooler"という名前で 自分自身の複製を作成し、コンピュータを再起動する。再起動後、30分毎にマウントされている全てのボリュームを検索し感染を試みる。
また、「.dat」、「.cod」、「.csa」、「.data」で終わるファイルのデータを破壊しようとする。
(* HFS:Hierarcy File System)

Azusa(アズサ)

常駐型でFDのブートセクター、HDのパーティションテーブルに感染する。
HDの場合パーティションテーブルは破壊され、FDの場合データあるいはプログラムが破壊される可能性がある。


B1(ビーワン)

このウイルスは、常駐型でディスクのブートセクタに感染する。感染したディスクを起動するとウイルスはメモリに常駐する。
メモリに常駐したウイルスは、ディスクアクセスを監視し、アクセスしたディスクに感染する。
このウイルスが常駐している状態で感染ディスクの感染セクタの内容を確認しても感染前の内容が表示される。(ステルス型)
このウイルスは、感染するだけで発病はしない。

Barrotes(バロッテス)

このウイルスは、常駐型でCOM、EXEファイルに感染する。感染したファイルを実行するとウイルスはcドライブのCOMMAND.COMに感染し、メモリに常駐する。
メモリに常駐したウイルスは、ファイルの実行を監視し、実行されたファイルに感染する。
このウイルスは、1月5日に感染ファイルを実行すると画面の左上に、「Virus BARROTES por Osoft」と表示して、画面全体に8本の柱のようなものを点滅表示し、ハードディスクの内容を破壊する。

Beijing(ベイジン)

このウイルスは、常駐型でディスクのブートセクタに感染する。感染したディスクを起動するとウイルスはメモリに常駐する。
メモリに常駐したウイルスは、ディスクアクセスを監視し、アクセスしたディスクに感染する。
このウイルスは発病しないが、感染時にディスクの内容を破壊することがある。

Bloody(ブラッディ)

常駐型でブートセクタに感染する。感染したディスクを起動するとウイルスはメモリに常駐する。
メモリに常駐したウイルスは、ディスクアクセスを監視し、アクセスしたディスクへ感染する。
また、起動回数が、128回になると発病し、メッセージ「Bloody! Jun. 4, 1989」を表示する。 その後は、起動6回毎に発病する。

Boot(ブート)

常駐型でブートセクタに感染する。IBM-PC及び互換機で感染したディスクを起動するとウイルスはメモリに常駐する。
メモリに常駐したウイルスは、ディスクアクセスを監視し、アクセスしたディスクへ感染する。IBM-PC及びその互換機以外のシステムディスクに感染するとそのディスクは起動不可能になる。
1.44Mや1.2Mのフロッピィディスクに感染した場合は、データ領域が破壊される。

BOOT437(ブートヨンサンナナ)

このウイルスは、常駐型でディスクのブートセクタに感染する。感染したディスクを起動するとウイルスはメモリに常駐する。
メモリに常駐したウイルスは、ディスクアクセスを監視し、アクセスしたディスクに感染する。
発病機能は認められない。

BOOTEXE(ブートエグゼ)

このウイルスは、常駐型でディスクのブートセクタ及びEXEファイルに感染する。感染したディスクの起動又は感染したEXEファイルを実行するとウイルスはメモリに常駐する。
メモリに常駐したウイルスは、ディスクアクセス又はEXEファイルの実行やコピーを監視し、アクセスしたディスク又は実行やコピーしたEXEファイルに感染する。
このウイルスは感染するだけで発病はしない。

Burger.560(バーガー.ゴウロクゼロ)

このウイルスはメモリに常駐することなく、実行された段階で他のファイルを検索して感染する非常駐型ウイルスである。また、完全に宿主ファイルを上書きし破壊する。
ウイルスは実行されると、カレントドライブ・ルートディレクトリのファイルを検索し、拡張子が「.COM」のファイルを検索して、最初に見つかった未感染のファイルに上書き感染する。その後、寄生宿主のファイルを実行することなく、暴走する。

Burglar(バーグラー)

このウイルスは常駐型でEXEファイルに感染する。ウイルスが常駐しているとき、EXEファイルにアクセスするとそのファイルに感染する。
システム時計が14分の時に感染すると発病し、画面に”Burglar/H”と点滅表示しながら感染ファイルを破壊する。
このウイルスが常駐している状態で感染ファイルの内容を確認しても感染前の内容が表示される。(ステルス型)
ファイル名に「V」か「S」が含まれているファイルには感染しない。

Bye(バイ)

このウイルスは、常駐型でディスクのブートセクタに感染するウイルスである。
感染したディスクで起動すると ウイルスはメモリに常駐する。ウイルスが常駐した状態でアクセスされたフロッピディスクに感染する。
IBM機特有の割り込み処理を使用しているため、IBM機及びIBM互換機以外での感染はない。
発病すると、コンピュータ起動時に「Bye by C&C」と表示しハングアップする。ただし、発病条件の判定部分のデータが一部壊れているため、発病する可能性は低い。


Cansu(カンス)

ブートセクタ感染型で、システム起動時に常駐、感染する。
32回感染すると画面にV型のブロックキャラクタを表示して、システムをハングアップさせる。

Cascade(1701)(カスケード(1701))

常駐型でCOMファイルに感染する。システムの日付が1988年10月〜12月になると画面上の文字を滝のように落とす。
この現象は、IBM機及びその互換機でみられ国産MS-DOSの場合には、暴走する。

Cascade(1704)(カスケード(1704))

カスケード(1701)の亜種である。
このウイルスは、1701を純正のIBM機には感染しない様に変更しただけで、発病等は、同じである。

Cascade-B(カスケード-ビー)

カスケード(1704)の亜種である。常駐暗号化型で実行ファイル(COMファイル)に感染する。
カスケードと同じだが、文字落下は起こさず、代わりに常駐時に不規則なリブートを掛ける。
このウイルスは純正のIBM機には感染しない。

Casper(キャスパー)

このウイルスは非常駐型で、COM型ファイルに感染する。ウイルスに感染しているファイルを実行すると、カレントドライブを検索し、最初に発見したCOM型ファイルに感染する。
感染したファイルはファイルサイズが1,200バイト増加する。
4月1日に感染ファイルを実行すると感染ファイルを実行したドライブの最初のトラックを上書きして破壊する。

CDEF(シーデフ)

マッキントッシュのDeskTopファイルに感染する。
感染方法、感染力はWDEFウイルスと類似していて、ウイルスに感染したプログラムを実行しなくても、感染したボリューム(FD、HD、MO、CD-ROM、公開フォルダ、その他)をマウントするだけで本体のハードディスクに感染する。
CDEF自体は感染を繰り返すだけで何もしない。

Changsha(チャンシャ)

常駐型でブートセクターと拡張子の最後の文字がMまたはEのファイルに感染する。
毎週日曜日にキー入力を妨害することがある。
また、毎年5月4日に実行・検索したファイルを削除するとともに英語メッセージ 「XqR:Wherever,I love you Forever and ever ! ・・・・・・・(略)」を表示する。

Christmas worm(クリスマスワーム)

コンピュータの電子メールシステムを利用したワームで、メールリストにある宛先にプログラム自身をメールとして発送する。クリスマスツリーの絵を表示する。
ユーザーが実行した時に以上の動作をするため、12月24・25日以外の時期にも動作する。

Cracky(クラッキー)

常駐型でCOMファイルに感染する。感染したファイルを実行するとメモリに常駐し、アクセスしたディスク内のCOMファイルに感染する。
2時から24時に「Cracky]と意味不明な文字を表示してハングアップする。

Crazy Boot(クレイジーブート)

このウイルスは、常駐型でディスクのブートセクタに感染する。感染したディスクを起動をするとウイルスはメモリに常駐する。
ウイルスがメモリに常駐しているときディスクアクセスするとアクセスしたディスクに感染する。
感染してないフロッピィディスクから起動した場合、Cドライブ(第0HD)にアクセスが出来なくなる。
このウイルスは内部にカウンタを持っており、起動又はディスク読み出し毎に1ずつカウントをする。カウンタが8995回になるとビープ音をならし、「Don't PLAY with the PC ! Otherw ise you will get in 'DEEP DEEP' trouble !... Crazy Boot Ver. 1.0」を表示する。

Cvex3(シーベックススリー)

このウイルスは、常駐型でCOM、EXEファイルに感染する。感染したファイルを実行するとウイルスはメモリに常駐する。
メモリに常駐したウイルスは、プログラムの実行を監視し、実行されたファイルに感染する。
このウイルスは、感染するだけで発病はしない。


D3(ディースリー)

常駐型でブートセクタに感染する。IBM-PC及び互換機で感染したディスクを起動するとウイルスはメモリに常駐する。
メモリに常駐したウイルスは、ディスクアクセスを監視し、アクセスしたディスクへ感染する。
IBM-PC及びその互換機以外のシステムディスクに感染するとそのディスクは起動不可能になる。
ウイルスがメモリに常駐しているときにEXEファイルを実行すると暴走する場合がある。

DAboys(ディーエーボーイズ)

このウイルスは、常駐型でディスクのブートセクタに感染する。感染したディスクを起動するとウイルスはメモリに常駐する。
メモリに常駐したウイルスは、ディスクアクセスを監視し、アクセスしたディスクに感染する。
このウイルスは感染するだけで発病はしない。

DarkAvenger(ダークアベンジャー)

常駐型でCOM、EXE、OVLファイルに感染する。
感染ファイルを16回起動する毎に、ディスクのランダムな場所にIPLの内容を上書きする。

DH2(ディーエイチツー)

このウイルスは、常駐型でCOM、EXEファイルに感染する。感染したファイルを実行するとウイルスはメモリに常駐し、CONFIG.SYSで指定されたCOMMAND.COMに感染する。
メモリに常駐したウイルスは、プログラムの実行、ファイルのオープン・クローズを監視し、プログラムの実行、ファイルのオープン・クローズしたファイルに感染する。火曜日の3日、11日、15日、28日に発病し、ファイルの書き込みが出来なくなる。
また、ウイルスが常駐している状態で「.ASM」、「.PAS」をオープンするとそのファイルを破壊する

Dinamo(ダイナモ)

このウイルスは、常駐型でディスクのブートセクタに感染する。感染したディスクを起動するとウイルスはメモリに常駐する。
メモリに常駐したウイルスは、ディスクアクセスを監視し、アクセスしたディスクに感染する。
感染したディスクからシステムを起動したとき、ウイルスが感染の際に保存したオリジナルのブートセクターの内容が壊れていると発病し、次のメッセージを表示する。

Dinamo(Kiev)-champion !!!

DirII(ディアイアールツー)

常駐型でCOM、EXEファイルに感染する。「DIRコマンド」、「COPYコマンド」、プログラムの実行、ファイルのオープンで、ディレクトリ配下のいくつかのファイルに同時に感染する。
ウイルスが感染したファイルの管理情報はウイルスにより破壊される。

Dir-Byway(ディーアイアール バイウェイ) 2011年05月09日公開

このウイルスは、HDD内のクラスタに感染する。
感染すると、画面上にメッセージの表示や音楽を流す。

DiskWasher(ディスクウォッシャー)

常駐型でブートセクタに感染する。IBM-PC及び互換機で感染したディスクを起動するとウイルスはメモリに常駐する。
メモリに常駐したウイルスは、ディスクアクセスを監視し、アクセスしたディスクへ感染する。IBM-PC及びその互換機以外のシステムディスクに感染するとそのディスクは起動不可能になる。
ウイルスが常駐後ディスクBIOSが50000回呼ばれると「From DiskWasher with love」とメッセージを表示しディスクを破壊する。

Diskkiller(ディスクキラー) 2011年05月09日公開

このウイルスはHDDのブートセクタに感染する。
感染すると、HDD内のデータ全てを暗号化してしまう。

Dosver(ドスバー)

このウイルスは、常駐型でCOM、EXEファイルに感染する。感染したファイルを実行するとウイルスはメモリに常駐する。
メモリに常駐したウイルスは、プログラムの実行を監視し、実行されたファイルに感染する。
このウイルスに感染したファイルを実行すると暴走をすることがある。 このウイルスが常駐している状態で感染ファイルの大きさを確認しても感染前の内容が表示される。(ステルス)
このウイルスは、感染するだけで発病はしない。

DSME Connie(ディーエスエムコニー)

このウイルスがメモリに常駐している状態で、COMファイルを実行やコピーするとそのファイルに感染する。
このウイルスは、感染するだけで発病はしない。


EXEbug(エグゼバグ)

このウイルスは、常駐型でディスクのブートセクタに感染する。感染したディスクを起動するとウイルスはメモリに常駐する。
メモリに常駐したウイルスは、ディスクアクセスを監視し、アクセスしたディスクに感染する。
このウイルスが常駐している状態で感染ディスクの内容を確認しても感染前の内容が表示される.(ステルス型)
ハードディスクに感染するとハードディスクからシステムが起動できないことがある。また、フロッピーディスクからシステムを起動した場合ハードディスクが読み書きできなくなることがある。
このウイルスは発病しない。


Fat Avenger(ファットアベンジャー)

このウイルスは、常駐型でディスクのブートセクタに感染する。感染したディスクを起動するとウイルスはメモリに常駐する。
メモリに常駐したウイルスは、ディスクアクセスを監視し、アクセスしたディスクに感染する。
このウイルスは発病しないが、感染時にディスクの内容を破壊することがある。

Finnish-709(フィニッシュ−ナナゼロキュウ)

常駐型でCOMファイルに感染し、709バイトファイルサイズを増加させる。ウイルスは、実行したプログラムや、コピーされるプログラムなどに感染する。
ウイルスに感染すると暴走や、ハングアップなどによりシステムが正常に動作しなくなることがある。

Flip(フリップ)

常駐型ウイルス。COMMAND.COMを含むCOM、EXEファイルに感染し、2,153 バイトファイルサイズを増加させる。常駐するとメモリが2,672バイト減少する。ハードディスクのパーティションテーブルを書き換えるため、アロケーションエラーや、データファイルの破壊が起こる。
発病はシステムを毎月2日に立ち上げた場合で、10:00〜10:59にディスプレイ表示を天地逆さまにする。この状態は電源をOFFにするまで継続される。また、この時はメモリが7,168バイト減少する。
IBM-PC及びその互換機で発病し、NEC-PC98及びその互換機では感染だけ行われる。

Form(フォーム)

常駐型でHD、FDのブートセクターに感染する。
毎月24日になるとクリック音がシステムスピーカーから出る。

FrereJacques(フレアジャックス)

エルサレムBウイルスの亜種である。常駐型で、COM、EXEファイルに感染する。
感染ファイルはCOMファイルの場合1,813バイト、EXEファイルの場合1,808〜1,823 バイト増加する。但し、COMMAND.COMには感染しない。EXEファイルには再感染する。
毎月13日か金曜日に「Frere Jacques」を演奏する。
ウイルスが感染しようとするとプログラムが破壊される場合がある。

FreeBSD/Scalper(スカルパー)

このウイルスは、Apacheの脆弱性を利用して感染を拡げるワームである。
セキュリティホールのあるシステムに侵入すると、バックドアプログラムをインストールする。次にインターネット上のセキュリティホールのあるApacheサーバを検索し、発見すると侵入を試みる。


GANEU(ガニュー)

常駐型でCOM、EXEファイルに感染する。感染したファイルを実行すると、メモリに常駐する。
ウイルスがメモリに常駐しているときにファイルを実行すると、カレントディレクトリのファイルを検索し感染していないCOM、EXEファイルに感染する。
感染したファイルを5月17日に実行すると「Beware of the BUG!!!」と表示しハングアップする。

Genesis(ジェネシス)

このウイルスは、非常駐型でCOMファイルに感染する。感染したファイルを実行するとディスク内の3つのCOMファイルに感染する。
このウイルスは感染するだけで発病はしない。


Helloween(1376)(ハロウイン(1376))

常駐型でCOMMAND.COMを除くCOM、EXEファイルに感染する。感染したファイルは1,376バイトファイルサイズが増加する。
感染したプログラムを11月1日に実行した場合、チェコ語のメッセージ

Nesedte porad u pocitace a zkuste je dnoudelat neco rozumneho!

*******************

!! Poslouchejte HELLOWEEN - nejlepsi metalovou skupinu !!
(コンピュータのところにいるな、ましなことをしたらどうだ。)

を表示する。
IBM機とその互換機のみで発病する。

Hellraiser(ヘルレイザー)

このウイルスは、非常駐型でEXEファイルに感染する。このウイルスに感染しているファイルを実行すると、2つ目以降のディレクトリから、拡張子が「EXE」のファイルを検索し、最初に発見した未感染のファイルに上書き感染する。感染したファイルは、上書き感染されるため、オリジナルファイルの内容が破壊される。
25日以降の金曜日に感染ファイルを実行すると画面モードにより次の処理を行う。
テキストモードの場合
ハードディスクの一部分をフォーマットして破壊する。機種により破壊されない場合もある。

その他の画面モードの場合
画面に次のメッセージを点滅表示する。(AT互換機の英語モードでのみ表示する)

I'll be back...

H   E   L   L   R   A   I   S   E   R

Hidenowt(ハイドナウト)

このウイルスは、常駐型でCOM、EXEファイルに感染する。感染したファイルを実行するとウイルスは、CドライブのCOMMAND.COMに感染し、メモリに常駐する。
メモリに常駐したウイルスは、「DIRコマンド」を監視し、「DIRコマンド」を使用するとファイルに感染する。
感染ファイルを破壊するバグがあるため、ほとんどの感染ファイルは、実行すると暴走する。
また、ウイルスがメモリに常駐している状態では、感染ファイルのサイズを確認しても感染前の内容が表示される。(ステルス型)

HLLP.RNA.7408(エイチエルエルピー・アールエヌエイ.7408)

非常駐型で、COM、EXEファイルに感染する。感染したファイルを実行するとウイルスがシステム内のCOM、EXEを探し、最初に見つかったファイルに感染する。
このためコンピュータの処理速度が一時的に遅くなる。

Holiday(ホリデー)

このウイルスは、常駐型でCOM、EXEファイルに感染する。感染したファイルを実行するとウイルスはメモリに常駐する。
メモリに常駐したウイルスは、プログラムの実行を監視し、実行されたファイルに感染する。
毎年3月3日にファイルを実行すると、「ATTENTION! I'm very sorry. today is my holiday.(略)」を表示する。翌日まで、電源を入れ続けた場合、さらに「Thank You for playing,see you... Please,hit ENTER!」を表示しリターンキー入力を要求してくる。リターンを押すと再起動される。

Holiday-B(ホリデービー)

このウイルスはメモリに常駐し、COM型実行ファイルとEXE型実行ファイルに感染するウイルスである。
このウイルスは「Holiday」ウイルスの変種にあたり、日常的に発病するキー入力の妨害処理が書き加えられている上、DOSシステムがバージョン3よりも古い場合には感染を取り止める点が異なっている。
ウイルスがメモリに常駐してから、キーが50回押される毎に1回発病し、押したキーの情報を無視し、そのキーが押されなかったことにしてオペレーションを妨害する。
ウイルスがメモリに常駐している状態で、3月 3日にファイルを実行すると発病し、「ATTENTION! I'm very sorry. today is my holiday.(略)」を表示して、ハングアップ状態になる。


INIT29(イニット29)

マッキントッシュのウイルス。アプリケーションファイルやシステムファイルだけでなく文書ファイルにも感染する。
感染は汚染しているマシンにディスクを挿入しただけで起こる。この時フロッピーディスクにライトプロテクトが施されていると、「The disk xxxxx needs minor repairs」(ディスクxxxxxは修復が必要です)、「Do you want to repair it.」(修復しますか。) のメッセージが表示される。
INIT29自体は感染のみ行うが、印刷がうまくいかなかったり、システムのクラッシュなどが起こったりする場合がある。

Invader(インベーダー)

常駐型ウイルス。実行ファイル(COMおよびEXEファイル)に感染するがCOMMAND. COMには感染しない。


J&M(ジェイアンドエム)

このウイルスは、常駐型でディスクのブートセクタに感染する。感染したディスクを起動するとウイルスはメモリに常駐する。
メモリに常駐したウイルスは、ディスクアクセスを監視し、アクセスしたディスクに感染する。
毎年4月15日にこのウイルスに感染しているシステムを起動するとハードディスクを破壊する。

JAN(ジャン)

常駐型でCOM、EXEファイルに感染する。感染したファイルを実行するとウイルスがメモリに常駐する。
常駐したウイルスはファイルの実行とコピーを監視し、実行及びコピーされたファイルに感染する。
システム時計が1月の時、常駐してから1秒〜1時間の間に、COM、EXEファイルを実行 又はコピーすると発病し、カレントディスクを破壊する。
ファイル名が「SCAN.EXE」「CLEAN.EXE」のものや、60,000バイト以上のCOMファイルには感染しない。

Jerry(ジェリー)

常駐型でCOM、EXEファイルに感染する。感染したファイルを実行するとウイルスがメモリに常駐する。
ウイルスが常駐しているときにCOM、EXEファイルを実行すると、そのファイルに感染する。
3月10日に感染ファイルを実行すると「Don't TRUST any virus scanner! -- HKs VTech --」と表示する。

Jerusalem(エルサレム)

常駐型でCOM、EXEファイルに感染する。
ウイルスが常駐するとシステムがスローダウンしたり、四角い箱が画面に現れたりする。
13日の金曜日に実行ファイルを消去する。バグのため、再感染する。

Jerusalem-B(エルサレムB)

常駐型でCOM、EXEファイルに感染する。ウイルスが常駐するとシステムがスローダウンしたり、四角い箱が画面に現れたりする。
13日の金曜日に実行ファイルを消去する。

Jimi(ジミー)

このウイルスは、常駐型でディスクのブートセクタに感染する。感染したディスクを起動するとウイルスはメモリに常駐する。
メモリに常駐したウイルスは、ディスクアクセスを監視し、アクセスしたディスクに感染する。
毎年11月15日にこのウイルスに感染しているシステムを起動するとハードディスクを破壊する。

JOSHI(ジョシ)

常駐型でディスクのブートセクタに感染する。感染したディスクを起動するとウイルスはメモリに常駐する。
メモリに常駐したウイルスは、ディスクアクセスを監視し、アクセスしたディスクに感染する。
1月 5日に発病し「Type "Happy Birthday joshi"!」というメッセージで、キー入力を要求する「Happy Birthday joshi」と入力するまでシステムが使えなくなる。

JS/Yamanner (ヤマナー)

このウイルスは、Yahoo! Mail サービスのセキュリティホールを悪用することで、感染を拡大します。
感染すると、Yahoo! Mail で送受信したメールからメールアドレスを収集し、取得できたアドレス宛に、自分自身を添付したウイルスメールを送信し、感染を拡大します。また、収集したアドレスを特定のサイトに送信します。

Junkie(ジャンキー)

このウイルスは、常駐型でディスクのブートセクタとCOMファイルに感染する。感染したディスクを起動すると、ウイルスは感染していないディスクに感染する。
また、感染したディスクで起動した場合、ウイルスはメモリに常駐し、ディスクアクセス、ファイルの実行とコピーを監視し、アクセスしたディスク、実行やコピーされたファイルに感染する。
このウイルスは、感染するだけで発病はしない。


KeyPress(キー・プレス)

常駐型、COM、EXEファイルに感染する。
ウイルスが常駐して30分たつと、キー入力が繰り返される。例えば、「A」と入力すると、「AAAAAA」に変わってしまう。

Keypress-D(キー・プレスD)

このウイルスは、常駐型でCOM、EXEファイルに感染する。感染したファイルを実行するとウイルスはメモリに常駐する。
感染ファイルのサイズが111,036バイト以上の「$REG」という文字列を含む名称のEXEファイルのときは、そのファイルの内容の一部を変更して感染する。

Konkoor(コンクール)

このウイルスは、常駐型でCOMファイルに感染する。感染したファイルを実行するとCドライブの「\DOS」 ディレクトリの拡張子COMファイル全てに感染し常駐する。
メモリに常駐したウイルスは、「DIRコマンド」を監視し、「DIRコマンド」でカレントディレクトリを検索した場合にカレントディレクトリの全ての拡張子COMに感染する。
このウイルスは、内部に感染カウンターをもっており、そのカウンターが75回以上のファイルを実行すると発病し、次のメッセージを表示し、ディスクの内容を破壊してハングアップします。

Warning !!!
KONKOOR Must be destroyed !

Sig: -= The Real COMputer Scientists =-

ONKOOR V1.50 -- Date: 26 September 1993


Lehigh(リーハイ)

常駐型で、フロッピーディスクとハードディスクのCOMMAND.COMファイルに感染する。未感染のCOMMAND.COMファイルを持つディスクにアクセスすると感染する。
感染していく中で自分がオリジナルから数えて4代目にあたるとき、ブートセクターとFATを破壊する。
IBM-PC及びその互換機で感染及び発病する。

Liberty(リバティ)

常駐型でCOM、EXEファイルに感染する。ウイルスが常駐すると実行したファイルに感染する。
Stopキーを押した場合などに、システムが暴走する。

Linux/Adore(アドレ) 2012年08月03日公開

このウイルスは、Linuxシステム(Bind、rpc.statd、wu-ftp、lpd)の脆弱性を悪用して感染します。
感染すると、システムのroot権限を取得して自分自身をインストールし、次のLinuxシステムに感染を拡大します。

Linux/Lion(ライオン)

このウイルスは、BIND DNSサーバのセキュリティホールを悪用したウイルスでLinux上で動作する。
このウイルスに感染すると、マシンのパスワードは特定のアドレスに送信される。次 に、特定のパスワードにより外部からログインできるように設定を変更する。 そして、インターネット上のセキュリティホールのあるサーバを検索し、発見する と自分自身をインストールし、感染する。

Linux/Slapper(スラッパー)

このウイルスはIntel 80386互換CPUで動作するGNU/Linux systemでありかつ、セキュリティーホールのあるOpenSSLとApacheが使われているマシンに感染する。
ウイルスに感染するとバックドアを作成する。バックドアが作成されるとネットワークを通じて第三者が感染したマシンを操作することが可能になる。感染したマシンは相互に接続され、コマンドが中継されるようになる。
ウイルスに感染したマシンは他のサーバを攻撃し、感染を拡大する。

Little Brother(リトルブラザ)

このウイルスは常駐型のコンパニオン型ウイルス(既存の実行ファイルと名前が同じでファイル拡張子が異なる内容の全く違った新しい実行ファイルを生成する)である。ウイルスであるCOMファイルを実行したときメモリに常駐する。
ウイルスが常駐しているとき、既存のEXEファイルを実行するとそのEXEファイルと同名で拡張子がCOMのウイルスプログラムファイルを作る。
このウイルスは発病しない。

Little Red(リトルレッド)

このウイルスは、常駐型でCOM、EXEファイルに感染する。感染したファイルを実行するとウイルスはメモリに常駐する。
ウイルスがメモリに常駐しているときにプログラムや「DIR」コマンドを実行するとCOM、EXEファイルに感染する。
1994年以降の 9月 9日と12月26日に、ウイルスがメモリに常駐し 1時間経過した段階で音楽を演奏する。

Lixi(リキシー)

このウイルスは、常駐型でディスクのブートセクタに感染する。感染したディスクを起動するとウイルスはメモリに常駐する。
メモリに常駐したウイルスは、ディスクアクセスを監視し、アクセスしたディスクに感染する。
感染したデータディスクから起動すると暴走する。

Lomza(ロムザ)

このウイルスは、非常駐型でファイルに上書き感染する。このウイルスに感染しているファイルを実行すると、ディレクトリ「d:\」、「c:\」、「b:\」、「a:\」を検索し、拡張子が「.COM」、「.EXE」、 「.zip」、「.arc」のファイルに感染する。
ウイルスは感染対象ファイルのファイルサイズを調査し、5,520バイト以上であれば感染処理を行い、5,520バイト未満であればファイルの先頭にコンピュータをリセットする命令を書き込む。上書き感染されるため、感染したファイルはオリジナルの内容が破壊される。


Mange-tout(モンジュテュー)

このウイルスは、常駐型でCOM、EXEファイルに感染する。感染したファイルを実行するとウイルスはメモリに常駐する。
メモリに常駐したウイルスは、ユーザの「ファイル検索」操作を監視ファイル検索されたファイルに感染する。 (DIRコマンド、CHKDSKコマンドやウイルスチェックなど)
このウイルスが常駐している状態で1時間キー操作を行わないと、ハードディスクを初期化する。

MBDF(エムビーディーエフ)

このウイルスは、マッキントッシュのシステムファイルとアプリケーションに感染する。
このウイルスが感染しているSystem7.0.1でメニューコマンドを選択するとシステムクラッシュを起こすことがある。

MCGY2803(エムシージーワイ2803)

このウイルスは、常駐型でEXEファイルに感染する。感染したファイルを実行するとウイルスはメモリに常駐する。
メモリに常駐したウイルスは、ファイルの実行とオープンを監視し、実行やオープンされたファイルに感染する。
このウイルスは、ファイルに感染した月(年は関係ない)でなく、ファイルに感染した日(月は関係ない)より大きい日である3月から12月の5、15、25日に4分の1の確率で発病し、音楽を演奏する。

Meilan(メイラン)

このウイルスは、常駐型でディスクのブートセクタに感染する。感染したディスクを起動するとウイルスはメモリに常駐する。
メモリに常駐したウイルスは、ディスクアクセスを監視し、アクセスしたディスクに感染する。
このウイルスに感染したディスクから起動すると、その日が感染した日の前日の日付の場合に、ハードディスクの先頭から無意味なデータを書き込んで破壊する。破壊されたディスクの先頭には次の文字列が入っている。
HDKiller By Rasek.
(例:感染した日が3月28日の場合は4月27日、5月27日等、感染日以降の毎月27日に起動すると発病動作が起こる。ただし、感染した日が1日、10日、20日、30日の場合には発病しない。)

Michelangero(ミケランジェロ)

常駐型でHD、FDのブートセクターに感染する。
毎年3月6日に感染システムでマシンを立ち上げると、当該システムを初期化する。

Mongol(モンゴル)

このウイルスは、常駐型でブートセクタに感染する。このウイルスに感染しているディスクを起動するとウイルスがメモリに常駐しディスクへのアクセスを監視し、アクセスしたディスクに感染する。
毎年5月30日に感染したディスクから起動すると次のメッセージを表示しハングアップする。
このウイルスが常駐している状態で感染ディスクの感染セクタの内容を確認しても感染前の内容が表示される(ステルス型)。

Mongolain Virus VERSION 1.00
Mongolian Brain Co.Ltd 1992

Today is birthday of my babby!!!

Monkey(モンキー)

常駐型でブートセクタに感染する。IBM-PC及び互換機で感染したディスクを起動するとウイルスはメモリに常駐する。
メモリに常駐したウイルスは、ディスクアクセスを監視し、アクセスしたディスクへ感染する。
IBM-PC及びその互換機以外のシステムディスクに感染するとそのディスクは起動不可能になる。

Mummy(マミー)

常駐型で、実行又はオープン時にEXEファイルに感染する。
実行又はオープン時に0〜65535の値を保持できるカウンタを1ずつ減算していきカウンタが0になった時点で カレントドライブのディスクの内容を破壊する。


Natas(ナタス)

常駐型でディスクのブートセクタおよびCOM、EXEファイルに感染する。感染したディスクから起動するか、感染したファイルを実行すると常駐する。常駐したウイルスは、ディスクへのアクセスとファイルの実行オープンを監視する。
ウイルスが常駐しているとき、ディスクにアクセスするとそのディスクに感染し、ファイルを実行したりオープン(コピー等も含む)するとそのファイルに感染する。
感染したフロッピーディスクからシステムを起動したとき512分の1の確率でハードディスクのデータを破壊する。

Neuroquila(ニューロキーラ)

このウイルスは常駐型でディスクのブートセクタおよびEXEファイルに感染する。感染したディスクから起動するか、または感染したファイルを実行するとメモリに常駐する。
常駐したウイルスは、ディスクへのアクセスとファイルの実行オープンを監視する。
ウイルスが常駐しているとき、ディスクにアクセスするとそのディスクに感染し、ファイルを実行したりオープン(コピー等も含む)するとそのファイルに感染する。このウイルスが常駐している状態で感染ディスクの内容や感染ファイルの内容を確認しても感染前の内容が表示される。(ステルス型)
感染してから3ヶ月以降にシステムを起動すると、下記メッセージを表示する。

by Neurobasher Germany '93/Germany -GRIPPED-BY-FEAR-UNTIL-
DEATH-US-DO-PART-

NewYear(ニューイヤー)

このウイルスは、常駐型でCOM、EXEファイルに感染する。感染したファイルを実行するとウイルスはメモリに常駐する。
メモリに常駐したウイルスは、プログラムの実行を監視し、実行されたファイルに感染する。
システムの日付が、1月1日〜3日の間に、感染ファイルを実行すると「Happy New Year.」というメッセージを表示する。

Nops(ノップス)

このウイルスは、常駐型でディスクのブートセクタに感染する。感染したディスクを起動するとウイルスはメモリに常駐する。
メモリに常駐したウイルスは、ディスクアクセスを監視し、アクセスしたディスクに感染する。
このウイルスが常駐している状態で感染ディスクの感染セクタの内容を確認しても感染前の内容が表示される。
このウイルスは、感染するだけで発病はしない。

nVIR(エヌバー)

マッキントッシュのウイルス。感染したプログラムを実行すると、nVIRというファイルがシステムフォルダーにコピーされる。
ファイルの消滅やシステムのクラッシュが起こることもある。
プログラムが実行される時、ビープ音がする。 Macin−Talkを組み込んでいる場合には、「Don't panic.」という声がすることがある。
nVIR−A、nVIR−Bの他にいくつかの亜種がある。


OneHalf (ワンハーフ)

このウイルスは、常駐型でディスクのブートセクタとCOM、EXEファイルに感染する。感染したファイルを実行するとウイルスはハードディスクのブートセクタに感染しメモリに常駐する。又、感染したディスクを起動するとウイルスはメモリに常駐する。
メモリに常駐したウイルスはファイルの実行やコピーを監視し、実行やコピーされたファイルに感染する。
このウイルスは感染するだけで発病はしない。

Ontario (オンタリオ)

常駐暗号化型でCOM、EXEファイルに感染する。
ウイルスの感染によって、ファイルの書込禁止属性(リードオンリー)が解除される。
ウイルスに感染しているEXE型実行ファイルを実行すると暴走する。

OSX/Inqtana (インクターナ)

このウイルスは、Macintosh OS X で動作するウイルスです。感染すると、パソコン内にファイルを作成し、パソコン起動時に実行されるようにします。
なお、このウイルスは、Macintosh 環境でもウイルスが動作できることを証明するために作成されたといわれており、実害は確認されていません。


Parity enc (パリティenc)

このウイルスは、常駐型でディスクのブートセクタに感染する。感染したディスクを起動するとウイルスはメモリに常駐する。
メモリに常駐したウイルスは、ディスクアクセスを監視し、アクセスしたディスクに感染する。
このウイルスは感染するだけで発病はしない。

Parity-Boot (パリティブート)

常駐型でブートセクタに感染する。感染したディスクを起動するとメモリに常駐する。
メモリに常駐したウイルスは、ディスクアクセスを監視し、ディスクアクセスをしたディスクに感染する。
このウイルスは、起動した時刻に時間を取得し、発病用のカウンタとして用いており、感染の度にこの発病用カウンタを1増加させている。
そして、キー入力の度に、時間の取得をして、発病用のカウンタと比較を行い、現在の時間が発病用カウンタよりも大きい場合に発病し、画面の左上にPARITY CHECKの文字列を表示してハングアップする。

Perl/Lexac (レザック)

このウイルスは、Perl で記述されたウイルスで、PHPBB のセキュリティホールを悪用して、サーバーに感染を拡大する活動を行います。
感染すると、バックドアを設定し、外部からの不正アクセスを可能にします。

Perl/Santy (サンティ)

このウイルスは、Perl で記述されたウイルスで、PHPBB のセキュリティホールを悪用して、Web サーバーに感染を拡大する活動を行います。
Web サーバーが感染すると、特定の拡張子のファイルが上書きされ、公開しているページが改ざんされます。

PeterII(ピーターII)

常駐型でブートセクターに感染する。
2月27日に起動すると、ユーザに対し3つの質問を出す。1問でも答えを間違えると、ハードディスクを破壊する。

Phalcon(ファルコン)

このウイルスは、非常駐型でCOMファイルに感染する。このウイルスに感染しているファイルを実行すると、ルートディレクトリから順に、拡張子が「COM」のファイルを検索し、発見した未感染のファイル、3ファイルに感染する。感染したファイルは、ファイルサイズが、1,168バイト増加する。
感染ファイルを12月に実行すると、約5分後に下記のメッセージ1が画面の1行目に表示され、それ以降、約22秒ごとにメッセージ2からメッセージ7までが順に画面の1行目に表示される。

メッセージ1
Never Believe!

メッセージ2




メッセージ7

Pieck(ピエック)

このウイルスは、EXEファイル及びハードディスクのマスターブートレコードに感染する。感染したハードディスクを起動した時に常駐する。
感染したファイルは、4,444バイト増加するが常駐時にはステルスをするため、増加していることは判りにくい。
1994年以降の3月3日に、感染したハードディスクから起動すると、画面表示が乱れる。
IBM−PC及びその互換機でのみ感染、発病する。

Printscreen(プリントスクリーン)

このウイルスは、常駐型でディスクのブートセクタに感染する。感染したディスクを起動するとウイルスはメモリに常駐する。
メモリに常駐したウイルスは、ディスクアクセスを監視し、アクセスしたディスクに感染する。
ウイルスが常駐した状態でディスク読み込みが255回毎に1回発病し、モニタの内容をプリンターへ出力する。

Puerto(プエルト)

エルサレムBウイルスの亜種である。常駐型でCOM、EXEファイルに感染する。EXEファイルに再感染する。
7月〜12月の間に、実行したプログラム10の内1つが削除される。


Rage(レイジ)

このウイルスは、ファイル感染型でメモリには常駐しないタイプのウイルスで、COMMAND. COMを含むCOMファイルに感染する。
システムの日付が13日の時、感染ファイルを実行するとシステムをハングアップさせる。

Requires(リクワイアーズ)

常駐型でCOM、EXEファイルに感染する。このウイルスに感染したファイルを実行するとメモリに常駐し、実行またはオープンされたファイルに感染する。
DOSバージョン3未満で感染したファイルを実行すると「This program requires MS-DOS 3.00 or later」と表示する。

Ripper(リッパー)

このウイルスは、常駐型でディスクのブートセクタに感染する。感染したディスクを起動するとウイルスはメモリに常駐する。
メモリに常駐したウイルスは、ディスクアクセスを監視し、アクセスしたディスクに感染する。
ウイルスが常駐している状態で、ディスク書き込みを行うと、希に書き込みデータが破壊される。この結果、プログラムが暴走することもある。
このウイルスが常駐している状態で感染ディスクの感染セクタの内容を確認しても感染前の内容が表示される。(ステルス型)

RussianFlag(ロシアンフラグ)

このウイルスは、常駐型でディスクのブートセクタに感染する。感染したディスクを起動するとウイルスはメモリに常駐する。
メモリに常駐したウイルスは、ディスクアクセスを監視し、アクセスしたディスクに感染する。
毎年8月19日に、このウイルスに感染したディスクからシステムを起動すると画面にロシア国旗を表示してハングアップする。


SAMPO(サンポ)

このウイルスは、常駐型でディスクのブートセクタに感染する。感染したディスクを起動するとウイルスはメモリに常駐する。
メモリに常駐したウイルスは、ディスクアクセスを監視し、アクセスしたディスクに感染する。
毎年11月30日にこのウイルスに感染しているディスクから起動した後2時間経過すると、画面の右上に 「S A M P O"Project X" Copyright(c)1991....(略)」と表示する。

Satria.b(サトリア.b)

このウイルスは、常駐型でディスクのブートセクタに感染する。感染したディスクを起動するとウイルスはメモリに常駐する。
メモリに常駐したウイルスは、ディスクアクセスを監視し、アクセスしたディスクに感染する。
7月4日にこのウイルスがメモリに常駐している状態でディスクにアクセスすると、画面の右下に、キャラクタ文字を使用して「I」「ハートマーク」「U」を表示する。(ハートマークは点滅表示)

Scream(スクリーム)

常駐型でCOM、EXEファイルに感染し、711バイト〜1,191バイトファイルサイズを増加させる。 常駐するとメモリが2,048バイト減少する。
ウイルス常駐時に実行されたプログラムまたは、オープンされたファイルに対して感染が行われる。 

Silly(シリィ)

常駐型でブートセクタに感染する。感染したディスクを起動するとウイルスはメモリに常駐する。
メモリに常駐したウイルスは、ディスクアクセスを監視し、アクセスしたディスクへ感染する。
感染したフロッピィディスクは、ディスクの情報が破壊されているため正常なシステムでは、アクセスできなくなり、システムが起動できなくなる。

Sillybop(シリーボップ)

このウイルスは、常駐型でディスクのブートセクターに感染する。感染したディスクを起動するとウイルスはメモリに常駐する。
メモリに常駐したウイルスは「カレントドライブの変更」と「文字列の入力待ち」を監視し、「カレントドライブの変更」が行われた場合はドライブに挿入されているディスクに感染し、「文字列の入力待ち」のときには2分の1の確率でAドライブのディスクに感染する。
システム時計が、毎時2分から59分のときにウイルスに感染したディスクからシステムを起動すると256分の6の確率で発病し、画面に半角の「ε」を表示し続ける。

Slow(スロー)

常駐型でCOMMAND.COMを除くCOM、EXEファイルに感染する。 感染ファイルを実行すると、まず、メモリに1984バイトのサイズで常駐する。
その後に、プログラムを実行すると、実行されたファイルに感染する。COMファイルが感染した場合1,721バイトファイルサイズが増加する。EXEファイルの場合は1,716〜1,731バイト増加する。EXEファイルに感染する時、システムをハングさせる場合がある。
エルサレムウイルスを元にして作られたウイルスである。

Solaris/Sadmind(エスアドミンディー)

このウイルスは、SolarisOS上で動作するウイルスで、セキュリティホールを悪用して感染を広げる。
セキュリティホールのあるシステムに侵入すると、自分自身をコピーし、外部からリモートアクセスができるように設定を変更する。
次に、インターネット上のセキュリティホールのあるIISサーバーを検索し、発見すると、そのマシンのWebページを改ざんする。

spf(エスピーエフ)

このウイルスは、常駐型でディスクのブートセクタに感染する。感染したディスクを起動するとウイルスはメモリに常駐する。
メモリに常駐したウイルスは、ディスクアクセスを監視し、アクセスしたディスクに感染する。
ウイルスが常駐した状態で2時間の間に感染処理が3回以上行われると下記のメッセージを表示する。

ROGER ESPEJO M.
Telef. 45-1838
Lima - Peru

空き容量が少ないフロッピーディスクにこのウイルスが感染すると、ファイルの内容が一部、破壊される。
また、ルートディレクトリ上に多くのファイルが保存されているディスクに感染するとファイル名やファイルサイズなどの情報が破壊されるため、「DIR」コマンドでそのディスクを調査すると画面の表示がおかしくなる。

Spirit(スピリット)

このウイルスは、常駐型でディスクのブートセクタに感染する。感染したディスクを起動するとウイルスはメモリに常駐する。
メモリに常駐したウイルスは、ディスクアクセスを監視し、アクセスしたディスクに感染する。
このウイルスが常駐している状態で感染ディスクの内容を確認しても感染前の内容が表示される。(ステルス型)
このウイルスは発病しない。

Squeaker(スクウィーカー) 2012年01月06日公開

このウイルスは、常駐型でCOM、EXEファイルに感染するウイルスです。
感染すると、システムメモリに常駐して、他の未感染のCOMファイルおよびEXEファイルが実行された場合に、それらのファイルに感染します。

Stamford(スタンフォード)

常駐型でブートセクタに感染する。IBM-PC及び互換機で感染したディスクを起動するとウイルスはメモリに常駐する。
メモリに常駐したウイルスは、ディスクアクセスを監視し、アクセスしたディスクへ感染する。IBM-PC及びその互換機以外のシステムディスクに感染するとそのディスクは起動不可能になる。
感染したフロッピィディスクを起動したときハードディスクに感染しているウイルスの感染月とシステム時計の月が異なっていると画面に炎のような絵を表示してハードディスクのブートセクターを破壊する。

StarDot(スタードット)

非常駐型でCOM、EXEファイルに感染する。感染したファイルを実行するとカレントドライブのランダムに選択したフォルダにある、COM、EXEファイルに感染する。
9月24日に感染ファイルを実行すると発病し、ハードディスク、フロッピィディスクの内容を破壊する。

Stealth Boot(ステルスブート)

このウイルスは、常駐型でディスクのブートセクタに感染する。感染したディスクを起動するとウイルスはメモリに常駐する。
ウイルスがメモリに常駐しているときディスクアクセスを行うとそのディスクに感染する。
このウイルスが常駐している状態で感染ディスクの感染セクタの内容を確認しても感染前の内容が表示される。(ステルス型)

Stoned(ストーンド)

DOSのブートセクターに感染する。
初期のバージョンでは、ウイルスに感染すると、時には 「Your COMputer is now stoned.」というメッセージを表示するだけであったが、最近のバージョンでは、フロッピーディスクやハードディスクを破壊する。

StonedIII(ストーンドIII)

ブートセクタ感染型で、システム起動時に常駐(2048バイト)する。
発病機能は特にないが、感染処理に伴いディスクの種類によりIPL、パーティションテーブル、ディレクトリィ等の一部が破壊される。

Stoned.Kiev(ストーンド・キエフ)

このウイルスは、常駐型でディスクのブートセクタに感染する。感染したディスクを起動するとウイルスはメモリに常駐する。
メモリに常駐したウイルスは、ディスクアクセスを監視し、アクセスしたディスクに感染する。
このウイルスに感染しているシステムを256回起動するとハードディスクを破壊する。破壊されたハードディスクからの起動やハードディスクへのアクセスができなくなる。

Stonehenge(ストーンヘンゲ)

このウイルスは、常駐型でディスクのブートセクタに感染する。感染したディスクを起動するとウイルスはメモリに常駐する。
メモリに常駐したウイルスは、ディスクアクセスを監視し、アクセスしたディスクに感染する。
このウイルスは感染するだけで発病はしない。

Sunday(サンデー)

常駐型でCOM、EXEファイルに感染する。 ”日曜日なのにどうして仕事なんかするの?” という意味のメッセージを表示する。
FAT(ファイル・アロケーション・テーブル)を破壊する場合がある。

SVC5.0A(エスブイシー5.0A)

常駐型でCOM、EXEファイルに感染する。このウイルスが常駐しているときは、ステルスを行うため、 ファイルサイズやファイルに変化がみられなくなる。
感染したファイルを実行すると、コンピュータが暴走することがある。

Swiss-BOOT(スイスブート)

このウイルスは、常駐型でディスクのブートセクタに感染する。
システム日付が、毎年2月7日のときに、ディスクアクセスを行うと「Schaffs die Schweizer Armee ad !」とドイツ語のメッセージを表示しハードディスクを破壊する。
また、このウイルスは感染するときに破損クラスタを作成する。

SymbOS/Cabir (キャビル)

このウイルスは、Symbian OS の携帯電話で動作するウイルスです(動作する携帯電話は限られます)。
感染すると、Bluetooth 対応機器に対して自分自身を送信します。なお、このウイルスは、携帯電話においても自己複製プログラムが作成できることを証明した最初のウイルスです。


T4(ティーフォー)

このウイルスは、マッキントッシュのアプリケーションとFinderに感染し、システムファイルの起動(ブート)コードを修正する。
このコードが修正されると、起動時にシステムクラッシュを起こしたり、システム拡張機能のロードが妨害される場合がある。

Taipan666(タイパン666)

このウイルスは、常駐型でEXEファイルに感染する。感染したファイルを実行するとウイルスはメモリに常駐する。
メモリに常駐したウイルスは、プログラムの実行を監視し、実行されたファイルに感染する。
感染するだけで発病はしない。

Tamanna(タマンナ)

このウイルスは、常駐型で実行ファイル(COM,EXE)に感染する。感染したファイルを実行するとウイルスはメモリに常駐する。
メモリに常駐したウイルスは、ファイルの実行を監視し、実行したファイルに感染する。
ウイルスが常駐してから約15分毎に発病し、「T」キーの入力を要求するメッセージを表示する。

Wish...
Facts need no recognition

RM - A silent friend
DHAKA

Press T to reconcile with my Wish

「T」を入力すると、以下のメッセージを表示する。

OK carry on >>

Tequila(テキーラ)

EXEファイル及びハードディスクのマスターブートレコードに感染する。感染したハードディスクを起動した時に常駐する。
感染したファイルは、2,468バイト増加するが常駐時にはステルスをするため、増加していることは判りにくい。
感染してから3ヶ月以降に、感染したハードディスクから起動すると、「EXEcute: mov ax, FE03/ i nt 21. Key to go on!」と英文メッセージを表示するとともに、画面にマンデルブロード図形を表示する。
IBM−PC及びその互換機でのみ感染、発病する。

Timewarp(タイムワープ)

このウイルスは、常駐型でディスクのブートセクタに感染する。感染したディスクを起動するとウイルスはメモリに常駐する。
メモリに常駐したウイルスは、ディスクアクセスを監視し、アクセスしたディスクに感染する。
ウイルスがメモリに常駐した状態でシステム日付が毎年10月21日のときに、ディスクアクセスを行うと 「@ Leandro and kelly! GV-MG-Brazil @ You have this virus since XX-XX-XXXX」 (@には、フェイスマーク。XX-XX-XXXXには感染日)を表示する。
また、感染ディスクに破損クラスタを作成する。

Tremor(トレモア)

このウイルスは常駐型でCOM、EXEファイルに感染する。
感染後3ヶ月以上経過したファイルを実行すると、発病する時があり、画像を揺さぶる場合や下記メッセージを表示することがある。
このウイルスは、ワクチンの検出を避けるために、ウイルスプログラムコードに暗号をかけるときに、復号プログラム部分に無意味な命令を乱数的に混入・合成させる暗号化手法を行っている。(ポリモルフィック暗号型)

T.R.E.M.O.R.was done by NEUROBASHER/May-June '92, Germany,
-MOMENT-OF-TERROR-IS-THE-BEGINNING-OF-LIFE-

Trojecta(トロジェクタ)

このウイルスは、常駐型でCOM、EXEファイルに感染する。感染したファイルを実行するとウイルスはメモリに常駐する。
メモリに常駐したウイルスは、プログラムの実行を監視し、実行されたファイルに感染する。
このウイルスは、感染するだけで発病はしないが、ウイルスがメモリに常駐しているときにファイルを読み込むと失敗することがある。

Type of Jerusalem(イスラエル型)

常駐型ウイルス。MS−DOSのプログラム(COMおよびEXEファイル)に感染し、約1.8Kバイトファイルサイズを増加させる。
13日の金曜日には実行したプログラムを削除する。


Unashamed(アンアシェイムド)

このウイルスは、常駐型でディスクのブートセクタに感染する。感染したディスクを起動するとウイルスはメモリに常駐する。
メモリに常駐したウイルスは、ディスクアクセスを監視し、アクセスしたディスクに感染する。
このウイルスは発病しない。


V3SCAN(V3スキャン)

このウイルスは、常駐型でCOM,EXEファイルに感染する。このウイルスに感染しているファイルを実行すると、ウイルスがメモリに常駐し、ファイルの実行を監視する。
このウイルスがメモリに常駐している状態で、ファイルを実行するとそのファイルに感染する。ただし、ファイル名が「V3*.*」「SCAN*.*」のものには感染しない。
このウイルスは、感染するだけで発病はしない。

Vacsina(ワクシナ)

常駐型でCOM、EXEファイルに感染する。非常に多くの亜種が存在し、ヤンキー・ドゥードルもその内の一つである。
EXE型ファイルに感染した場合、COM型に変えてしまう。
感染プログラムを実行する時、ビープ音を発する。(国産MS−DOS機では鳴らない)     

Vacsina16(ワクシナ16)

このウイルスは、常駐型でCOM、EXEファイルに感染する。
ワクシナの亜種であり、感染時にビープ音をならさない点と感染先を選ばない点が異なる。

VBS/Freelink(フリーリンク)

このウイルスは、通常はメールの添付ファイルを介して拡がっていく。
WSH(※)がインストールされている環境で、LINKS.VBSというファイルを実行すると、WindowsのSystemフォルダに、Rundll.vbsというファイルを作成し、次回の起動時に、Rundll.vbsが実行されるようにレジストリを変更する。次に、

This will add a shortcut to free XXX links on your desktop.
Do you want to Continue?

というダイアログボックスを表示し、「はい」と答えると、 "Free XXX links"というインターネットショートカットをデスクトップに作成する。
そして、ネットワークで共有されている全てのフォルダに、Links.vbsファイルをコピーする。
Outlookがインストールされていると、アドレス帳に登録されているメールアドレス全てに対して、下記の内容のメールにLinks.vbsファイルを添付して送信する。

Subject:Check This
本文:Have fun with these links. Bye.

次回起動時にRundll.vbsが実行されると、Windowsフォルダーに、Links.vbsというファイルを作成する。そして、mIRC、PIRCH98というIRCクライアントソフトがインストールされているかどうかを調べ、mIRCがインストールされている場合はscript.iniファイルを、PIRCH98がインストールされている場合はEvents.iniファイルを書き換える。以降、mIRC、PIRCH98を起動してチャットを行うと、参加者に対して、Links.vbsファイルを送信する。
(※Windows Scripting Host)

VBS/Gaggle (ギャグル)

このウイルスは、パソコン内からメールアドレスを収集し、取得できたアドレスに対して、ウイルス自身を添付したメールを送信する活動を行います。
感染すると、特定の拡張子のファイルに自分自身を追記します。また、拡張子が vbs のファイルを自分自身で上書きします。さらに、Msconfig.exe および Regedit.exe を削除します。

VBS/Gedza (ゲッザ)

このウイルスは、P2P のネットワークを利用して感染を拡大します。ウイルスファイルを実行することで感染し、自分自身を Windows の system ディレクトリにコピーします。
また、レジストリファイルを変更することによって、Windows の起動時に必ずウイルスが実行されるように設定します。
さらに、特定のタイミングで、パソコンの画面に画像やメッセージを表示します。

VBS/Haptime(ハプタイム)

このウイルスは、Outlook ExpressのHTML形式のメールの署名ファイル、またはOutlookの添付ファイルを介して感染を拡げる。
Internet Explorer5、WSHがインストールされている環境で、マイクロソフト社の OutlookでHTML形式のメールを開いたとき、または、Outlook Expressで開いたとき, もしくは、プレビューウインドウを使ったときに動作する。または、添付ファイルを実行すると動作する。
動作すると、Windowsフォルダ(通常はC:\Windows )にHelp.htm、Help.vbs、Untitled.htm、Help.htaという名称のファイルを作成する。
Outlook Expressのデフォルト署名のファイルをUntitled.htmファイルに変更するとともに、送信メールの設定をHTML形式に変更する。
この状態で、Outlook Expressで送信したメールの本文に、ウイルスが埋め込まれた署名ファイルが追加される。
また、ウイルスは実行回数を記録し、366回実行されると、Outlookを利用して、Untitled.htmという名称のウイルスを添付したメールを送信する。
システムの「月」と「日」の合計が13のとき(例:9月4日)、拡張子が、.dll、 .EXEのファイルを削除する。

VBS/Homepage(ホームページ)

このウイルスはメールの添付ファイルを介して感染を広げるウイルスである。
ウイルスである添付ファイルを実行すると、ウイルスを一時フォルダ(C:\Windows \Temp)にhomepage.HTML.vbsという名前でコピーする。
次に、Outlookに登録されている全てのアドレスに以下の内容のメールを送信する。

件名:Homepage
本文:Hi!
   You've got to see this page! It's really cool ;O)
添付ファイル名:homepage.HTML.vbs

メール送信後、Homepageという件名のメールを削除する。
そして、特定のWebサイトを表示する。

VBS/Internal(インターナル)

このウイルスは、VisualBasicScript で記述されたウイルスで、html 形式のファイルに感染します。感染した Web ページを閲覧することで、ウイルスファイルがパソコンに取り込まれます。

感染すると、パソコン内に存在する html ファイルに感染拡大を試みます。

VBS/Lido(リド)

このウイルスは、USB メモリ等の外部記憶媒体に自分自身をコピーすることで感染を拡大するウイルスです。
感染すると、自分自身のコピーを、パソコン内や接続された USB メモリ等に作成します。また、Internet Explorer のスタートページを変更したり、htm ファイルに感染したりします。

VBS/Lisa(リサ)

このウイルスは、メールおよびファイル共有アプリケーションの KaZaA などを介して感染拡大を試みます。感染すると、自分自身のコピーを Windows フォルダにランダムなファイル名で作成します。さらに、レジストリファイルを変更することによって、Windows の起動時に必ずウイルスが実行されるように設定します。

また、アドレス帳に登録されたメールアドレスすべてに対して、ウイルスを添付したメールを送信し、拡張子が VBS、VBE のファイルに自身を追記することで感染します。さらに、Word のファイルを削除するという発病もあります。

VBS/LOVELETTER(ラブレター)

このウイルスは、通常はメールの添付ファイルを介して拡がっていく。 WSH(※)がインストールされている環境で、LOVE-LETTER-FOR-YOU.TXT.vbs というファイルを実行すると、Windows の System フォルダに、Mskernel32.vbs、LOVE-LETTER-FOR-YOU.TXT.vbs、Windows フォルダに Win32dll.vbs というファイル名で自分自身をコピーする。 そして、これらのファイルが再起動時に実行されるようにレジストリを変更する。
次に、Outlook のアドレス帳に登録されているメールアドレス全てに対して、下記の内容のメールに、LOVE-LETTER-FOR-YOU.TXT.vbs というファイルを添付して送信する。

Subject:I LOVE YOU.
本文:kindly check the attached LOVELETTER COMing from me.

また mIRC という IRCクライアントソフトがインストールされているかどうかを調べ、 mIRC がインストールされている場合は script.ini ファイルを書き換える。 以降、mIRC を起動してチャットを行うと、参加者に対して、LOVE-LETTER-FOR-YOU.HTM ファイルを送信する。
そして、ネットワークドライブを含むAからZまでのドライブを検索して、拡張子が、.vbs、.vbe、 .js、.jse、.css、.wsh、.sct、.hta、.jpg、.jpeg、.mp3、.mp2 のファイルを破壊する。
(※Windows Scripting Host)

VBS/Mawanella(マワネラ)

このウイルスはメールの添付ファイルを介して感染を広げるウイルスである。
添付ファイルを実行すると、Outlookのアドレス帳の登録アドレス全てに、以下の内容のメールを送信する。

件名:Mawanella
本文:Mawanella is one of the Sri Lanka's Muslim Village
添付ファイル名:Mawanella.vbs

そして、以下のメッセージを表示する。

Mawanella is one of the Sri Lanka's Muslim Village.
This brutal incident happened here 2 Muslim Mosques & 100 Shops are burnt.
I hat this incident, What about you? I can destroy your COMputer
I didn't do that because I am a peace-loving citizen.

VBS/Mondezimia (マンデジミア)

このウイルスは、html 等のファイルに感染するファイル感染型のウイルスです。
感染すると、自分自身のコピーをパソコン内に作成し、パソコン起動時に実行されるようにシステムを改変します。
また、パソコン内のファイルを検索し、html 等のファイルに感染を拡大します。

VBS/Neer(ニア) 2011年07月05日公開

このウイルスは、VisualBasicScriptで記述されたウイルスで、html形式などのファイルに感染します。
感染すると、WINDOWSディレクトリとWINDOWS SYSTEMディレクトリに自身のプログラムを大量にコピーし、ウイルスを自動起動するためにレジストリの変更を行います。
このウイルスが実行されると、パソコンに過度の負荷がかかり、最終的にはパソコンが動作しなくなります。

VBS/Netlog(ネットログ)

このウイルスは通常、network.vbsというファイル名で、インターネット経由またはLAN経由で感染する。
WSH(※)がインストールされている環境で、このウイルスを実行すると、Cドライブに、network.logというファイルを作成する。
次にネットワーク上にCという名前で共有されているドライブを検索し、発見すると、 c:\、c:\Windows、c:\Windows\start menu\programs\statup、c:\win95、c:\Win95\start menu \programs\startupに、network.vbsというファイル名で自分自身をコピーする。発病機能はない。
(※Windows Scripting Host)

VBS/NewLove(ニューラブ)

このウイルスは通常、電子メールの添付ファイルとして広がっていく。
ウイルスを実行すると、Windowsフォルダ(通常は、C:\Windows)及びWindowsのシステムフォルダ (通常は、C:\Windows\System)にウイルス自身のコピーを作成する。ファイル名は、「最近使ったファイル」のなかからランダムに選択されたもので、拡張子は以下リストから選択されたものである。
拡張子リスト:Doc.Vbs、Xls.Vbs、Mdb.Vbs、Bmp.Vbs、Mp3.Vbs、Txt.Vbs、Jpg.Vbs、Gif.Vbs、Mov.Vbs、Url.Vbs、Htm.Vbs
次に、次回起動時にウイルスが自動的に起動するようにレジストリを変更する。
そして、Outlookがインストールされている場合は、登録されているメールアドレス全てに、以下の内容のメールを自動送信する。

件名:FW:ファイル名(ウイルスがWindowsに作成したファイル名で拡張子を除く)
本文:なし
添付ファイル名:ファイル名+拡張子(ウイルスがWindowsに作成したファイル名)

最後に、全てのドライブの全てのファイル(除:使用中のファイル、システム属性・読みとり専用の ファイル)を0バイトにし、拡張子をVBSに変更する。

(例:xxxx.jpg=xxxx.jpg.vbs)

VBS/Redlof (レッドロフ)

このウイルスはInternet Explorer 5以降を組み込んだWindows環境で動作する。また、Microsoft VMが持つセキュリティホールを利用してユーザーに対する警告無しにウイルスを動作させる仕組みを持っている。

感染するとWindowsフォルダのSystemフォルダ(Windowsフォルダにwscript.exeが無い場合はSystem32フォルダ)にKernel.dll(またはSystem32\Kernel32.dll)という名前で自分自身をコピーし、ウイルスを自動起動するためにレジストリの変更を行う。

また、全ドライブのHTML形式と拡張子がHTTのファイルにウイルスを感染させ、フロッピーディスクを含むドライブのフォルダにウイルス感染したFOLDER.HTTを作成する。

ユーザーが新規メールを作成するときに、ウイルス感染したひな形(ファイル)を利用させるようにOutlook、Outlook Expressの設定を変更する。これにより、発信されたメールはウイルス感染したものとなる。

VBS/Solow (ソロウ)

このウイルスは、リムーバブルドライブを介して感染を拡大するウイルスです。
感染すると、自分自身のコピーを作成し、パソコンを起動する毎に自身が実行されるように設定を改変します。また、リムーバブルドライブが存在していた場合は、当該ドライブ上にも自分自身のコピーを作成します。さらに、IE(Internet Explorer)の設定を改変します。

VBS/Soraci (ソラシ)

このウイルスは、VisualBasicScript で記述されたウイルスで、html 形式のファイルに感染します。
感染すると、パソコン内に存在する html ファイルに感染拡大を試みます。また、Internet Explorer のスタートページを改変します。

VBS/SST(エスエスティ)

このウイルスは通常、電子メールの添付ファイルとして広がっていく。
ウイルスを実行すると、ウイルス自身をWindowsフォルダ(通常は、C:\windows\)に、 AnnaKournikova.jpg.vbsというファイル名でコピーする。
そして、アドレス帳に登録されている全てのアドレス宛に、ウイルスを添付した以下 の内容の返信メールを送信する。

件名:Here you have, ;o)
本文:Hi:
Check This!
添付ファイル名:AnnaKournikova.jpg.vbs

VBS/Stages(ステージズ)

このウイルスは通常、LIFE_SATAGES.TXT.SHSというファイル名で、電子メールの添付ファイルとして広がっていく。
WSH(※)がインストールされている環境で、このウイルスを実行すると、男性と女性の人生に関するテキスト文字列を表示し、自分自身をWindowsフォルダにコピーする。
次に、次回起動時にウイルスが自動実行されるようにレジストリを変更する。そして、Outlookがインストールされている場合は、登録されているアドレス100件に対して、以下の内容のメールに、LIFE_STAGES.TXT.SHSというファイルを添付して送信する。

件名:Funny他
本文:The male and female stages of life.

また、mIRC、PIRTHというIRCクライアントソフトがインストールされている場合は、 チャットを介して、LIFE_STAGES.TXT.SHSを送信するように、設定を変更する。
(※Windows Scripting Host)

VBS/Terrosist (テロシスト)

このウイルスは、VB スクリプトで記述されたウイルスです。
感染すると、パソコン内にある特定の拡張子(.htt、.htm、.html、.asp、.php、.jspin)のファイルに感染を拡大します。

VBS/Tune(チューン)

このウイルスは、通常はメールの添付ファイルを介して拡がっていく。WSH(※1)がインストールされている環境で、Tune.vbsというファイルを実行すると、Windowsフォルダ、Windows\Systemフォルダ、Windows\Tempフォルダに、Tune.vbsというファイルを作成し、次回の起動時にTune.vbsが実行されるようにレジストリ等を変更する。
次に、ネットワークドライブを含むAからZまでのドライブを検索して、見つかったドラ イブのルートディレクトリにTune.vbsをコピーする。
そして、Outlookのアドレス帳に登録されているメールアドレス全てに対して、下記の内容のメールに、Tune.vbsというファイルを添付して送信する。

Subject:Please Read
本文:Hey,you really need to check out this attached file
   I sent you ...please check it out as soon as possible.

またCドライブのルートディレクトリに、mIRC、PIRCH98というIRC(※2)クライアント ソフトがインストールされているかどうかを調べ、mIRCがインストールされている場合は script.iniファイルを、PIRCH98がインストールされている場合はevents.iniファイルを書き換 える。以降、mIRC、PIRCH98を起動してチャットを行うと、参加者に対して、Tune.vbsファイルを 送信する。
(※1:Windows Scripting Host、※2:Internet Relay Chat)

VBS/Zeha (ゼハ)

このウイルスは、スクリプトウイルスで、感染ファイルのやり取りによって感染します。
感染すると、拡張子が、.VBS .HTML .HTM .HTA .HTT のファイルに自分自身を付加することで感染を拡大します。メール送信やネットワーク共有を利用した感染拡大の機能はありません。

Vienna(ウィンナー)

非常駐型ウイルス。実行ファイル(COMファイル)に感染する。
ウィンナーウイルスには様々な亜種があるが、感染したプログラムを実行すると、システムにリセットをかけることがある。


W32/Agist (アジスト)

このウイルスは、メールの添付ファイルを介して感染を拡大するウイルスです。
感染すると、自分自身のコピーをパソコン内に作成し、パソコン起動時に実行されるようにシステムを改変します。また、パソコン内を検索し、メールアドレスを収集します。取得できたメールアドレス宛に、自分自身のコピーを添付したメールを送信し、感染を拡大します。

W32/AHKHeap (エーエイチケーヒープ)

このウイルスは、USB メモリ等の外部記憶媒体に自分自身をコピーすることで感染を拡大するウイルスです。
感染すると、自分自身のコピーをパソコン内に作成し、パソコンの起動時に実行されるようにシステムを改変します。また、接続された外部記憶媒体に自分自身のコピーを作成することで感染を拡大します。さらに、特定の Web サイトにアクセスできないようにします。

W32/Aliz (アリズ)

このウイルスは、InternetExplorerのセキュリティホールを悪用したウイルスで、メールの添付ファイルを介して感染を拡げる。 このウイルスが添付されたメールを受け取ると、Outlookではメールを開いただけで、OutlookExpressではプレビューしただけでもウイルスが動作する。 動作すると、OutlookExpressのアドレス帳に登録されている全てのアドレス宛にウイルスを添付したメールを送信する。 送信されるメールの内容は次のとおり。

・件名:以下の5つのグループからランダムに選択された文字列が組み合わさったもの
例)Fw: Nice pictures to see hehe ;-)
Interesting stuff here !     
1.Fw:、Fw: Re:     
2.Cool、Nice、Hot、some、Funny、weird、funky、great、Interesting、many
3.website、site、pics、urls、pictures、stuff、mp3s、shit、music、info     
4.to check、for you、i found、to see、here、- check it     
5.!!、!、:-)、?!、hehe ;-)
・本文:peace
・添付ファイル:whatever.exe

W32/Allaple(オールアプル)

このウイルスは、ネットワーク共有を介して感染するウイルスです。
感染すると、自分自身のコピーを Windows のシステムフォルダに作成し、パソコンを起動する毎に自身が実行されるように設定を改変します。また、ネットワーク共有フォルダにアクセスし、自分自身をコピーすることで感染を拡大します。

W32/Almanahe(アルマエーネ)

このウイルスは、実行形式のプログラムファイルに感染し、さらにネットワーク共有を介して感染を拡大するウイルスです。
感染すると、Windows のシステムフォルダに自分自身のコピーを作成し、パソコンが起動されるたびに実行されるように設定を改変します。また、ウイルスが保有しているパスワードリストを利用して、ネットワーク上のパソコンにアクセスを試みます。アクセスできた場合、自分自身のコピーを作成し、実行することで感染を拡大します。

W32/Antiman(アンチマン)

このウイルスは、Microsoft Outlook の受信トレイなどのメールボックスから取得できたアドレスに対して、ウイルス自身を添付したメールを送信する活動を行います。

送信されるメールの差出人(From)アドレスは詐称されており、件名、本文、添付ファイル名はいくつかのパターンから選択されたものになります。

W32/Antinny(アンティニ−)

このウイルスは、Winny ファイル共有ネットワークを介して感染を広げる。このウイルスが実行されると、Windows の Temp フォルダに Ny.exe ファイルとして自身をコピーする。

また、発病すると Winny の Cashe フォルダのファイルを削除する。

なお、感染すると、パソコン内の送受信メール、Word や Excel 等のデータファイルを収集し、公開用のフォルダにコピーする亜種もあります。これにより、Winny を利用しているユーザがそのファイルを入手できることになり、情報が流出してしまうことになります。

W32/Anzae (アンザエ)

このウイルスは、パソコン内からメールアドレスを収集し、取得できたアドレスに対して、ウイルス自身を添付したメールを送信する活動を行います。

添付ファイルを開くとメッセージボックスを表示し、その時点でパソコンに感染します。感染すると、パソコン内に自分自身のコピーを作成します。また、レジストリを改変することにより、Windows 起動時にウイルスが実行されるように設定します。

W32/Apost(アポスト)

このウイルスはWindows95/98/ME/NT/2000で動作する32ビットのウイルスである。
動作するためには、Visual Basic 6のランタイムライブラリ、MAPI(Outlook)が必要である。 感染すると、Outlookのアドレス帳に登録されているアドレスにウイルスを添付したメールを送信する。
添付ファイル名はreadme.exeで、件名と本文は下記の通り。

件名
As per your request!

本文
Please find attached file for your review.
I look forward to hear from you again very soon. Thank you.

W32/Areses (アレセス)

このウイルスは、メールの添付ファイルを介して感染を拡大します。
感染すると、Windows フォルダなどに自分自身のコピーを作成します。また、パソコン起動時にウイルスが動作するように、レジストリを改ざんします。
その後、パソコン内に保存されているアドレス帳などからメールアドレスを収集し、取得できたアドレス宛に、自分自身を添付したウイルスメールを送信し、感染を拡大します。

W32/Autorun (オートラン)

このウイルスは、USB メモリ等の外部記憶媒体に自分自身をコピーすることで感染を拡大するウイルスです。
感染すると、自分自身のコピーをシステムフォルダに作成し、パソコンの起動時に実行されるようにシステムを改変します。また、キーロガーを仕掛け、キーボードからの入力内容を記録します。

W32/Bacalid (バキャリッド)

このウイルスは、プログラムファイルに感染するファイル感染型のウイルスです。
感染すると、拡張子が「.exe」や「.dll」のファイルに感染します。また、特定の Web サイトにアクセスし、ファイルをダウンロードして実行しようとします。

W32/Bacterra (バクテッラ)

このウイルスは、ファイル交換ソフト「eDonkey2000」を介して感染を拡大します。
感染すると、パソコン内の特定のフォルダに自分自身のコピーを作成します。作成後、そのフォルダが共有されるように、eDonkey2000 の設定ファイルを変更し、ファイル交換ソフトのユーザがダウンロードできるようにすることで、感染を拡大します。

W32/Badtrans(バッドトランス)

このウイルスはメールの添付ファイルを介して感染を広げるウイルスである。
ウイルスである添付ファイルを実行すると、Windows フォルダに inetd.EXE を、システムフォルダに kern32.EXE、hksdll.dll、cp_23421.nls というファイルを作成する。
次に、再起動時にウイルスが実行されるように、レジストリ等を変更する。
ウイルスは、実行されると5分後に、Outlook 等、MAPI に対応しているメーラーの受信トレイにある未読のメールに、ウイルスを添付したメールを返信する。
メールの内容は以下のとおり。

件名:Re:(未読メールの件名)
本文:未読メールの本文(行頭に−印をつける。)
   最後に、>Take a look to the attachment. の行が追加される。
添付ファイル名:fun.pif他16種類からランダムに選択

また、このウイルスは、パスワード等を特定のメールアドレスに送信する不正アクセ スの機能も持っている。

W32/Bagle (バグル)

このウイルスは、自身の複製をメールの添付ファイルとして拡散する活動を行う。
感染すると、自分自身を Windows の system ディレクトリに bbeagle.exeとしてコピーし、レジストリを変更することによって、Windows の起動時に必ずウイルスが実行されるように設定する。
また、メールの添付ファイルを開いたときに、電卓(calc.exe)を起動させて、感染したことに気付かせないようにしている。

W32/Bagz (バグズ)

このウイルスは、パソコン内にある txt や htm ファイル等からアドレスを収集し、取得できたアドレスに対して、自分自身を添付したメールを送信する活動を行います。
添付ファイルを開くと感染し、自分自身を syslogin.exe というファイル名で Windows の system ディレクトリにコピーします。さらに、レジストリファイルを変更することによって、Windows の起動時に必ずウイルスが実行されるように設定します。
また、セキュリティ対策製品を停止させる機能も有しています。

W32/Banwarum (バンワルム)

このウイルスは、メールの添付ファイルおよびネットワークを介して感染を拡大します。
感染すると、Windows のシステムフォルダに自分自身のコピーを作成します。また、パソコン起動時にウイルスが動作するように、レジストリを改ざんします。
その後、パソコン内に保存されているアドレス帳などからメールアドレスを収集し、取得できたアドレス宛に、自分自身を添付したウイルスメールを送信し、感染を拡大します。さらに、バックドアを作成し、外部からの指令を受け取るように設定します。

W32/Bereb (ベレブ)

このウイルスは、WinMX(ファイル共有プログラム)を利用して感染を拡大する。ウイルスが実行されると、自分自身を Windows フォルダに taskmgr.com としてコピーする。そして、レジストリを改変することで、パソコン起動時にウイルスが動作するようする。
また、Windows フォルダに sysdll フォルダを作成し、そのフォルダ内に自身のコピーを大量に作成し、ウイルスファイルが WinMX で共有されるように設定を変更する。なお、発病はありません。

W32/Bhound (ビーホウンド)

このウイルスは、メールの添付ファイルを介して感染を拡大します。
感染すると、Windows フォルダなどに自分自身のコピーを作成します。また、パソコン起動時にウイルスが動作するように、レジストリを改ざんします。
その後、アドレス帳からメールアドレスを収集し、取得できたアドレス宛に、自分自身を添付したウイルスメールを送信し、感染を拡大します。

W32/Blakcont (ブラックコント)

このウイルスは、メールの添付ファイルやP2Pファイル共有ソフトを介して感染を拡大します。
感染すると、自分自身のコピーをパソコン内に作成し、パソコン起動時に実行されるようにシステムを改変します。また、パソコン内のファイルからメールアドレスを収集し、取得できたメールアドレスに自分自身のコピーを添付したメールを送信します。さらに、P2Pファイル共有ソフトの公開(共有)フォルダに自分自身のコピーを作成することで、感染を拡大する活動を行います。

W32/Blastclan (ブラストクラン)

このウイルスは、パソコン上のすべてのドライブに自分自身をコピーすることで感染を拡大するウイルスです。
感染すると、自分自身のコピーをパソコン内に作成し、パソコンの起動時に実行されるようにシステムを改変します。また、セキュリティ対策ソフトの動作を停止したり、特定のサイトからファイルをダウンロードしようとします。

W32/Blaxe (ブラゼ)

このウイルスは、P2Pファイル共有ネットワーク(Grokster、KaZaA、iMesh)を介して感染拡大を試みます。
感染すると、自分自身のコピーをパソコンに作成します。さらに、レジストリファイルを変更することによって、Windows の起動時に必ずウイルスが実行されるように設定します。
また、インターネット上からファイルをダウンロードする活動を行います。

W32/BleBla (ブリブラ)

このウイルスは、InternetExplorerのセキュリティホールを悪用したウイルスで、 xjuliet.chm、xromeo.EXEという名称の2つのファイルを添付したHTML形式のメー ルにより感染を拡げていく。
 このメールをマイクロソフト社のOutlook Expressで受信し、プレビューするか、Outlookで受信してメール内容を確認すると、Windows\Tempフォルダ(通常は C:\Windows\Temp)に、2つの添付ファイルをコピーする。次に、HTMLのヘルプ機能を利用して、xjuliet.chmファイルを実行する。
このファイルが実行されると、ウイルスの本体であるxromeo.EXEが実行される。 xromeo.EXEが実行されると、c:\windowsフォルダに、自分自身をsysrnj.EXEというファイル名でコピーする。
次に、拡張子が.doc、.xls、.jpg、.zipなどのファイルを開いたときに、ウイルスが実行されるようにレジストリを変更する。ウイルスはその拡張子のファイルを開いたとき、開いたファイルを削除してウイルス自身をそのファイルの名前に「.EXE」を加えたファイル名でコピーする。

例) abcd.doc→削除→abcd.doc.EXE

そして、EXEファイル(アプリケーション)が使用できなくなる。
また、アドレス帳に登録されているアドレス全てに対して以下の内容のメールを送信する。

件名:Romeo&Juliet他、18種類の中からランダムに選択される。
本文:空白
添付ファイル名:xjuliet.chm、xromeo.EXE

W32/Blune(ブルーン)

このウイルスは、USB メモリ等の外部記憶媒体を介して感染するウイルスです。
感染すると、自分自身のコピーをパソコン内に作成し、パソコン起動時に実行されるようにシステムを改変します。
また、USB メモリ等の外部記憶媒体に自分自身のコピーを作成することにより感染を拡大します。
さらに、パソコン内にある特定のファイルを削除しようとします。

W32/Bobax(ボバックス)

このワームは、Windows の脆弱性[MS04-011]が存在するパソコンに感染します。
インターネットに接続されたWindows XP のパソコンを検索するために、ポート5000へアクセスします。ターゲットを特定すると、ポート445を通じて侵入し、ワーム本体をコピーして実行することで感染します。

感染すると、レジストリを変更され、Windows の起動時に必ずワームが実行されるようになります。また、感染対象のコンピュータを任意に検索し、感染拡大を試みます。
さらに、感染したパソコンに外部から侵入できるように、バックドア(裏口)を作成します。

W32/Bodgy (ボドジー)

このウイルスは、プログラムファイルに感染するファイル感染型のウイルスです。 感染すると、拡張子が「.exe」のファイルに自分自身を追記することで感染します。

W32/Bofra(ボフラ)

このウイルスは、パソコン内にあるアドレス帳からメールアドレスを収集し、取得できたアドレスに対して、メールを送信する活動を行います。
メール本文に記載されたリンクをクリックすると、ウイルスファイルがダウンロードされて感染し、Windows の system フォルダにランダムなファイル名で保存・実行されます。
さらに、レジストリファイルを変更することによって、Windows の起動時に必ずウイルスが実行されるように設定します。
また、バックドアを設定し、外部からのコマンドを受け付けるようになります。

W32/Brid(ブライド)

このウイルスが実行されるとウイルス自身をコピーしてシステムにインストールする。感染すると、拡張子がhtm、dbxのファイルからメールアドレスを収集して、取得できたすべてのアドレス宛に以下の内容のメールを送信する。

件名:[ 感染したパソコンに登録された組織名 ]

本文: Hello,

    Product Name: [WindowsのOSのバージョン]
    Product Id: [プロダクトID]
    Product Key: [プロダクトキー]
    Process List: [プロセスリスト]

    Thank you.
              ( [ ] 内は感染したパソコンのレジストリから取得した値になります。)

添付ファイル名:README.EXE

また、このウイルスはW32/FunLoveの亜種を含んでおり、ウイルスが実行されるとシステムはW32/FunLoveに感染する。
ウイルスは、Windows95/98/ME/NT/2000/XPで動作し、一部のアンチウイルス製品などを終了させる。

W32/Bropia (ブロピア)

このウイルスは、MSN Messenger を介して、自分自身を送信する活動を行います。
感染すると、画像ファイルをパソコン画面に表示したり、バックドアプログラムをインストールし外部からの不正アクセスを可能にします。

W32/Buchon (ブチョン)

このウイルスは、受信トレイやアドレス帳などからメールアドレスを収集し、取得できたアドレスに対して、自分自身を添付したメールを送信する活動を行います。メールを送信する以外には、主な活動はありません。

W32/Bugbear(バグベア)

このウイルスに感染すると、受信トレイや送信トレイ、及び特定の拡張子のファイル(tbb,eml,mbx,nch等)からメー ルアドレスを収集して、取得できたすべてのアドレス宛に、以下の内容のメールを送信する。

件名:「Greets!」、「Hi!」、「$150 FREE Bonus!」、「Your Gift」、「Tools For Your Online Business」、「News」、「its easy」、「SCAM alert!!!」、「new reading」、「25 merchants and rising」、「empty account」、「My eBay ads」、「Market Update Report」、「fantastic」、「bad news」、「New Contests」、「Get a FREE gift!」、「Report」、 「Stats」、「Interesting...」、「various」、「history screen」、「Just a reminder」、「hmm..」  等

本文:空白、もしくはランダム

添付ファイル名:「readme」、「Card」、「news」、「images」、「resume」、「video」、「song」
            もしくはMyDocumentsフォルダにあるファイル名 +.scr .exe .pif
 
また、以下の特徴がある。
    ・ 差出人アドレスを詐称する。
    ・ ネットワークで共有されているパソコンに感染を拡大。
    ・ ワクチンソフトやパーソナルファイアウォールなどの機能を停止。
    ・ バックドアが仕掛けられ、外部から侵入される可能性がある。

このウイルスは、Windows95/98/ME/NT/2000/XPで動作する。

W32/Bustoy (バストイ)

このウイルスは、リムーバブルディスクを介して感染を拡大するウイルスです。
感染すると、自分自身のコピーを作成し、接続されているリムーバブルディスクがあると、ファイルをコピーすることで感染を拡大します。

W32/Cabanas (カバナス)

このウイルスは、Windowsの32ビット実行形式のファイルに感染するファイル感染型ウイルスである。
ウイルスに感染したプログラムを実行すると、ウイルスはウインドウズフォルダ、システムフォルダ、カレントフォルダにある、拡張子がEXEまたはSCRのPE形式の実行可能ファイルに感染する。感染したファイルのサイズは101の倍数になる。発病機能はない。
このウイルスは、Windows95/98/ME/NT/2000で動作する。

W32/Cellery (セレリー)

このウイルスは、ネットワーク共有フォルダに対して、自分自身のコピーを作成する活動を行います。ウイルスファイルが実行されると、Windows フォルダに自分自身のコピーを作成します。また、レジストリを改変することにより、パソコン起動時にウイルスが実行されるようにします。

W32/Changeup (チェンジアップ)

このウイルスは、USBメモリ等の外部記憶媒体を介して感染します。
感染すると、自分自身のコピーをパソコン内に作成し、パソコン起動時に実行されるようにシステムを改変します。また、接続された外部記憶媒体に自分自身をコピーすることにより、感染を拡大します。その際、Windowsの脆弱性(MS10-046)を悪用するファイルを作成します。さらに、インターネット上から別のマルウェアをダウンロードしようとします。

W32/Chir (チアー)

このウイルスは、メールを介して感染拡大を試みます。感染すると、自分自身のコピーを system フォルダに runouce.exe として作成します。さらに、レジストリファイルを変更することによって、Windows の起動時に必ずウイルスが実行されるように設定します。
また、このウイルスが送信するメールは、セキュリティホールを悪用しているため、プレビューしただけで感染する可能性があります。

W32/Chiton (チトン)

このウイルスは、プログラムファイルに感染するファイル感染型のウイルスです。
感染すると、拡張子が「.exe」や「.scr」のファイルに自分自身を追記することで感染します。また、EXE ファイル等が実行された際に自分自身を起動させるため、レジストリの設定を改変します。

W32/Chod (チョッド)

このウイルスは、パソコン内のアドレス帳などのファイルからメールアドレスを収集し、取得できたアドレスに対して、ウイルス自身を添付したメールを送信する活動を行います。また、MSN Messenger を介してウイルス自身を送信する活動も行います。

感染すると、特定のプロセスを停止したり、セキュリティ関連サイトへのアクセスを妨害するために、Hosts ファイルを改ざんしたりします。また、バックドアを仕掛け、外部から感染したパソコンを操作できるようにします。

W32/CIH(シーアイエイチ)

このウイルスは常駐型でWindows95/98の32ビット実行形式ファイル(PE(*)ファイル)で拡張子がEXEのファイルに感染するファイル感染型ウイルスである。
感染したファイルを実行すると、メモリに常駐し、プログラムの実行、ファイルのコ ピー等でオープンしたプログラムファイルに感染する。
発病するとハードディスクの先頭部分を無意味なデータで上書きするため、ディスク内容にアクセスできなくなる。
また、コンピュータが使用しているチップセットが、インテル430TXかその互換チップの場合には、BIOS ROMのブートブロックに無意味なデータを上書きして、内容を破壊する。
このウイルスには、4月26日発病、6月26日発病等の種類がある。
(*PE:Portable EXEcutable 処理速度を速め、拡張性のある実行プログラムの新しい形式)

W32/Codbot (コッドボット)

このウイルスは、ネットワーク共有フォルダに自分自身のコピーを作成して感染します。その際、ウイルス自身が持つユーザ名・パスワードリストを使用してログインを試みます。
感染すると、バックドアを作成され、外部から感染したパソコンを操作できるようになります。

W32/CodeRed(コードレッド)

このウイルスは、マイクロソフト社の Internet Information Server (IIS) の脆弱性を利用して感染を拡げるワームである。
セキュリティホールのあるシステムに侵入すると、メモリ上で動作し、英語版の場合は、Webを改ざんする。
次に、インターネット上のセキュリティホールのあるIISサーバーを検索し、発見するとそのマシンに侵入する。
バックドアプログラムをインストールする亜種も発見されている。

W32/Conycspa (コニーシーエスピーエー)

このウイルスは、アドレス帳から取得できたメールアドレスに対して、自分自身を送信する活動を行います。また、レジストリを改変し、Windows の起動時にウイルスが実行されるように設定します。
送信されるメールは、セキュリティホールを悪用するための仕掛けがされており、メール本文を開いただけで不正なプログラムをダウンロードされてしまいます。

W32/Conylite (コニライト)

このウイルスは、パソコン内からメールアドレスを収集し、取得できたアドレスに対して、特定の Web サイトへのリンクを含んだメールを送信する活動を行います(添付ファイルはありません)。
ウイルスが送信したメールを開くと、Windows のセキュリティホールを悪用し、Web サイトから不正プログラムをダウンロードする活動を行います。

W32/Dabber (ダバー)

このウイルスは、W32/Sasser に感染したパソコンを検索し、見つかった場合は、PACKAGE.EXE を Windows ディレクトリにコピーして感染します。
感染すると、Windows の起動時にウイルスが実行されるように、レジストリの変更を行います。また、他の不正プログラムが自動起動するための記述をレジストリから削除します。

W32/Darby (ダービー)

このウイルスは、パソコン内からアドレスを収集し、取得できたアドレスに対して、自分自身を添付したメールを送信する活動を行います。そのほかに、ネットワーク共有やP2Pファイル共有アプリケーションを利用して感染を拡大する活動も行います。
感染すると、レジストリファイルを変更することによって、Windows の起動時に必ずウイルスが実行されるように設定します。また、セキュリティ対策製品を停止させたり、不正なプログラムをダウンロードしたりします。

W32/Datom(ダトム)

このウイルスが実行されるとネットワークで共有されているフォルダを再帰的に検索する。Windowsフォルダを見つけるとそこにMSVXD.EXE、MSVXD16.DLL、MSVXD32.DLLをコピーする。また、ウイルスを自動起動させるためにWIN.INIのWindowsセクションのRunキーにMSVXD.EXEを記述する。WIN.INIがなければスタートアップフォルダにVxD Manager.lnkを作成する。

W32/Defo(デホ) 2011年07月05日公開

このウイルスは、フロッピーディスクやハードディスクのシステム領域に感染します。
このウイルスは、フロッピーディスクに自分自身をコピーすることにより、感染を拡大します。

W32/Deloder(デローダー)

このウイルスは、Windows 2000 /XP Professional で動作するウイルスで、インターネットに接続されたパソコンに対し、Administrator としてログインを試みます。ログインに成功するとパソコンにウイルス本体である Dvldr32.exe と inst.exe をコピーします(コピー先は通常 Windowsフォルダになる)。

また、ウイルスにログインされたパソコンの下記フォルダにウイルス自身をコピーします。

C:\Documents and Settings\All Users\Start Menu\Programs\Startup\inst.exe
C:\WINDOWS\Start Menu\Programs\Startup\inst.exe
C:\WINNT\All Users\Start Menu\Programs\Startup\inst.exe 
( 英語版以外のOSでは上記フォルダは存在しないため、コピーが失敗する可能性があります。)

ウイルスはレジストリの
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\messnger
にウイルスファイルへのフルパスを登録します。

ウイルスはスレッドを作り、IPアドレスをランダムに選び、感染を広げるために、ポート445にアクセスします。

W32/Detnat(デットナット)

このウイルスは、プログラムファイルに感染するファイル感染型のウイルスです。
感染すると、拡張子が「exe」のファイルに自分自身を追記することで感染します。また、特定の Web サイトから他のプログラムをダウンロードしようとします。

W32/Dizan(ディーザン)

このウイルスは、プログラムファイルに感染するファイル感染型のウイルスです。
感染すると、自分自身のコピーをパソコン内に作成し、パソコン起動時に実行されるようにシステムを改変します。
また、パソコン内に存在するプログラムファイル(拡張子 .exe)を検索し、見つかったファイルに自分自身を追記することにより感染します。

W32/Dorkbot(ドークボット) 2012年11月01日公開

このウイルスは、インスタントメッセンジャーやリムーバブルドライブを介して感染を拡大します。また、自分自身のコピーをダウンロードさせるリンク先を記したメッセージを、複数のSNSサイトへ投稿して感染を拡大します。
感染すると、IRC(Internet Relay Chat)サーバーへ接続を試みます。

W32/Dotex(ドテックス)

このウイルスは、アクセスできるドライブ上に自分自身のコピーを作成することで感染を拡大するウイルスです。
感染すると、パソコン内に自分自身のコピーを作成し、起動時に実行されるようにシステムを改変します。また、USB メモリ等の外部記憶媒体を含め、アクセスできるドライブ上に感染を拡大します。
さらに、特定の Web サイトにアクセスし、プログラムをダウンロードしようとします。

W32/Downad(ダウンアド)

このウイルスは、セキュリティホールを悪用し、ネットワークに接続されているコンピュータに対して感染活動を行います。
感染すると、自分自身のコピーをパソコン内に作成し、パソコン起動時に実行されるようにシステムを改変します。また、特定のウェブサイトにアクセスし、不正なプログラムをダウンロードしようとします。

W32/Dronzho(ドロンソ)

このウイルスは、USB メモリ等の外部記憶媒体を介して感染するウイルスです。
感染すると、自分自身のコピーをパソコン内に作成します。また、USB メモリ等の外部記憶媒体に自分自身のコピーを作成することにより感染を拡大します。このウイルスに感染したUSBメモリ等をやり取りすることにより、感染が拡大することになります。

W32/Dumaru(デュマル)

このウイルスに感染すると、ウイルス自身をシステムフォルダにload32.exeという名前でコピーする。

1:ウイルスはレジストリの
HKEY_LOCAL_MACHINE\Software|Microsoft\Windows\CurrentVersion\Run\load32
にコピーしたウイルスのフルパスを登録する。

2:ウイルスはウイルス自身をWindowsフォルダにdllreg.exeという名前でコピーする。ウイルスはwin.iniのwindowsセクションのrunキーにコピーしたウイルスのフルパスを登録する。

3:ウイルスはウイルス自身をシステムフォルダにvxdmgr32.exeという名前でコピーする。ウイルスはsystem.iniのbootセクションのshellキーにexplorer.exeの引数としてコピーしたウイルスのフルパスを登録する。

4:ウイルスはWindowsフォルダにウイルス内部に含まれているファイルをwindrv.exeという名前で作成する。作成できた場合には、これを実行する。

メール送信活動:

ウイルスは、拡張子が.htm、.wab、.html、.dbx、.tbb、.abd(大文字小文字を区別する)のファイルを見つけたときには、そのファイルをからメールアドレスを取得する。取得できたメールアドレスに対し、自分自身を添付したメールを送信する。送信されるメールの内容は以下のとおり。

差出人: "Microsoft" <security@microsoft.com>
件名 : Use this patch immediately !
本文 : Dear friend , use this Internet Explorer patch now!
     There are dangerous virus in the Internet now!
     More than 500.000 already infected!
添付ファイル名: patch.exe

W32/Duni(ダニ)

ウイルスが実行されると乱数を求めてそれに拡張子.cplをつけてファイル名とし、Windowsフォルダにウイルス自身をコピーし、起動時にウイルスが実行されるようにレジストリを変更する。

ウイルスはMSN Messengerのメンバーリストからメールアドレスを取得し、そのアドレスにウイルスを添付してメールを送信する。メールの件名、本文、添付ファイル名は乱数で決定される。また、KaZaaで共有されているフォルダにウイルス自身をコピーする。

このウイルスは、Windows95/98/ME/NT/2000/XPで動作する。

W32/Dupator (デュパトー)

このウイルスはWindows95/98/MEで動作する。ウイルスは32ビットのWindowsの実行可能ファイルに感染する。ただしDLLには感染しない。

このウイルスに感染するとKERNEL32.DLLをWindowsフォルダにコピーして、そのKERNEL32.DLLに感染する。感染したKERNEL32.DLLはファイルの属性を取得するときに、そのファイルにウイルスを感染させる。発病は特にない。

W32/Dzan (ディーザン)

このウイルスは、プログラムファイルに感染するファイル感染型のウイルスです。
感染すると、Windows のシステムフォルダに自分自身のコピーを作成し、Windows を起動する毎に自身が実行されるように設定を改変します。また、拡張子が「.exe」のファイルに自分自身を追記することで感染を拡大します。

W32/Esbot (エスボット)

このウイルスは、Windows のセキュリティホールを悪用し、ネットワークに接続されたパソコンに対して感染する活動を行います。

感染すると、自分自身のコピーをパソコン内に作成します。また、レジストリを改変することにより、パソコン起動時にウイルスが実行されるようにします。さらに、バックドアを埋め込み、特定のサーバにアクセスすることで、外部からの指令を待ち受けるようになります。

W32/Evaman (エバマン)

このウイルスは、自身の複製をメールの添付ファイルとして拡散する活動を行います。
添付ファイルを開くと、メモ帳を起動して感染したことに気付かせないように偽装します。感染すると、自分自身をWINTASKS.EXEというファイル名でWindowsのシステムディレクトリにコピーします。また、レジストリファイルを変更することによって、Windowsの起動時に必ずウイルスが実行されるように設定します。

Webの検索サイトよりアドレスを収集し、取得できたアドレスに対して、自分自身を添付したメールを送信します。

W32/Expiro (エクスピロ)

このウイルスは、プログラムファイルに感染するウイルスです。
感染すると、パソコン内のファイルを検索し、アクセス可能なプログラムファイル(拡張子.exe)に自分自身を追記することにより感染を拡大します。

W32/Explet (エクスプレット)

このウイルスは、パソコン内にある html ファイル等からアドレスを収集し、取得できたアドレスに対して、自分自身を添付したメールを送信する活動を行います。
添付ファイルを開くと感染し、自分自身を upu.exe というファイル名で Windows の system ディレクトリにコピーします。さらに、レジストリファイルを変更することによって、Windows の起動時に必ずウイルスが実行されるように設定します。
また、KaZaA やネットワーク共有を通じて感染を拡大します。

W32/ExploreZip(エクスプローラジップ)

W32/ExploreZipはワームの一種である。"zipped_files.EXE"というファイルを実行すると、 "Cannot Open file・・・"という偽のエラーメッセージを表示し、実行されたマシンの全てのハードディスクを検索して、次の拡張子のファイルのサイズを0にする。 (隠しファイル、読み取り専用のファイルは破壊されない。)
「.doc」「.xls」「.ppt」「.asm」「.c」「.cpp」「.h」
次に、Windowsが再起動するたびに、ウイルスが実行されるように環境を設定する。
そして、当該マシンとネットワーク上に共有されている全てのマシンを検索し、上記7種類の拡張子のサイズを0にする。
さらに、ネットワーク上にwin.iniファイルが共有されているマシンがある場合、win.iniと同じディレクトリに "_setup.EXE"というファイルを作成し、Windowsを起動した時に、"_setup.EXE"が実行されるように、win.iniファイルを書き換える。
インストールされているメーラーによっては、感染以降、受け取ったメールに対して、下記の本文メッセージのメールに、 "zipped_files.EXE"ファイルを添付して返信する。

返信メール本文
Hi!   I received your E-Mail and I shall send you a reply ASAP.
Till then,take a look at the attached zipped docs.
Bye

W32/Fakerecy (フェイクリサイ)

このウイルスは、パソコン内に自分自身のコピーを作成することで感染を拡大するウイルスです。
感染すると、パソコン起動時に自分自身が実行されるように設定します。また、アクセスできるドライブ上に自分自身のコピーを作成することで感染を拡大します。

W32/Fanbot (ファンボット)

このウイルスは、Windows のセキュリティホールを悪用することで、ネットワークに接続しているだけで感染する可能性があります。また、アドレス帳などから取得できたメールアドレスに対して、ウイルス自身を添付したメールを送信し、感染を拡大します。
感染すると、上述の感染活動を行います。また、セキュリティ関連の Web サイトへのアクセスを妨害したり、セキュリティ対策製品の動作を停止したりします。さらに、バックドアを開き、外部からの指令を待ち受けるように設定します。

W32/Fatso (ファトソウ)

このウイルスは、MSN Messenger を介して感染を拡大するウイルスです。
感染すると、Hosts ファイルを改ざんし、セキュリティ関連サイトへのアクセスを妨害します。また、パソコンで使用しているセキュリティ対策ソフトのプロセスを停止して、検査・駆除ができないようにします。

W32/Fbound(エフバウンド)

ウイルスを実行すると、Windowsのアドレス帳の登録アドレス宛に、以下の内容のメールを送信する。

件名:重要なお知らせ、例の件、極秘、他
本文:空白
添付ファイル:patch.exe

このウイルスは、ウイルスメール送信の動作を起こすが、レジストリキーの書き換えなどシステムの環境設定等の改変は行わない。
Windows95/98/ME/NT/2000/XPで動作するウイルスである。

W32/Feebs (フィーブス)

このウイルスは、メールの添付ファイルやファイル共有アプリケーションを介して感染を拡大します。
感染すると、Windows フォルダに自分自身のコピーを作成します。また、パソコン起動時にウイルスが動作するように、レジストリを改ざんします。
その後、パソコン内に保存されているアドレス帳などからメールアドレスを収集し、取得できたアドレス宛に、自分自身を添付したウイルスメールを送信し、感染を拡大します。また、ファイル共有アプリケーションで使用される共有フォルダに自分自身のコピーを作成することで、当該ネットワークを介して感染を拡大します。

W32/Fix2001(フィックス2001)

このウイルスは、通常電子メールの添付ファイルを介して拡がっていく。添付されたfix2001.EXEを実行すると、以下のメッセージを表示する。

"Y2K Ready!!"
"Your Internet Connection is already Y2K, you don’t need to upgrade it"

そして、 WindowsのSystemフォルダーに自分自身をコピーして、次回の起動時に実行されるようにレジストリを変更する。ウイルスが実行された状態でメールを出すと、同じ宛先に、自分自身を添付したメールを送る。
メールタイトルは、 Internet problem year 2000、送信者はAdministrator、メールの本文は、英語とスペイン語で、2000年問題の修正プログラムを配布しているかのようにように見せかけている。

W32/Fizzer(フィザー)

このウイルスは、Windows 95/98/Me/NT/2000/XPで動作し、感染するとWindowsフォルダにiservc.exe、initbak.dat、iservc.dll、ProgOp.exeをコピーする。また、感染したパソコン内にあるアドレス帳などからメールアドレスを収集し、取得できたアドレス宛にウイルスを添付したメールを送信する。送信するメールの差出人アドレスは詐称される。

また、以下の活動も行う。
  i) ウイルス本体をランダムなファイル名で生成し、ファイル共有ネットワークで共有・感染する。
  ii) アンチウイルス製品(ワクチンソフト、ファイアウォール)の動作を終了させる。
  iii) バックドアが仕掛けられ、キー入力情報が第三者に取得されたり、DoS(サービス妨害)攻撃の踏み台にされるなどの遠隔操作をされる可能性がある。
  iv) IRC(Internet Relay Chat)サーバーなどへ接続しようとする。

W32/Flob(フロブ)

このウイルスは、ファイル感染型のウイルスです。
感染すると、拡張子が exe のプログラムファイルに感染します。また、特定のウェブサイトにアクセスしようとします。

W32/Frethem(フレゼム)

このウイルスに感染すると、OutlookExpressのアドレス帳に登録されているアドレス及び拡張子が、.dbx .mbx .eml .mdbなど のファイルの中のメールアドレス宛に、以下の内容のメールを送信する。

件名:Re: Your password!
本文:ATTENTION!
        You can access
        very important
        information by
        this password
        DO NOT SAVE
        password to disk
        use your mind
        now press
        cancel

添付ファイル:decrypt-password.exe, password.txt

このウイルスは、Windowsフォルダにウイルス自身を taskbar.exe という名前でコピーし、パソコン起動時にウイルスが動作するようにレジストリの変更を行う。
また、Windows95/98/ME/NT/2000/XPで動作する。

W32/Fujacks(フジャックス)

このウイルスは、プログラムファイルに感染するファイル感染型のウイルスです。
感染すると、自分自身のコピーを作成し、Windows を起動する毎に自身が実行されるように設定を改変します。また、拡張子が「.exe」のファイルに自分自身を追記することで感染を拡大します。

W32/Fukustog(フクストッグ)

このウイルスは、ネットワーク共有を介して感染を拡大するウイルスです。
感染すると、自分自身のコピーを作成し、Windows が起動されるたびに実行されるように設定を改変します。また、特定の Web サイトにアクセスします。

W32/Funlove(ファンラブ)

Windows32ビット実行プログラムのファイル(拡張子がEXE、scr、ocx)に感染するウイルスである。
感染したプログラムを実行すると、Windowsのシステムフォルダにflcss.EXEというファイルを作成する。そして、そのファイルを実行して、全てのドライブ上の拡張子 がEXE、scr、ocxのファイルに感染する。また、ネットワークに対しても通常のドライブと同様に感染が行われる。発病はない。

W32/Funner (ファナー)

このウイルスは、インスタントメッセンジャーを介して感染を拡大する活動を行います。感染すると、メッセンジャーを利用して自分自身を送信します。また、HOSTSファイルを改ざんすることにより、特定のWeb サイトへのアクセスを妨害します。

W32/Galil (ガリル)

このウイルスは、自身の複製をメールの添付ファイルとして拡散する活動を行います。
添付ファイルを開くと感染し、自分自身をiLLeGaL.exeというファイル名でWindowsのsystem ディレクトリにコピーします。さらに、レジストリファイルを変更することによって、Windowsの起動時に必ずウイルスが実行されるように設定します。
また、ディスクに保存されているファイルを削除するコード(命令)を含んでいます。

W32/Gammima (ジャミマ)

このウイルスは、パソコン内に自分自身のコピーを作成することで感染を拡大するウイルスです。
感染すると、USB メモリ等の外部記憶媒体が接続されると、そのドライブ上に自分自身のコピーを作成して感染を拡大します。
また、特定のオンラインゲームのアカウントやパスワードを収集し、外部に送信する機能を有しています。

W32/Ganda(ガンダ)

このウイルスは、Windows 95/98/Me/NT/2000/XPで動作し、感染するとWindowsフォルダにウイルス本体である scandisk.exe、tmpworm.exe、[ランダムな8文字].exe をコピーする。また、感染したパソコン内にあるアドレス帳やhtmファイルなどからメールアドレスを収集し、取得できたアドレス宛にウイルスを添付したメールを送信する。

さらに、レジストリの
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
にウイルスファイル(scandisk.exe)へのフルパスを登録する。 これにより、パソコン起動時にウイルスが実行されるようになる。

W32/Ganelp(ガネル) 2011年09月05日公開

このウイルスは、USBメモリ等の外部記憶媒体を介して感染するウイルスです。
感染すると、自分自身のコピーをパソコン内に作成し、パソコン起動時に実行されるようにシステムを改変します。また、USBメモリ等の外部記憶媒体に自分自身のコピーを作成することにより感染を拡大します。
さらに、ワクチンソフトやパーソナルファイアウォールなど、セキュリティ関連製品の動作を停止します。

W32/Gaobot(ガオボット)

このウイルスは、「トロイの木馬型」で、安易なパスワードが設定されているネットワーク共有を介して感染する。感染すると、自分自身のコピーをWindowsのインストール先のフォルダに作成する。また、攻撃者がIRCチャネルを介して感染先のコンピュータにアクセスできるようにする。
さらに、ワクチンソフトやパーソナルファイアウォールなど、セキュリティ関連製品の動作を停止する機能も有している。

W32/Gexin (ジェキシン)

このウイルスは、共有フォルダや USB メモリ等の外部記憶媒体に自分自身のコピーを作成することで感染を拡大するウイルスです。
感染すると、システムフォルダに自分自身のコピーを作成し、起動時に実行されるようにシステムを改変します。また、USB メモリ等の外部記憶媒体を含め、アクセスできるドライブ上に感染を拡大します。
さらに、Internet Explorer のスタートページを変更し、特定の拡張子(htm)のファイル等を改ざんします。

W32/Gibe (ギベ)

このウイルスに感染すると、Outlookのアドレス帳に登録されているアドレス及び拡張子が、htm、html、asp、phpなどのファイルの中のメールアドレス宛に、以下の内容のメールを送信する。 

・差出人:Microsoft Corporation Security Center
・宛先:Microsoft Customer
・件名:Internet Security Update
・本文:Microsoft Customer,
    this is the latest version of security update, the
            〜略〜
・添付ファイル:q216309.exe

このウイルスは、リモートアクセスを可能にする不正プログラムをインストールする。
Windows95/98/ME/NT/2000/XPで動作するウイルスである。

W32/Golten (ゴルテン)

このウイルスは、ネットワーク共有フォルダを検索し、自身の保有するユーザ名とパスワードを使い、アクセスできた場合はウイルスファイルをコピーすることで感染を拡大します。
感染すると、パソコン内にウイルスファイルを作成し、レジストリファイルを変更することによって、Windows の起動時に必ずウイルスが実行されるように設定します。

W32/Goner (ゴナー)

このウイルスはメールの添付ファイルを介して感染を拡げるウイルスである。
感染すると、再起動時にウイルスが実行されるようにレジストリを変更する。
そして、Outlookのアドレス帳に登録されている全てのアドレス宛にウイルスを添付したメールを送信する。送信されるメールの内容は次のとおり。

・件名:Hi
・本文:How are you ?
     When I saw this screen saver, I immediately thought about you
     I am in a harry, I promise you will love it!
・添付ファイル:gone.scr

そして、インストールされているワクチンソフト関連のファイルを削除する。また、チャットソフトであるICQがインストールされている場合は、チャットを介してウイル感染を拡げようとする。
このウイルスはWindows32ビット環境(Windows95/98/ME/NT/2000)で動作する。

W32/Gramos (グラモス) 2012年02月03日公開

このウイルスは、ネットワーク共有フォルダを利用して感染を拡大します。
感染すると、自分自身をSystemディレクトリにコピーし、レジストリファイルを変更することによって、Windowsの起動時に必ずウイルスが実行されるように設定します。また、特定のサイトからトロイの木馬型ウイルスをダウンロードします。

W32/Grum (グラム)

このウイルスは、拡張子が exe 等のプログラムファイルに感染を拡大するウイルスです。
感染すると、自分自身のコピーをパソコン内に作成し、パソコン起動時に実行されるようにシステムを改変します。また、特定のウェブサイトへアクセスしようとします。

W32/Hantaner (ハンタナー)

このウイルスは、P2Pファイル共有ネットワーク(KaZaA)を介して感染拡大を試みます。
感染すると、パソコン内に存在する拡張子がexeのファイルに自身を追記して感染していきます。この際、ウイルスが追記されることにより、元のファイルが破壊される可能性があります。

W32/Harakit(ハラキット)

このウイルスは、ネットワーク共有や外部記憶媒体を介して感染を拡大します。
感染すると、自分自身のコピーをパソコン内に作成し、パソコン起動時に実行されるようにシステムを改変します。また、ネットワーク共有や USB メモリ等の外部記憶媒体に、自分自身のコピーを作成することで感染を拡大します。
さらに、バックドアの機能を有し、外部から操作される可能性があります。

W32/Hawawi (ハワウィ)

このウイルスは、自身の複製をメールの添付ファイルとして拡大する活動を行う。感染すると、自分自身のコピーをWindowsのSystemフォルダやTempフォルダに作成する。また、パソコン起動時にウイルスが動作するようにレジストリを変更する。

パソコン内に記録されたメールアドレスを収集し、取得できたアドレス宛にウイルスを添付したメールを送信する。また、ICQ, Yahoo Messenger, PalTalk, KaZaAを介して感染を拡大する活動を行う。

さらに、特定の拡張子のファイルを上書きし、0バイトにするという発病がある。

W32/Higuy (ハイガイ)

このウイルスは実行されるとタイトルが「Error」で本文が

VBRUN49.DLL not found!
Unable to execute.

のメッセージボックスを開く。また、Windowsフォルダにウイルス自身をdllmgr32.exeとしてコピーし、レジストリの変更を行う。ウイルスを添付したメールをOutlookExpressのアドレス帳に登録されているメールアドレス宛てに送信する。メールの内容は以下の通り。

件名:Incredible.. 
        Qualsiasi cosa fai,falla al meglio.
        Urgente! (vedi allegato)
        Incredibile..         のいずれかが選択される。

本文:Hello,
        Ciao,
          のどちらかに続いて
             see this interesting file.
             apri subito l'allegato,e' molto interessante.
             devi assolutamente vedere il file che ti ho allegato.
             okkio all'allegato ;-)
                         のいずれかに続いて
                                        Bye.
                                        A presto...
                                             のいずれかになる。

添付ファイル名:tattoo.exe、euro.exe、tettona.exe のうちひとつ

このウイルスはWindows95/98/ME/NT/2000/XPで動作する。

W32/Hitapop (ヒタポップ)

このウイルスは、自分自身のコピーを作成することで感染を拡大するウイルスです。
感染すると、パソコン内に自分自身のコピーを作成し、起動時に実行されるように設定します。また、特定のセキュリティ対策ソフトを無効にしたり、特定の Web サイトにアクセスしようとします。

W32/Honk (ホンク)

このウイルスは、ファイル感染型で、感染したファイルを実行することで感染します。
感染すると、パソコン内に保存されている拡張子が「exe」、「scr」等のファイルを検索し、発見したファイルに自分自身を追加することで感染します。ウイルスメールを送信するなどの活動はありません。

W32/Huegone (ヒューゴーン)

このウイルスは、メールを介して感染を拡大するウイルスです。
感染すると、自分自身のコピーを作成し、Windows が起動されるたびに実行されるように設定を改変します。また、パソコンに保存されているアドレス帳などから、メールアドレスを収集します。取得できたアドレスに対して自分自身を添付したメールを送信することで、感染を拡大します。

W32/Hybris (ハイブリス)

このウイルスは通常、電子メールの添付ファイルとして広がっていく。 
ウイルスを実行すると、C:\windows\Systemフォルダにある、Wsock32.dllファイルを書き換える。
ウイルスは受信したメールや、閲覧したWebサイトから取得したアドレス宛に、ウイルス自身を添付したメールを送信する。
ウイルスが送信するメールの件名、本文、添付ファイル名は、感染したマシンの言語環境により異なる。
日本語環境のマシンからのメールの場合、件名、本文は空白で、添付ファイル名は、「ランダムな8文字のアルファベット」+「.EXE」となる。

W32/Imaut (イマウト)

このウイルスは、IM(Instant Messenger)を介して拡散するウイルスです。
感染すると、自分自身のコピーをパソコン内に作成し、パソコンの起動時に実行されるようにシステムを改変します。また、特定のセキュリティ対策ソフトの動作を停止したり、Internet Explorer の設定を改変したりします。さらに、IM で送信されるメッセージに特定のサイトへのリンクを追加します。

W32/Induc (インダック)

このウイルスは、プログラム開発環境「Delphi」をターゲットにしたファイル感染型のウイルスです。「Delphi」の開発環境に感染し、感染した環境で作成されたプログラムに感染を拡大します。感染しても悪質な動作は行いません。また、「Delphi」の開発環境がない場合は、感染活動を行いません。

W32/Inforyou (インフォーユー)

このウイルスは、パソコン内からメールアドレスを収集し、取得できたアドレスに対して、ウイルス自身を添付したメールを送信する活動を行います。

感染すると、特定の Web サイトへの接続を試み、不正プログラムをダウンロードしようとします。また、DoS 攻撃を行うための機能も有しています。

W32/Inor (イノー)

このウイルスはWindows95/98/ME/NT/2000/XPで動作する。VBSファイルになっているウイルスを実行するとc:\mware.exeが作成されて実行される。感染するとOSが起動するたびに実行されるようになる。

ウイルスはhttp://www.xxxyyyzzz/unwise.exe(伏せています)をDownloadして実行しようとする。ただし、このサイトは現在存在しないので実行されない。ウイルスは最初に実行したときから3日以上経つと動作しない。Download されるunwise.exeの内容に依って、あらゆる被害が想定される。

W32/Jeefo (ジーフー)

このウイルスは、ファイル感染型のウイルスで、感染ファイルのやり取りによって侵入する。感染ファイルを実行すると、メモリに常駐し、以後使用されたプログラムファイルにウイルスコードを追加して、感染していく。

 また、自身のコピーをWindowsフォルダに作成し、パソコン起動時に実行されるようにレジストリを改変する。

W32/Joydotto (ジョイドット)

このウイルスは、USB メモリ等の外部記憶媒体を介して拡散するウイルスです。
感染すると、自分自身のコピーをパソコン内に作成し、パソコンの起動時に実行されるようにシステムを改変します。また、接続された外部記憶媒体にも自分自身のコピーを作成します。
さらに、特定のサイトからファイルをダウンロードしようとします。

W32/Jubon (ジュボン)

このウイルスはメールを介して感染を拡大します。ただし、添付ファイルはなく、メール本文に記載されたURLをクリックすることで、ウイルスファイルがWindowsのシステムフォルダにダウンロードされて感染します。
感染すると、同様のメールを外部に送信します。

W32/Kalel (カレル)

このウイルスは、メールの添付ファイルやファイル共有ソフトを介して感染を拡大するウイルスです。
感染すると、自分自身のコピーをパソコン内に作成し、パソコンの起動時に実行されるようにシステムを改変します。その後、パソコン内から収集したすべてのアドレス宛に、自分自身を添付したメールを送信します。また、特定のファイル共有ソフトで使用される、共有フォルダにウイルスをコピーし、感染を拡大しようとします。
さらに、キーロガーを仕掛けてキー入力を記録したり、バックドアを仕掛けて、リモートからの操作を可能にします。

W32/Kaxela (カゼラ)

このウイルスは、ローカルドライブや USB メモリ等の外部記憶媒体を介して感染を拡大するウイルスです。
感染すると、自分自身のコピーをパソコン内に作成し、パソコンの起動時に実行されるようにシステムを改変します。その後、ローカルドライブや USB メモリ等の外部記憶媒体へ自分自身のコピーを作成することにより、感染を拡大します。
さらに、Internet Explorer のスタートページを改変します。

W32/Kebede (ケベデ)

このウイルスは、アドレス帳などから取得できたメールアドレスに対して、ウイルス自身を添付したメールを送信し、感染を拡大します。
感染すると、セキュリティ製品の機能を停止したり、セキュリティ関連サイトへのアクセスを妨害したりする活動を行います。

W32/Kenston (ケンストン)

Windows32ビット実行プログラムのファイル(拡張子がEXE)に感染するウイルスである。
ウイルスに感染したプログラムを実行すると、カレントドライブ内のルートフォルダにあるファイルを除く全てのWindows32ビット実行プログラムのファイル(拡張子が EXE)に感染する。発病はない。

W32/Kespo (ケスポ)

このウイルスは、プログラムファイルに感染するウイルスです。
感染すると、パソコン内に自分自身のコピーを作成し、起動時に実行されるように設定します。また、実行形式のファイルに追記することで、感染を拡大します。

W32/Kidala (キッドアラ)

このウイルスは、メールの添付ファイルや P2P アプリケーションを介して感染を拡大します。
感染すると、Windows フォルダなどに自分自身のコピーを作成します。また、パソコン起動時にウイルスが動作するように、レジストリを改ざんします。
その後、アドレス帳などからメールアドレスを収集し、取得できたアドレス宛に、自分自身を添付したウイルスメールを送信し、感染を拡大します。さらに、特定の P2P アプリケーション(KaZaA、LimeWire 等)を介して感染する活動も行います。

W32/Kipis (キピス)

このウイルスは、アドレス帳などから取得できたメールアドレスに対して、ウイルス自身を添付したメールを送信し、感染を拡大します。

ウイルスファイルを実行して感染すると、自分自身のコピーをパソコン内に作成します。また、システムファイル(system.ini)を改変することにより、パソコン起動時にウイルスが実行されるようにします。さらに、バックドアを開いたり、セキュリティ対策ソフトのプロセスを停止したりします。

W32/Klez (クレズ)

このウイルスは、Internet Explorer のセキュリティホールを悪用したウイルスで、メールの添付ファイルを介して感染を拡げる。
このウイルスが添付されたメールを受け取ると、Outlook ではメールを開いただけで、Outlook Express ではプレビューしただけでもウイルスが動作する。
このウイルスは、Windows 32ビット環境(Windows95.98.ME.NT.2000)で動作するウイルスで、 感染すると、Outlook のアドレス帳に登録されている全てのアドレス宛にウイルスを添付したメールを送信する。送信者のアドレス欄には、ウイルスが作成した架空のアドレスが記載される。 送信されるメールの内容は次のとおり。

・件名:Hi 他
・本文:I'm sorry to do so,but it's helpless to say sorry.
     I want a good job,I must support my parents.
    Now you have seen my technical capabilities.
    How much my year-salary now? NO more than $5,500.
    What do you think of this fact?
    Don't call my names,I have no hostility.
    Can you help me?
         注)HTML形式に対応しているメールソフト(Outlook、OutlookExpres等)では、本文は空白に見える。
・添付ファイル:ランダムなファイル名+.exe

W32/Knight (ナイト)

このウイルスは、USB メモリ等の外部記憶媒体に自分自身をコピーすることで感染を拡大するウイルスです。
感染すると、自分自身のコピーをパソコン内に作成し、パソコンの起動時に実行されるようにシステムを改変します。また、接続された外部記憶媒体に自分自身のコピーを作成することで感染を拡大します。

W32/Kobot (コボット)

このウイルスは、ネットワーク共有やFTP、telnet 等のサービスを検索し、ウイルス自身が持つユーザ名・パスワードリストを使用して接続を試みます。接続に成功すると、自分自身のコピーを送り込みます。

感染すると、バックドアを仕掛けたり、外部からのメールを中継したりして、リモートからパソコンを操作される危険があります。

W32/Koddro (コッドロ)

このウイルスは、メールの添付ファイルを介して感染を拡大するウイルスです。
感染すると、パソコン内に保存されているファイルからメールアドレスを収集し、取得できたメールアドレス宛てに自分自身を添付したメールを送信します。また、特定の URL アドレスにアクセスした際に情報を収集する活動もおこないます。

W32/Koobface (クーブフェイス)

このウイルスは、SNS(ソーシャルネットワーキングサービス)を悪用して感染を拡大します。
感染すると、自分自身のコピーをパソコン内に作成し、パソコン起動時に実行されるようにシステムを改変します。また、パソコン内から SNS 関連のデータを検索し、取得できた SNS のコンタクトリスト宛に、自身をダウンロードさせるためのリンクを記載したメッセージを送信します。

W32/Korgo (コルゴ)

このワームは、Windows の脆弱性[MS04-011]が存在するパソコンに感染します。

インターネットに接続されたパソコンをターゲットに、ポート445を通じて侵入し、ワーム本体をコピーして実行することで感染します。感染すると、レジストリを変更され、Windows の起動時にワームが実行されるようになります。また、感染対象のコンピュータを任意に検索し、感染拡大を試みます。

また、バックドアを仕掛けることで、外部から感染したパソコンにアクセスできるようになります。

W32/Kraze (クレイズ)

このウイルスは、プログラムファイルに感染するファイル感染型のウイルスです。
感染すると、特定の実行ファイルに感染を拡大します。また、指定された Web サイトへアクセスし、悪意あるプログラムをダウンロードして実行する機能も有しています。

W32/Kriz (クリッツ)

このウイルスはWindows95/98の32ビット実行形式ファイル(PE(*)ファイル、拡張子がEXE、SCR)に感染するファイル感染型ウイルスである。
感染したファイルを実行すると、WindowsのシステムフォルダにあるKernel32.dllを同じフォルダにKrized.tt6という名前でコピーし、このファイルに感染する。そして、次回起動時に、Kernel32.dllをKrized.tt6で上書きするようにWininit.iniファイルを作成する。
その後、メモリに常駐し、実行、コピー等を行うファイルに感染する。
毎年12月25日に、ウイルスがメモリに常駐した状態で感染したファイルを実行すると発病する。
発病は、マシンのCMOSを破壊し、全てのドライブのファイルを、無意味なデータで上書きして破壊 する。機種によっては、BIOSを破壊することもある。

W32/Lewor (レウォー)

このウイルスは、リムーバブルディスクを介して感染を拡大するウイルスです。
感染すると、自分自身のコピーを作成し、パソコンを起動する毎に自身が実行されるように設定を改変します。また、リムーバブルディスク(USB メモリ等)が接続されていた場合、当該ディスクに自分自身のコピーを作成します。

W32/Licum (リカム)

このウイルスは、Windows のセキュリティホールを悪用することで、ネットワークに接続しているだけで感染する可能性があります。
感染すると、特定のファイルのダウンロードを試みます。また、プログラムファイルに自身を追記することにより感染します。

W32/Lirva (リルバ)

このウイルスはWindows95/98/ME/NT/2000/XPで動作する。感染すると、OSが起動するたびにウイルスが実行されるようにシステムを変更する。

  ウイルスはファイルからメールアドレスを収集してメールを送信する。送信者アドレスは収集したメールアドレスから選ばれる(偽装される)。送信されるメールの内容は下記のとおり。

件名:Fw: Prohibited customers...
        Re: Brigade Ocho Free membership
        Re: According to Daos Summit
        Fw: Avril Lavigne - the best
        Re: Reply on account for IIS-Security
        Re: ACTR/ACCELS Transcriptions
        Re: The real estate plunger
        Fwd: Re: Admission procedure
        Re: Reply on account for IFRAME-Security breach
        Fwd: Re: Reply on account for Incorrect MIME-header     いずれかひとつ


本文:Avril fans subscription
        FanList admits you to take in Avril Lavigne 2003 Billboard awards ceremony
        Vote for I'm with you!
        Admission form attached below

    または

        Restricted area response team (RART)

        Attachment you sent to %s is intended to overwrite start address at 0000:HH4F
        To prevent from the further buffer overflow attacks apply the MSO-patch

    または

        Microsoft has identified a security vulnerability in Microsoft&reg; IIS 4.0 and 5.0
        that is eliminated by a previously-released patch.
        Customers who have applied that patch are already protected against the vulnerability
        and do not need to take additional action.
        Microsoft strongly urges all customers using IIS 4.0 and 5.0 who have not already done so
        To apply the patch immediately.

        Patch is also provided to subscribed list of Microsoft&reg; Tech Support:

添付ファイル名:Resume.exe、Download.exe、MSO-Patch-0071.exe、MSO-Patch-0035.exe、Two-Up-Secretly.exe、Transcripts.exe、Readme.exe、AvrilSmiles.exe、AvrilLavigne.exe、Complicated.exe、Singles.exe、Sophos.exe、Cogito_Ergo_Sum.exe、CERT-Vuln-Info.exe、Sk8erBoi.exe、IAmWiThYoU.exe    いずれかひとつ

 このメールをセキュリティーホールがあるメーラーで表示すると添付ファイルが自動実行される。
ウイルスはネットワークで共有されているフォルダにウイルスをコピーしてそれが実行されるように設定する。

  また、ウイルスはアンチウイルス製品などの一部のプログラムを強制終了させる。ウイルスはmIRC、ICQでウイルスを送信する。ウイルスはKaZaAで共有されているフォルダにウイルスをコピーする。ウイルスはキャッシュされているパスワードを特定のメールアドレスに送信する。

 ウイルスは毎月7日、11日、24日に発病して、http://www.avril-lavigne.comを表示し、デスクトップに
「AVRIL_LAVIGNE_LET_GO - MY_MUSE:」 2002 (c) Otto von Gutenberg」と書かれる。

W32/Locksky (ロックスカイ)

このウイルスは、メールの添付ファイルとして感染を拡大します。
感染すると、Windows フォルダに自分自身のコピーを作成します。また、パソコン起動時にウイルスが動作するように、レジストリを改ざんします。
その後、パソコン内に保存されているアドレス帳などからメールアドレスを収集し、取得できたアドレス宛に、自分自身を添付したウイルスメールを送信し、感染を拡大します。

W32/Looked (ルックド)

このウイルスは、ネットワーク共有を介して感染を拡大します。
感染すると、Windows フォルダに自分自身のコピーを作成します。また、パソコン起動時にウイルスが動作するように、レジストリを改ざんします。
その後、パソコン内の拡張子が「.exe」のファイルに自分自身を追記することで感染します。また、ネットワーク共有でアクセスできる「.exe」ファイルにも感染します。さらに、特定のセキュリティ対策製品の動作を強制終了させます。

W32/Lorez (ロレズ)

このウイルスは、exe ファイル(プログラムファイル)に自分自身を追加することで感染します。感染すると、ファイルサイズが増加しますが、主な発病はありません。また、メールを送信する等の機能はありません。

W32/Lovelorn (ラブローン)

このウイルスは、メールを介して感染拡大を試みます。感染すると、自分自身のコピーをsystemフォルダに Explorer.exe, Kernel32.exe, Netdll.dll, Serscg.dll として作成します。さらに、レジストリファイルを変更することによって、Windows の起動時に必ずウイルスが実行されるように設定します。
そして、アドレス帳などのファイルからメールアドレスを収集し、取得できたアドレス宛にウイルスを添付したメールを送信します。

W32/LoveSong (ラブソング)

このウイルスはWindows95/98の32ビット実行形式のファイルに感染するファイル感染型ウイルスである。感染したファイルを実行すると、ウイルスはメモリに常駐し、以降実行されるプログラムファイルに感染する。
2000年3月以降の毎月1日に発病し、韓国の有名企業のコマーシャルソングを演奏する。

W32/Lovgate (ラブゲート)

このウイルスに感染するとシステムフォルダに下記のファイルを作成します。 
WinRpcsrv.exe、syshelp.exe、winrpc.exe、WinGate.exe、rpcsrv.exe、ily.dll、Task.dll、reg.dll、1.dll 
また、レジストリや win.iniファイルを改変することにより、パソコン起動時にウイルスが実行されるようにします。

ウイルスは、拡張子に「ht」を含むファイルからメールアドレスを収集して、取得できたすべてのアドレス宛に、複数のメールパターンから選択してメールを送信します。

また、ネットワーク上にある不特定のパソコンにAdministrator(管理者権限)としてログインを試みます。ログインに成功すると、ウイルス自身をstg.exe というファイル名でコピーします。

さらに、ネットワークで共有されているフォルダを検索し、共有されているフォルダすべてにウイルスファイルをコピーします。

ウイルスは、以下の活動も行います。

* バックドアを仕掛け、外部から感染したパソコンの操作が可能になります。
* あらかじめ決められたメールアドレスへメールを送信します。
* 拡張子による関連付けが変更され、テキストファイルを開くとウイルスが起動するようになります。

W32/Lunalight (ルナライト)

このウイルスは、メールや P2P ファイル共有ソフトを介して感染を拡大するウイルスです。
感染すると、自分自身のコピーを作成し、Windows が起動されるたびに実行されるように設定を改変します。その後、アドレス帳などから収集したアドレス宛に、自分自身を添付したメールを送信することで感染を拡大します。また、P2P ファイル共有ソフトで一般的に利用される共有フォルダに自分自身のコピーを作成することで、ファイル共有ソフトを介して感染を拡大しようとします。
さらに、特定の Web サイトからファイルをダウンロードして実行したり、特定の Web サイトにアクセスすることで DoS 攻撃を引き起こす可能性があります。

W32/Mabezat (マベザット)

このウイルスは、ネットワーク共有を介して拡散するウイルスです。
感染すると、自分自身のコピーをパソコン内に作成します。また、ネットワーク共有を介して自分自身のコピーを作成します。
さらに、パソコン内に存在するプログラムファイル(拡張子 .exe)を検索し、見つかったファイルに感染します。

W32/Mabutu (マブツ)

このウイルスは、自身の複製をメールの添付ファイルとして拡散する活動を行います。また、P2P ソフトウェアの KaZaA を介しても感染を拡げます。
添付ファイルを開くと感染し、自分自身をランダムなファイル名で Windows ディレクトリにコピーします。また、レジストリファイルを変更することによって、Windows の起動時に必ずウイルスが実行されるように設定します。
また、パソコン内にあるアドレス帳や拡張子が.html、.txt、.htm のファイルからアドレスを収集し、取得できたアドレスに対して、自分自身を添付したメールを送信します。

W32/Madangel (マダンゲル)

このウイルスは、ネットワーク共有を介して感染するウイルスです。
感染すると、自分自身のコピーを作成し、拡張子が「.exe」のファイルに自分自身を追記することで感染します。また、特定のセキュリティ対策ソフトを停止しようとしたり、ネットワーク共有フォルダへアクセスし、「.exe」ファイルに感染しようとします。

W32/Magflag (マグフラッグ)

このウイルスは、アドレス帳などから取得できたメールアドレスに対して、ウイルス自身を添付したメールを送信し、感染を拡大します。
ウイルスファイルを実行して感染すると、自分自身のコピーをパソコン内に作成します。また、レジストリを改変することにより、パソコン起動時にウイルスが実行されるようにします。さらに、特定のサイトからファイルのダウンロードを試み、成功するとそのファイルを実行します。

W32/Magistr (マジストラ)

このウイルスはWindows32ビット実行形式(PE形式)のファイルに感染するファイル感染型ウイルスで、通常はメールの添付ファイルを介して感染を拡げる。
ウイルスに感染した添付ファイルを実行すると、システムにあるPE形式のファイルを検索し感染する。そして、OutlookExpressのアドレス帳に登録されているアドレス宛に以下の内容のメールを送信する。

・件名、本文:ランダムな文字列
・添付ファイル:感染したファイルをランダムに選択

ウイルスに感染後1ヶ月経過すると、CMOS、BIOSの内容及びハードディスクのデータが破壊される場合がある。

W32/Mapson (マプソン)

このウイルスに感染すると、MSN Messengerのメンバリストに登録されている全メールアドレスに自分自身を送信する。また、共有ネットワークやICQを介しても感染拡大を試みる。
さらに、ウイルス対策ソフトやファイアウォールなどのセキュリティ製品の動作を終了させる。

W32/Marburg (マルブルグ)

このウイルスはWindows95/98の32ビット実行形式ファイル(PE(*)ファイル)に感染するファイル感染型ウイルスで、メモリに常駐しないタイプのウイルスである。
感染したファイルを実行すると、カレントディレトリ、Windowsディレクトリ、system ディレクトリにある拡張子がEXEとSCR(スクリーンセーバー)のファイルに感染しようとする。
感染しているファイルを感染してから3ヶ月後に実行すると発病し、スクリーン上のいたるところにカラーアイコン(赤い丸の中に白い十字)を表示する。
(*PE:Portable EXEcutable 処理速度を速め、拡張性のある実行プログラムの新しい形式)

W32/Maslan (マスラン)

このウイルスは、パソコン内からメールアドレスを収集し、取得できたアドレスに対して、ウイルス自身を添付したメールを送信する活動を行います。
感染すると、特定の Web サイトに対して DoS 攻撃を行います。また、バックドアを設定され、外部からパソコンを悪用される可能性があります。
さらに、セキュリティ対策製品の機能を停止させる活動も行います。

W32/Meetot (ミートット)

このウイルスは、ネットワーク共有を介して、アクセス可能なパソコンに自分自身をコピーして感染を拡大します。

感染すると、自分自身のコピーを system フォルダに作成し、Windows 起動時にウイルスが実行されるようにします。なお、メールを送信して感染を拡大する機能はありません。

W32/Mercel (マーセル)

このウイルスは、メールの添付ファイルを介して感染を拡大します。
感染すると、自分自身のコピーをパソコン内に作成し、パソコン起動時に実行されるようにシステムを改変します。また、自分自身のコピーを添付したメールを送信します。
さらに、別のマルウェアをダウンロードして実行します。

W32/Mimail (ミメイル)

このウイルスはWindows95/98/ME/NT/2000/XPで動作し、OutlookまたはOutlook Expressの脆弱性[MS03-014]を利用する。ウイルスに感染すると、起動時にウイルスが実行されるように設定を変更される。

このウイルスはファイルを再帰的に検索してメールアドレスを収集し、取得できたメールアドレスに対してウイルスを添付したメールを送信する。送信されるメールの送信者名は、admin@(受信者のメールアドレスのドメイン名)になる。また、メールの件名、添付ファイル、本文は下記のとおり。

件名: your account <適当な文字列>
添付ファイル名: message.zip
本文:
Hello there,

I would like to inform you about important information regarding your
email address. This email address will be expiring.
Please read attachment for details.

---
Best regards, Administrator
<適当な文字列>

なお、添付ファイルはZIP形式で圧縮されており、その中にはmessage.htmlが含まれている。message.htmlファイルを実行することでmessage.htmlの中のウイルスが実行され、感染する。

W32/Misodene (ミソデーネ)

このウイルスは、パソコン内にあるアドレス帳やメールなどからメールアドレスを収集し、取得できたアドレスに対して、自分自身を添付したメールを送信する活動を行います。
添付ファイルを開くと偽のメッセージボックスを表示し感染します。

W32/Mocbot (モクボット)

このウイルスは、Windows のセキュリティホールを悪用することで感染を拡大します。そのため、ネットワークに接続しているだけで感染する可能性があります。
感染すると、システム設定を改ざんし、Windows の起動時にウイルスが動作するようにします。また、バックドアを開き、外部からの指令を待ち受けるように設定されます。

W32/Moega (モエガ)

このウイルスは、ネットワーク上のパソコンに、自身の持つユーザ名、パスワードリストを用いて侵入を試みる。アクセスに成功すると、自身のコピーを作成する。

感染すると、パソコン起動時にウイルスが起動されるようになり、感染を拡大する活動を行う。また、ポート139、445を開き、バックドアとしての活動も行う。

W32/Mofei (モフェイ)

このウイルスは、Windows 95/98/Me/NT/2000/XPで動作する。ウイルスが実行されると、Windowsのシステムフォルダにscardsvr32.exe、scardsvr32.dll、mofei.cfgを作成する。
ウイルスは、自身が保有しているパスワードリストを用いて、ネットワーク上のパソコンにログインを試みる。ログインに成功すると、そのパソコンにウイルスファイルをコピーし、それを実行して感染を拡大する。
なお、Windows9x/Meの場合、ファイルのコピーのみで感染活動はしない。

W32/Morto (モート)  2011年12月05日公開

このウイルスは、RDP(※)を使ってアクセス可能なパソコンに自分自身をコピーして感染を拡大します。
感染すると、tcpポート3389を通じて、Windowsのリモートデスクトップ機能が有効なパソコンを探します。有効なパソコンが見つかると、パスワードクラッキングを駆使して侵入を試みます。
(※ Remote Desktop Protocol:遠隔でパソコンの操作をする為に使われるプロトコルのこと。)

W32/Mota (モタ)

このウイルスは、自身の複製をメールの添付ファイルとして拡散する活動を行います。
添付ファイルを開くと感染し、自分自身をランダムなファイル名でWindowsディレクトリにコピーします。さらに、レジストリファイルを変更することによって、Windowsの起動時に必ずウイルスが実行されるように設定します。

また、パソコン内にあるアドレス帳やhtmlファイルからアドレスを収集し、取得できたアドレスに対して、自分自身を添付したメールを送信します。

W32/MSBlaster (エムエスブラスター)

このワームは、RPCインターフェイスのバッファオーバーランによりコードが実行される脆弱性[MS03-026]がある環境で感染する。まず、ポート135に攻撃データを送信し、侵入できると、ワーム本体をコピーして実行する

ワームに感染すると、マシンを起動するたびにワームが実行されるようになる。また、ワームは毎月16日以降または9月以降に発病する。発病するとwindowsupdate.comにDoS(サービス妨害)攻撃を仕掛ける。

W32/Msinit (エムエスイニット)

このウイルスは、Distributed.netと呼ばれるネットワーク経由分散処理プロジェクトで配布されるクライアントプログラムを拡げるものである。
ウイルスを実行すると、C:\Windows\Systemフォルダに、dnetc.EXE、dnet.iniというファイルを作成する。そして、distributed.netと呼ばれるネットワーク経由分散処理プロジェクトのクライアントマシンとして利用される。
また、ウイルスはIPアドレスを乱数で作成し、ローカルネットワークまたはインターネット経由で共有されているCドライブを検索する。これを見つけるとWindows\ systemフォルダを探し、存在すればここにウイルス自身(wininit.EXE)とdnetc.EXE、dnet.iniをコピーし、さらに起動時にウイルスが実行されるように、win.iniファイルを変更する。

W32/MTX (エムティエックス)

このウイルスは、32ビット実行形式のファイルに感染するウイルスである。
感染したファイルを実行すると、Windowsフォルダに、ウイルス及び関連ファイルを作成する。そして、システム起動時に、ウイルスが実行されるようにレジストリを変更する。また、Windowsフォルダ、テンポラリフォルダ゛、カレントフォルダ内を検索し、32ビット実行形式のファイルに感染する。
感染したマシンを再起動しメールを送信すると、もう1通、同じアドレスに、ウイルスを添付した件名・本文が空白のメールを送信する。添付ファイル名はメールの送信日により異なる。また、特定ワクチンベンダー等のWebサイトにアクセスできなくなる。
このウイルスは、Windows95/98環境で感染・発病する。

W32/Mugly (マグリー)

このウイルスは、パソコン内にあるアドレス帳やテキストファイルなど、複数のファイルからメールアドレスを収集し、取得できたアドレスに対して、自分自身を添付したメールを送信する活動を行います。また、Windows のセキュリティホールを悪用し、ネットワーク経由で感染を拡大する活動も行います。
感染すると、ウイルスが保有する画像を表示したり、パソコン内にバックドアを設定し、外部からのコマンドを受け付けるようになります。

W32/Mumawow (ミューマオ)

このウイルスは、プログラムファイルに感染するウイルスです。
感染すると、システムフォルダに自分自身のコピーを作成します。その後、アクセス可能なプログラムファイル(拡張子 .exe)に感染を拡大します。
また、特定の Web サイトからファイルをダウンロードしようとします。

W32/Mumu (ムム)

このウイルスは、Windows NT/2000/XPで動作し、自身の持つパスワードリストからランダムに選択したターゲットのネットワーク共有に接続を試みる。接続が確立されるとシステムフォルダにMumu.exeをコピーする。また、キーロガ−などの不正プログラムをインストールする。

W32/Mydoom (マイドゥーム)

このウイルスは、自身の複製をメールの添付ファイルとして拡散する活動を行い、KaZaa(P2Pソフト)を介しても感染を拡げます。
感染すると、Windows の system ディレクトリに taskmon.exe と shimgapi.dll をコピーする。さらに、レジストリファイルを変更することによって、Windows の起動時に必ずウイルスが実行されるように設定する。
また、特定のWebサイトに対してDoS攻撃(サービス妨害攻撃)を行う。

W32/Myfip (マイフィップ)

このウイルスは、アクセス可能なネットワーク共有を検索して、自分自身をコピーしようとします。その際、ウイルス自身が持つ、パスワードリストを利用してログインを試みます。
感染すると、パソコン内に存在する PDF ファイルを特定のサイトにアップロードしようとします。

W32/Mylife (マイライフ)

ウイルスは実行されると、画像を表示し、Outlookのアドレス帳の登録アドレス宛に、以下の内容のメールを送信する。

・件名:bill caricature
・本文:Hiiiii
    How are youuuuuuuu?
    look to bill caricature it's vvvery verrrry ffffunny :-) :-)
    i promise you will love it? ok
    buy
    ========No Viruse Found========
       MCAFEE.COM
  ----------------------------------------------------
・添付ファイル:cari.scr

ウイルスは時間が午前8時のときにはC〜Fドライブのルートフォルダにある全てのファイルを削除する。
また、システムフォルダにある下記ファイルも削除する。
*.sys *.vxd *.ocx *.nls
このウイルスはWindows95/98/ME/NT/2000/XPで動作する。

W32/Myparty (マイパーティ)

このウイルスは、Windows95/98/ME/NT/2000/XPで動作するウイルスで、 メールの添付ファイルを介して感染を拡げる。
感染すると、ウイルスを添付した以下の内容のメールを Outlook Expressのアドレス帳と受信/送信トレイなどから収集したアドレスに送信する。

件名:new photos from my party!
本文:Hello!
   My party... It was absolutely amazing!
   I have attached my web page with new photos!
   If you can please make color prints of my photos. Thanks!
添付ファイル:www.myparty.yahoo.com

W32/Mytob (マイトブ)

このウイルスは、パソコン内のアドレス帳などのファイルからメールアドレスを収集し、取得できたアドレスに対して、ウイルス自身を添付したメールを送信する活動を行います。また、アクセス可能なネットワーク共有を検索して、自分自身をコピーしたり、Windows のセキュリティホールを悪用してネットワークに接続しているパソコンに感染を拡大したりします。

感染すると、バックドアを仕掛けられ、外部からパソコン内のファイルを削除されたり、不正なプログラムを埋め込まれたりする危険があります。また、ワクチンベンダー等のセキュリティ関連サイトの閲覧を妨害するために、Hosts ファイルを改ざんします。

W32/Naras(ナラス)

このウイルスは、プログラムファイルに感染するファイル感染型のウイルスです。
感染すると、パソコン内に自分自身のコピーを作成し、パソコン起動時にウイルスが動作するように、レジストリを改ざんします。
また、キーボードからの入力を記録する機能を有しています。さらに、ルートキット機能もあり、自分自身の存在を隠します。

W32/Navidad (ナビダッド)

このウイルスは、メールの添付ファイルとして拡がるワームである。
このウイルスは受信トレイにある古いメール(添付ファイルが1つ付いたメール)を再利用して、当該メールのTOに書かれているアドレス宛に、元の添付ファイルをウイルス自身のファイル(Navidad.EXE)に添付し直してメールを送信することにより、感染を広げる。
感染すると、アプリケーションソフトが使用できなくなる。
(※添付ファイル名が「emanuel.EXE」という変種も発見されている。)

W32/Neeris (ニアリス)

このウイルスは、インスタントメッセンジャーを介して感染を拡大するウイルスです。
感染すると、システムフォルダに自分自身のコピーを作成し、起動時に実行されるようにシステムを改変します。また、メッセンジャーに登録されているコンタクトリスト宛に、自分自身を添付したメッセージを送信します。
さらに、感染したパソコンにバックドアを仕掛け、外部からアクセスできるようにします。

W32/Netsky (ネットスカイ)

このウイルスは、自身の複製をメールの添付ファイルとして拡散する活動を行う。
感染すると、自分自身を Windows ディレクトリに services.exe としてコピーする。さらに、レジストリを変更することによって、Windows の起動時に必ずウイルスが実行されるように設定する。
また、メールの添付ファイルを開いたとき、偽のエラーメッセージを表示し、感染したことに気付かせないようにしている。
さらに、「share」、「sharing」という単語を含むフォルダ名を検索し、発見したフォルダに自分自身をコピーする。

W32/Nimda (ニムダ)

このウイルスは、セキュリティホールを悪用したウイルスで、Windows95/98/ME/NT/2000で動作する。
マイクロソフト社の Internet Information Server (IIS) のセキュリティホールのあるシステムに侵入するとホームページを改ざんする。
セキュリティホールのあるInternetExplorerで改ざんされたホームページを見るとウイルスに感染する。
クライアントが感染すると、Outlookのアドレス帳に登録されているアドレス等にウイルスを添付したメールを送信する。
添付ファイル名はreadme.exeである。
そのウイルス付メールを受け取ると、Outlookではメールを開いただけで、OutlookExpressではプレビューしただけでも感染することがある。

W32/Niumu (ニウム)

このウイルスは、exe 形式等のファイルに感染を拡大するウイルスです。
感染すると、自分自身のコピーをパソコン内に作成します。また、パソコン内を検索し、拡張子が.exe や.scr のファイルに感染します。
さらに、ホームページへのアクセス状況を監視し、入力されたパスワードを外部に送信しようとします。

W32/Niuniu (ニウニウ)

このウイルスは、USB メモリ等の外部記憶媒体やネットワーク共有を介して感染を拡大するウイルスです。
感染すると、自分自身のコピーをパソコン内に作成し、パソコンの起動時に実行されるようにシステムを改変します。その後、外部記憶媒体やネットワーク共有フォルダに自分自身のコピーを作成することにより、感染を拡大します。また、パソコン内に存在している、拡張子が .htm などの特定のファイルに感染します。

W32/Nofer (ノファー)

このウイルスは、P2P アプリケーション(KaZaa)を介して感染を拡大します。ウイルスファイルを実行すると、自分自身のコピーをパソコン内に作成します。また、レジストリを改変することにより、パソコン起動時にウイルスが実行されるようにします。

W32/Nomvar (ノーバー)

このウイルスは、USB メモリ等の外部記憶媒体を介して感染するウイルスです。
感染すると、自分自身のコピーをパソコン内のすべてのドライブに作成します。結果として、USB メモリ等の外部記憶媒体を介して感染を拡大することになります。
また、特定のウェブサイトにアクセスして、不正なプログラムをダウンロードしようとします。

W32/Nuwar (ヌーウォー)

このウイルスは、メールの添付ファイルを介して感染を拡大するウイルスです。
感染すると、Windows のシステムフォルダに自分自身のコピーを作成し、Windows を起動する毎に自身が実行されるように設定を改変します。また、アドレス帳からメールアドレスを収集し、取得できたアドレス宛に、ウイルスを添付したメールを送信します。
さらに、感染したパソコンで動作している特定のセキュリティ対策製品の動作を停止します。

W32/Olmi (オルミ)

このウイルスは、メールの添付ファイルや P2P アプリケーションを介して感染を拡大します。
感染すると、Windows フォルダなどに自分自身のコピーを作成します。また、パソコン起動時にウイルスが動作するように、レジストリを改ざんします。
その後、アドレス帳から取得できたアドレス宛に、自分自身を添付したウイルスメールを送信する活動を行い、また、特定の P2P アプリケーション(KaZaA、LimeWire 等)を介しても感染する活動も行います。
さらに、バックドアを作成し、外部から操作できるように設定します。

W32/Opaserv (オパサーブ)

このウイルスはWindows 95/98/ME/NT/2000/XPで動作する。

ウイルスはネットワークで共有されているWindowsフォルダにScrSin.datとScrSout.datを作成することで感染を拡大する。また、レジストリの変更を行う。
ウイルスはあるサイトに接続してファイルをDownloadして実行する。しかし、このサイトは現在ありません。

W32/Oror (オラー)

このウイルスはWindows95/98/ME/NT/2000/XPで動作する。感染するとパソコンを起動するたびにウイルスが実行されるようになり、EXEファイルを実行することでもウイルスが実行されるようにシステムの設定を変更される。

また、アンチウイルス製品を強制終了し、アンチウイルス製品のファイルやWindowsフォルダにあるEXEファイルを削除する。

このウイルスは感染したパソコン内の受信トレイなどからメールアドレスを収集し、ウイルスを添付したメールを送信する。送信されるメールはセキュリティホールを悪用しているため、セキュリティホールを修正していないメールソフトでは、プレビューしただけで実行される。

ウイルスはネットワークで共有されているフォルダにウイルス自身をコピーする。また、KaZaAで共有されているフォルダにウイルス自身をコピーしてKaZaAでウイルスが共有されるようにする。

さらに、mIRCがインストールされている場合、mIRCの設定を変更してmIRCを通じて外部から感染したパソコンを操作できるように設定する。

W32/Palevo (パレボ)
このウイルスは、ネットワークを介して感染を拡大します。
感染すると、自分自身のコピーをパソコン内に作成し、パソコン起動時に実行されるようにシステムを改変します。また、Windows のセキュリティホールを悪用して、ネットワーク上のパソコンに感染を拡大しようとします。
さらに、バックドアを開き、外部のサーバーに接続しようとしたり、セキュリティ対策ソフトの機能を停止しようとします。
W32/Parite (パリット)

このウイルスはファイル感染型のウイルスで、実行されると「EXPLORER.EXE」に感染してメモリに常駐する。そして、パソコン内をすべて検索し、拡張子が .EXE, .SCRのファイルに対して感染する。感染を拡大するだけで、発病はありません。

W32/Pesin (ペシン)

このウイルスは、ネットワーク共有フォルダやフロッピーディスクを介して感染を拡大します。
感染すると、システムファイルを改ざんし、特定のキーボード入力を無効にしたり、特定のプログラムを強制終了したりします。
なお、メールを送信して感染を拡大する機能はありません。

W32/Piggi (ピッギ)

このウイルスは、メールや P2P ファイル共有ソフトを介して感染を拡大するウイルスです。
感染すると、自分自身のコピーを作成し、Windows が起動されるたびに実行されるように設定を改変します。また、アドレス帳などから収集したアドレス宛に、自分自身を添付したメールを送信することで感染を拡大します。
さらに、P2P ファイル共有ソフトで一般的に利用される共有フォルダに自分自身のコピーを作成することで、ファイル共有ソフトを介して感染を拡大しようとします。

W32/Pinit (ピニット)

このウイルスは、外部記憶媒体を介して感染を拡大します。
感染すると、自分自身のコピーをパソコン内に作成し、パソコン起動時に実行されるようにシステムを改変します。また、USB メモリ等の外部記憶媒体に自分自身のコピーを作成することで感染を拡大します。

W32/Plage (プレイジ)

このウイルスは通常、電子メールの添付ファイルとして広がっていく。
ウイルスを実行すると、WindowsフォルダにINETD.EXEというファイル名でウイルス自身をコピーし、次回起動時に自動的に実行されるようにwin.iniファイルを書き換える。
ウイルスは実行されると、受信トレイに未読メールがあると、そのメールの送信者に対して、ウイルスを添付した以下の内容の返信メールを送信する。添付ファイルのアイコンは、Zipの圧縮ファイルのアイコンになっている。

件名:Re:送信者のメールの件名

本文: P2000 Mail auto-reply:  
    
     ' I'll try to reply as soon as possible.  
    Take a look to the attachment and send me your opinion! '

       > Get your FREE P2000 Mail now! < 

添付ファイル名:Pics.EXE、images.EXE他

世界標準時で、水曜日の午前0時から午前2時(日本時間では水曜日午前9時から午 前11時の)の間に感染したマシンを実行すると、画像とメッセージを表示する。

W32/Plexus (プレクサス)

このウイルスは、Windowsのセキュリティホール[MS03-026]を悪用し、セキュリティホールの解消されていないパソコンに感染を拡大します。
感染すると、WindowsのシステムフォルダにUpu.exeというファイル名で自分自身をコピーします。また、レジストリファイルを変更することによって、Windowsの起動時に必ずウイルスが実行されるように設定します。
さらに、バックドアを仕掛けることで、外部から侵入できるように設定します。

W32/Poebot (ポエボット)

このウイルスは、Windows のセキュリティホールを悪用することで、ネットワークに接続しているだけで感染する可能性があります。
感染すると、システム設定を改ざんし、Windows の起動時にウイルスが動作するようにします。また、バックドアを開き、外部からの指令を待ち受けるように設定します。

W32/Polip (ポリップ)

このウイルスは、プログラムファイルに感染するファイル感染型のウイルスです。
感染すると、拡張子が .exe や .scr といったプログラムファイルに感染します。また、ファイル共有ソフト Gnutella の機能を利用して感染拡大を試みます。

W32/Porkis(ポーキス)

ウイルスは実行されるとイタリア語のメッセージボックスを表示し、OutlookExpressの登録アドレス宛に以下の内容のメールを送信する。

件名:Storielle.. 他

本文: Ciao,
    dai un'occhiata all'allegato e ti farai due risate ;-)
    Fammi sapere...

添付ファイル名:bar.exe、pippo.exe、porkis.exe

パソコンの日付が9月6日になるとメッセージを表示する。

W32/PrettyPark(プリティパーク)

W32/PrettyParkはワームの一種で、通常電子メールの添付ファイルとして拡がっていく。
PrettyPark.EXEを実行すると、自分自身をc:\Windows\systemフォルダに、Files32.vxdというファイル名でコピーし、 他のプログラムが実行される度に、ウイルスが実行されるようにレジストリを変更する。
実行プログラム(拡張子がEXE)が実行されると、Files32.vxdも実行され、ウイルスはメモリに常駐する。そして、マシンがインターネットに接続されている場合は30秒毎に特定の IRC(*1)サーバーに接続し、パスワード、ID等の情報を送信する。
また、インストールされているメーラー(*2)によっては、30分毎にアドレス帳に登録してあるメールアドレスに、PrettyPark.EXEというファイル名の自分自身を添付したメールを送信する。
 (*1 Internet Relay Chat)
 (*2 現在確認がとれているのは、マイクロソフト社のOutlookとOutlookExpress)

W32/Prolin(プロリン)

このウイルスは通常、電子メールの添付ファイルとして広がっていく。
ウイルスを実行すると、Outlookのアドレス帳にある全てのアドレスに対して、以下の内容のメールを送信する。

件名:A great Shockwave flash movie
本文:Check out this new flash movie that I downloaded just now ...
    It's Great
    Bye 
添付ファイル名:creative.EXE

また、マシンの全てのドライブを検索し、拡張子が、jpg、mp3、zipのファイルを全てCドライブのルートディレクトリに移動させ、「change atleast now to LINUX」という文字を拡張子として追加する。

例)○○○.zip→○○○.zipchange atleast now to LINUX

W32/Purol (プロル)

このウイルスは、P2P(Peer to Peer)のファイル共有ソフトを利用して感染を拡大します。感染すると、Windows の起動時にウイルスが実行されるように、レジストリを改変します。
また、特定のサイトに対して DoS 攻撃を行い、ウイルス対策製品の機能を停止する活動も行います。

W32/Pykspa (ピーワイケースパ)  2011年12月05日公開

このウイルスは、Skype(※)インスタントメッセンジャーやリムーバブルドライブを介して感染を拡大します。
感染すると、特定のプロセスを停止したり、セキュリティ関連サイトへのアクセスを妨害するために、Hostsファイルを改ざんしたりします。
(※スカイプ:日本マイクロソフト社が提供しているインターネット電話サービス。音声通話やチャット、ファイル転送などが行えます。)

W32/QAZ (キュウエイゼット)

このウイルスは、Windows32ビット環境で動作するトロイの木馬型ウイルスである。
このウイルスを実行すると、システム起動時にウイルスが動作するように、レジストリを変更する。
そして、Windowsフォルダ内のnotepad.EXEをnote.COMというファイル名に変更し、自分自身のコピーをnotepad.EXEというファイル名で、Windowsフォルダに作成する。また、LAN上のドライブを検索し、notepad.EXEファイルが存在した場合にも、同様の動作を行い感染する。
ファイルの破壊等の発病はないが、このウイルスが実行されメモリに常駐すると、外部からのリモートアクセスを受入れる設定にされる。

W32/Rahack (ラハック)

このウイルスは、ネットワーク共有を介して感染を拡大するウイルスです。
感染すると、システムフォルダに自分自身のコピーを作成します。また、ウイルスが保有しているパスワードリストを利用して、ネットワーク上のパソコンにアクセスを試みます。アクセスできた場合は、ウイルスファイルをコピーすることで感染を拡大します。

W32/Raleka (ラレカ)

このウイルスは、Windows のセキュリティホールを悪用し、ネットワーク上のパソコンに対して感染を拡大する活動を行います。
感染すると、自分自身のコピーをパソコン内に作成します。また、レジストリを改変することにより、パソコン起動時にウイルスが実行されるようにします。さらに、ボットとしての機能を有しており、特定の IRC サーバに接続し、サーバからの指令を待ち受けるようになります。

W32/Ramnit (ラムニット)

このウイルスは、exeファイル等に感染するファイル感染型ウイルスです。
感染すると、自分自身のコピーをパソコン内に作成し、パソコン起動時に実行されるようにシステムを改変します。また、パソコン内にある拡張子がexe、dll、htmのファイルに感染します。

W32/Ranchneg (ランチネグ)

このウイルスは、メールの添付ファイルを介して感染を拡大します。
感染すると、Windows のシステムフォルダに自分自身のコピーを作成します。また、パソコン起動時にウイルスが動作するように、レジストリを改ざんします。
その後、パソコン内に保存されているアドレス帳や文書ファイルなどからメールアドレスを収集し、取得できたアドレス宛に、自分自身を添付したウイルスメールを送信し、感染を拡大します。さらに、バックドアを作成し、外部からの指令を受け取るように設定します。

W32/Randex (ランデックス)

このウイルスは、DCOM RPCの脆弱性(MS03-026)を悪用して感染を拡大する。感染すると、自分自身のコピーをWindowsのSystemフォルダに作成し、また、IRC(インターネット・リレー・チャット)を利用して、外部からパソコンを操作できるようにする。

W32/Rants (ランツ)

このウイルスは、アドレス帳などから取得できたメールアドレスに対して、ウイルス自身を添付したメールを送信し、感染を拡大します。ウイルスファイルが実行されると、Windows フォルダに自分自身のコピーを作成します。また、レジストリを改変することにより、パソコン起動時にウイルスが実行されるようにします。
さらに、セキュリティ製品の機能を停止したり、セキュリティ関連サイトへのアクセスを妨害したりする活動を行います。

W32/Reatle (リアトル)

このウイルスは、アドレス帳などから取得できたメールアドレスに対して、ウイルス自身を添付したメールを送信し、感染を拡大します。また、Windows のセキュリティホールを悪用し、ネットワークに接続されたパソコンに対しても感染する活動を行います。

ウイルスファイルを実行すると、自分自身のコピーをパソコン内に作成します。また、レジストリを改変することにより、パソコン起動時にウイルスが実行されるようにします。さらに、特定の Web サイトにサービス妨害攻撃をしたり、バックドアを開いたりします。

W32/Remadm (レムアドム)

このウイルスは、ネットワーク共有を利用して感染を拡大します。対象のパソコンに侵入できた場合は、Windows の system ディレクトリに RAR.EXE というファイル名で自分自身をコピーします。
感染すると、セキュリティ対策製品の機能を停止しようとします。

W32/Resdoc (レスドック)

このウイルスは、メールの添付ファイルを介して感染拡大を試みます。感染すると、自分自身のコピーをsystem フォルダに SYSTEM.BAT として作成します。さらに、レジストリファイルを変更することによって、Windows の起動時に必ずウイルスが実行されるように設定します。

W32/Resik (レジック)

このウイルスは、ネットワーク共有を介して感染を拡大するウイルスです。
感染すると、自分自身のコピーを作成し、Windows が起動されるたびに実行されるように設定を改変します。また、アクセス可能なドライブに自分自身をコピーすることで感染を拡大しようとします。

W32/Resourcer (リソーサー)

このウイルスは、プログラムファイルに感染するウイルスです。
感染すると、プログラムファイルに感染します。また、バックドアを仕掛けたり、特定の Web サイトからファイルをダウンロードしようとします。

W32/Reyds (レイデス)

このウイルスは、実行形式のファイルに感染するウイルスです。
感染すると、パソコン内に自分自身のコピーを作成し、起動時に実行されるように設定します。また、特定のサイトからプログラムファイルをダウンロードしようとします。
さらに、セキュリティ対策製品がインストールされていた場合、動作を終了させようとします。

W32/Rinbot (リンボット)

このウイルスは、ネットワークを介して感染を拡大するウイルスです。
感染すると、Windows のシステムフォルダに自分自身のコピーを作成し、パソコンが起動されるたびに実行されるように設定を改変します。また、ウイルスが保有しているパスワードリストを利用して、ネットワーク上のパソコンにアクセスを試みます。アクセスできた場合、自分自身のコピーを作成します。
さらに、感染したパソコンにバックドアを仕掛けます。これにより、感染したパソコンは外部から操作することが可能な状態になります。

W32/Rontokbro (ロントクブロ)

このウイルスは、メールの添付ファイルを介して感染を拡大します。
感染すると、Windows フォルダなどに自分自身のコピーを作成します。また、パソコン起動時にウイルスが動作するように、レジストリを改ざんします。
その後、パソコン内に保存されているアドレス帳などからメールアドレスを収集し、取得できたアドレス宛に、自分自身を添付したウイルスメールを送信し、感染を拡大します。また、特定の条件に合致すると、パソコンを再起動することがあります。

W32/Rotor (ローター)

このウイルスは、拡張子が.exe や.scr のファイルをパソコン内から検索し、発見したファイルに自分自身を追記して感染します。また、パソコン内にバックドアを設定し、外部からのコマンドを待ち受けるようになります。

W32/Sachiel (サチエル)

このウイルスは、フロッピーディスクなどの媒体を通じて感染します。

ウイルスファイルを実行することで感染し、パソコン内に自分自身のコピーを作成します。また、フロッピーディスクにも自分自身のコピーを作成します。この感染したファイルが保存された媒体を介してのみ、感染の拡大がおこります。

W32/Sality (サリティ)

このウイルスは、ファイル感染型で、感染したファイルを実行することで感染します。
感染すると、特定の文字列を含むファイルを削除したり、メッセージボックスを表示したりすることがあります。また、パソコン内の IP アドレス、ホスト名などの情報を収集し、その情報を外部に送信する可能性があります。

W32/Saros (サロス)

このウイルスは、電子メールやファイル共有ソフトを介して感染を拡大するウイルスです。
感染すると、自分自身のコピーをパソコン内に作成し、パソコン起動時に実行されるようにシステムを改変します。また、特定のファイル共有ソフトで利用される共有フォルダにウイルスをコピーすることで、当該ソフトの利用者間で感染が拡大するように仕組みます。
さらに、パソコン内から取得できたメールアドレス宛に、自分自身を添付したメールを送信します。

W32/Sasser (サッサー)

このワームは、Windows の脆弱性[MS04-011]が存在するパソコンに感染します。
インターネットに接続されたパソコンをターゲットに、ポート445を通じて侵入し、ワーム本体をコピーして実行することで感染します。感染すると、レジストリを変更され、Windows の起動時に必ずワームが実行されるようになります。また、感染対象のコンピュータを任意に検索し、感染拡大を試みます。
亜種によっては、標的とするパソコンを発見するため、 ICMP エコーパケットを送信する可能性があります。

W32/Scanbot (スキャンボット)

このウイルスは、ネットワーク共有フォルダを介して感染を拡大します。
感染すると、Windows フォルダなどに自分自身のコピーを作成します。また、パソコン起動時にウイルスが動作するように、レジストリを改ざんします。
また、バックドアを作成することにより、外部から操作できるように設定します。

W32/Scrimge (スクライム)

このウイルスは、MSN Messenger を介して感染を拡大するウイルスです。
感染すると、自分自身のコピーをパソコン内に作成し、パソコンの起動時に実行されるようにシステムを改変します。
また、MSN Messenger のコンタクトリスト宛に、自分自身を添付してメッセージを送信します。さらに、バックドアを仕掛けることで、リモートからの操作を可能にします。

W32/Selex(セレックス)

このウイルスは、電子メールを介して感染を拡大するウイルスです。
感染すると、自分自身のコピーをパソコン内に作成し、パソコン起動時に実行されるようにシステムを改変します。また、パソコン内から取得できたメールアドレス宛に、ウェブサイトへの URL を含んだメールを送信します。
その後、特定のウェブサイトからファイルのダウンロードを試みます。

W32/Setclo (セットクロ)

このウイルスは、ネットワーク共有を介して、アクセス可能なパソコンに自分自身をコピーして感染を拡大します。

感染すると、自分自身のコピーを Windows のルートディレクトリに作成し、Windows 起動時にウイルスが実行されるようにします。なお、メールを送信して感染を拡大する機能はありません。

W32/Shoho (ショホ)

このウイルスは、マイクロソフト社の Internet Explorer のセキュリティホールを悪用したウイルスで、Outlook では開いたとき、Outlook Express ではプレビューしただけで感染する。
感染すると、以下の内容のメールを Outlook Express のアドレス帳等から取得した全てのアドレスに送信する。

件名:Welcome to Yahoo! Mail
本文:空白
添付ファイル名:readme.txt       .pif
注).txt と .pifの間には、長いスペースが入っている。

このウイルスは、Windows95/98/ME/NT/2000/XPで動作する。

W32/Sircam (サーカム)

このウイルスは Windows 32ビット環境下で動作するウイルスで、メールの添付ファイルを介して感染を拡げる。ウイルスに感染すると、以下の内容のメールを送信する。

宛先:
Outlook,Outlook Express のアドレス帳の登録アドレスすべて並びに「テンポラリ・インターネット・ファイル」フォルダ(Webブラウザのキャッシュフォルダ)にあるファイルの中から取得したアドレス

件名:
ランダム「マイドキュメント」フォルダにあるMSwordやMSexcelのファイル名

本文:
下記いずれのバージョンも1行目と最終行は確定しているが、その間の文はランダムに選ばれる。バージョンは送り側で決定される。

英語バージョン
    1行目: Hi! How are you?
        ・I send you this file in order to have your advice
        ・I hope you can help me with this file that I send
        ・I hope you like the file that I send you
        ・This is the file with the information that you ask for
    最終行: See you later. Thanks スペイン語バージョン
    1行目: Hola COMo estas ?
        ・Te mando este archivo para que me des tu punto de vista
        ・Espero me puedas ayudar con el archivo que te mando
        ・Espero te guste este archivo que te mando
        ・Este es el archivo con la informacion que me pediste
    最終行: Nos vemos pronto, gracias.

添付ファイル:
件名に2重拡張子が付けられたもの

発病:10月16日に Cドライブのすべてのファイルとディレクトリを削除する。また、起動時にハードディスクの未使用スペースを埋めてしまう。

W32/Sixem (シゼム)

このウイルスは、メールの添付ファイルを介して感染を拡大します。
感染すると、Windows のシステムフォルダに自分自身のコピーを作成します。また、パソコン起動時にウイルスが動作するように、レジストリを改ざんします。
その後、パソコン内に保存されているアドレス帳などからメールアドレスを収集し、取得できたアドレス宛に、自分自身を添付したウイルスメールを送信し、感染を拡大します。さらに、セキュリティ対策製品を含む、複数のプロセスを停止させます。

W32/Ska(エスケイエイ)

W32/SkaはHappy99とも言われ、トロイの木馬の一種である。 このウイルスは、通常、電子メールやニュースグループ上の添付ファイルとして拡がっていく。
電子メールの場合、他の自分宛のメールと同じタイミングで Happy99.EXEというファイルだけが添付されたメールが届く。送り主は大抵の場合、直前にメールを送ってきた人物と同一である。
Windows95/98のユーザが、このファイルを実行すると「Happy New Year 1999」 というタイトルの花火の画像が表示される。
W32/SkaはSKA.EXEとSKA.DLLという名前のファイルをWindowsのsystemフォルダに作成し、Windows が元から備えているWSOCK32.DLLファイルをWSOCK32.SKAという名前でバックアップした後、このWSOCK32.DLLの一部を書き換える。
WSOCK32.DLL が書き換えられたコンピュータでインターネット接続し、電子メール(またはニュース)を送ると、W32/Skaは、そのメッセージと同じ宛て先に、もう1通、Happy99.EXEを添付した同じ件名のメールを送信する。メーラーを利用してメールを作成していないので、メーラーに履歴が残ることはない。また、Happy99.EXEの添付されたメールの本文は空である。

W32/Slanper(スランパー)

このウイルスは、ランダムに選択したIPアドレスのポート445をスキャンする。そして自身の持つパスワードリストを用いてネットワーク共有にアクセスを試みる。アクセスに成功すると、自身のコピーを作成し、そのファイルが実行されるようにシステムを変更する。感染すると、自動的にウイルスが起動されるようになり、感染を拡大する活動を行う。

W32/Slugin(スラジン)

このウイルスは、実行形式のexeファイルに感染します。感染すると、自分自身のコピーをパソコン内に作成し、パソコン起動時に実行されるようにシステムを改変します。また、パソコン内にバックドアも作成し、攻撃者が外部からそのパソコンを操作できるようにします。

W32/Snapper (スナッパー)

このウイルスはメールを介して感染を拡大します。添付ファイルはありませんが、Windowsのセキュリティホール[MS03-040]を悪用することで、メールを開いただけで、Webサイトからウイルスファイルをダウンロードして感染させます。
感染すると、アドレス帳に登録されたアドレス宛にメールを送信します。

W32/Sober(ソバー)

このウイルスは、自身の複製をメールの添付ファイルとして拡大する活動を行う。感染すると、自分自身のコピーをWindowsのSystemフォルダに作成する。また、パソコン起動時にウイルスが動作するようにレジストリを変更する。

パソコン内に記録されたメールアドレスを収集し、取得できたアドレス宛にウイルスを添付したメールを送信する。送信されるメールの件名、添付ファイル名等は、ウイルスが保有するリストからランダムに選択される。また、差出人(From)アドレスを詐称する。

W32/Sobig(ソービッグ)

このウイルスが実行されるとウイルス自身をコピーしてシステムにインストールする。感染すると、拡張子がtxt、eml、html、htm、dbx、wabのファイルからメールアドレスを収集して、取得できたすべてのアドレス宛に以下の内容のメールを送信する。

件名: Re: Movies
         Re: Sample
         Re: Document
         Re: Here is that sample       いずれかひとつ

本文: Attached file:

添付ファイル名:Movie_0074.mpeg.pif
                      Document003.pif
                      Untitled1.pif
                      Sample.pif            いずれかひとつ

送信者アドレス:big@boss.com

また、自分自身をWindowsフォルダにwinmgm32.exeという名前でコピーする。そしてレジストリの 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WindowsMGM
にWindowsフォルダのwinmgm32.exeへのフルパスを登録する。これにより、パソコン起動時にウイルスが実行されるようになる。
このウイルスは、Windows95/98/ME/NT/2000/XPで動作する。

W32/Sohanad(ソハナッド)

このウイルスは、IM(Instant Messenger)を介して感染を拡大するウイルスです。
感染すると、自分自身のコピーを作成し、パソコンを起動する毎に自身が実行されるように設定を改変します。また、IM を利用してウイルス付きのメッセージを送信することで、感染を拡大します。さらに、特定の Web サイトにアクセスし、他のプログラムをダウンロードしようとします。

W32/Spyrat(スパイラット) 2012年03月05日公開

このウイルスは、USBメモリ等の外部記憶媒体やファイル共有ソフトを介して感染を拡大します。
感染すると、Windowsが起動されるたびに自分自身が実行されるように設定をします。また、バックドアを設定され、外部からパソコンを悪用される可能性があります。

W32/SQLSlammer(エスキューエルスラマー)

このワームは脆弱性があるMicrosoft SQL サーバ 2000またはMicrosoft Desktop Engine 2000が動作しているマシンに感染する。

感染したマシンはランダムに選んだ他のマシンのポート1434 /udpを攻撃する。ワームに感染すると大量の攻撃が行われるため、ネットワークが遮断されることがある。ワームはメモリに存在し、ファイルとしての実体はない。

W32/Stator (ステーター)

このウイルスは、パソコン内からメールアドレスを収集し、取得できたアドレスに対して、ウイルス自身を添付したメールを送信する活動を行います。
感染すると、レジストリを改変され、Windows の起動時と exe ファイルの実行時にウイルスが動作するように設定されます。また、バックドアを設定され、外部からパソコンを悪用される可能性があります。

W32/Stration (ストレーション)

このウイルスは、メールの添付ファイルを介して感染を拡大します。
感染すると、Windows フォルダに自分自身のコピーを作成します。また、パソコン起動時にウイルスが動作するように、レジストリを改ざんします。
その後、パソコン内に保存されているアドレス帳やメールファイルなどからアドレスを収集し、取得できたアドレス宛に、自分自身を添付したウイルスメールを送信し、感染を拡大します。
さらに、特定のサイトからファイルをダウンロードします。

W32/Stuxnet (スタックスネット)

このウイルスは、USBメモリ等の外部記憶媒体を介して感染を拡大します。
感染すると、自分自身のコピーをパソコン内に作成し、パソコン起動時に実行されるようにシステムを改変します。その後、アクセス可能な外部記憶媒体に、自分自身のコピーを作成することで感染を拡大します。なお、Windowsの脆弱性(MS10-046)を悪用しており、ウイルスファイルをエクスプローラで表示しただけで感染する機能を有しています。

W32/Swen(スウェン)

このウイルスは、「トロイの木馬型」で、自身の複製をメールの添付ファイルとして拡大する活動を行う。感染すると、自分自身のコピーを、不定のファイル名を使ってWindowsのインストール先のフォルダに作成する。

メール送信活動:

感染したコンピュータ内のWindowsのアドレス帳や特定の拡張子(.eml、.wab、.dbx、.mbx )のファイルから、更にインターネット上のニュースグループを検索し、メールアドレスを収集し、取得できたアドレス宛にウイルスメールを送信する。メールの件名、本文、差出人欄に表示されるアドレスは不定になり、Internet Explorerの修正プログラムの案内メールを装ったり、qmailというメールサーバーソフトウェアからの送信エラー通知メールを装ったものもある。
さらに、以下の活動も行う。

1. ネットワークで共有されているパソコンのStartupフォルダ内に自分自身をコピーして感染を拡大する。
2. IRC(インターネット・リレー・チャット)経由で同じチャネルに接続した他のIRCユーザに自分自身を送信する。
3.ファイル共有ソフトウェア(KaZaA)を介して接続先のパソコンのテンポラリーフォルダ内に自分自身をコピーし、感染を拡大する。
4.ニュースグループに投稿する。
5.セキュリティ製品(ワクチンソフト、ファイアウォール)の動作を終了させる。

W32/Tecata (テカタ)

このウイルスはWindows95/98/MEで動作する。ウイルスは実行されているプログラムを列挙してそのプログラムに感染しようとする。

ウイルスに感染したプログラムはファイルサイズが増加し、Windows95/98/ME以外で実行すると強制終了される。なお、発病はない。

W32/Tenga (テンガ)

このウイルスは、ネットワーク共有フォルダを介して感染を拡大します。

感染すると、パソコン内にある拡張子 exe のファイルに感染を拡大していきます。なお、メールを送信して感染を拡大する機能はありません。

W32/Tenrobot (テンロボット)

このウイルスは、ファイル感染型のウイルスで、感染ファイルのやり取りによって侵入する。感染ファイルを実行すると、メモリに常駐し、以後使用されたプログラムファイルにウイルスコードを追加して、感染する。

 また、バックドアとしての機能も有している。

W32/Tilebot (タイルボット)

このウイルスは、ネットワーク共有フォルダを介して、アクセス可能なコンピュータに感染を拡大します。また、Windows のセキュリティホールを悪用することでも感染を拡大します。
感染すると、Windows XP のセキュリティ機能を無効化したり、パソコンのシステム情報を外部に送信したりします。
さらに、バックドアを仕掛け、感染したコンピュータに対して、外部から様々な操作をすることが可能となります。

W32/Toal (トール)

このウイルスは、メールの添付ファイルを介して感染を拡大します。
感染すると、自分自身のコピーをパソコン内に作成し、パソコン起動時に実行されるようにシステムを改変します。また、パソコン内から取得できたメールアドレスに対して、自分自身のコピーを添付したメールを送信します。
さらに、セキュリティ対策ソフトの機能を停止しようとします。

W32/Torvil (トルビル)

このウイルスは、メール等を介して感染拡大を試みます。感染すると、自分自身のコピーを system フォルダに svchost.exe などのファイル名で作成します。さらに、レジストリファイルを変更することによって、Windows の起動時に必ずウイルスが実行されるように設定します。
そして、メールの送信に加え、P2P や ICQ、mIRC などを使用して感染を拡大する活動を行います。また、ウイルス対策製品などを停止しようとします。

W32/Trats (トラッツ)

このウイルスは、プログラムファイルに感染するファイル感染型のウイルスです。
感染すると、自分自身のコピーをパソコン内に作成し、パソコンの起動時に実行されるようにシステムを改変します。その後、拡張子が .exe のプログラムファイルに感染します。

W32/Traxg (トラックスジー)

このウイルスは、アドレス帳から取得できたメールアドレスに対して、自分自身を添付してメールを送信する活動を行います。また、レジストリを改変し、Windows の起動時にウイルスが実行されるように設定します。
送信されるメールには、Document.exe ファイルが添付され、このファイルを開くと感染します。

W32/Tufik (トゥフィク)

このウイルスは、ファイル感染型で、感染したファイルを実行することで感染します。ウイルスが動作すると、パソコン内を検索し、プログラムファイル(拡張子 exe のファイル)に感染します。

W32/Tzet (ティーゼット)

このウイルスは、自身が保有するユーザ名とパスワードを利用し、ネットワーク経由で感染を拡大する活動を行います。脆弱なパスワードを設定していると感染する可能性があります。
感染すると、バックドアを設定され、外部からパソコンを悪用される可能性があります。

W32/Uisgon (ウィスゴン)

このウイルスは、ネットワーク共有を介して感染を拡大するウイルスです。
感染すると、自分自身のコピーを作成し、Windows が起動されるたびに実行されるように設定を改変します。また、アクセス可能なネットワークドライブにある特定のファイルを上書きする可能性があります。

W32/Uporesc(アポレスク)

このウイルスは、exe 形式等のファイルに感染したり、USB メモリ等の外部記憶媒体に自分自身をコピーして感染を拡大するウイルスです。
感染すると、自分自身のコピーをパソコン内に作成し、パソコン起動時に実行されるようにシステムを改変します。また、パソコン内を検索し、拡張子が.exe や.htm 等のファイルに感染します。
さらに、USB メモリ等の外部記憶媒体に自分自身のコピーを作成することで感染を拡大します。

W32/Validin (バリディン)

このウイルスは、MTML 形式等のファイルに感染し、さらにネットワーク共有を介して感染を拡大するウイルスです。
感染すると、Windows のシステムフォルダに自分自身のコピーを作成し、パソコンが起動されるたびに実行されるように設定を改変します。また、ネットワークドライブにアクセスできた場合、そのドライブに存在している HTML 形式等のファイルに感染を拡大します。

W32/Valla (バラ)

このウイルスは、Windows 95/98/Me/NT/2000/XPで動作する。
ウイルスはWindowsフォルダとシステムフォルダ、カレントフォルダとカレントフォルダの1つ下のフォルダを再帰的に検索し、拡張子がEXEのプログラムに感染する。感染したプログラムはファイルサイズが2048バイト増加する。発病はない。

W32/Vbmania (ブイビーマニア) 2011年11月04日公開

このウイルスは、パソコン上のすべてのドライブや共有フォルダ、IM(Instant Messenger)(※)を介して感染を拡大するウイルスです。
感染すると、自分自身のコピーをパソコン内に作成し、パソコンの起動時に実行されるようにシステムを改変します。また、IMを介して、「Here you have」などの件名で自分自身コピーしたメールを大量に送信します。さらに、特定のサイトからファイルをダウンロードしようとします。
(※ インターネットに接続したパソコン同士で、チャットやファイルのやりとりができるソフトウェア。同じソフトを利用している仲間がインターネットに接続しているかどうかがわかり、リアルタイムにメッセージを送ることができます。)

W32/Vbsclick (ブイビーエスクリック) 2011年05月09日公開

このウイルスは、メール、IRC、ネットワーク共有、IM、P2Pアプリケーション等を介して感染を拡大します。
感染すると、自分自身のコピーを作成し、パソコン起動時に実行されるようにシステムを改変します。

W32/Virut (ヴィルト)

このウイルスは、プログラムファイルに感染を拡大するウイルスです。
感染すると、パソコン内の拡張子が「.exe」、「.scr」のファイルに自分自身を追記することで感染します。また、バックドアを開き、外部からの指令を受け取るように設定します。

W32/Vispat (ビスパット)

このウイルスは、メールを介して感染を拡大するウイルスです。
感染すると、パソコン内に自分自身のコピーを作成し、起動時に実行されるように設定します。また、パソコン内にあるファイルからメールアドレスを収集し、取得できたアドレスに対して、自分自身を添付したメールを送信します。
さらに、Internet Explorer のスタートページを変更したり、セキュリティレベルの設定を改変したりします。

W32/Vutsog (ブートソグ)

このウイルスは、メールを介して感染を拡大するウイルスです。
感染すると、自分自身のコピーを作成し、Windows が起動されるたびに実行されるように設定を改変します。また、パソコンに保存されているアドレス帳など、複数のファイルから、メールアドレスを収集します。取得できたアドレスに対して自分自身を添付したメールを送信することで、感染を拡大します。

W32/Waledac (ワレダック)

このウイルスは、電子メールを介して感染を拡大します。
感染すると、自分自身のコピーをパソコン内に作成し、パソコン起動時に実行されるようにシステムを改変します。また、パソコン内を検索し、電子メールアドレスを収集します。取得できたアドレスに対して、ウイルスが掲載されたリンク先を含むメールを送信します。
さらに、バックドアの機能を有し、外部から操作される可能性があります。

W32/Wallz (ウォールズ)

このウイルスは、Windows のセキュリティホールを悪用し、ネットワークに接続されたパソコンに対して感染を拡大します。セキュリティホールが解消されていない場合、ネットワークに接続しているだけで感染する可能性があります。

感染すると、パソコン内に自分自身のコピーを作成し、特定の IRC サーバに接続します。これにより、感染したパソコンの IP アドレスが送信されます。

W32/Wapomi (ワポミ) 2011年05月09日公開

このウイルスは、プログラムファイルに感染するファイル感染型のウイルスです。
感染すると、自分自身のコピーを作成し、Windowsを起動する毎に自身が実行されるように設定を改変します。また、拡張子が「.exe」のファイルに自分自身を追記することで感染を拡大します。

W32/Wergimog (ワルジモグ) 2012年10月17日公開

このウイルスは、リムーバブルドライブを介して感染を拡大するウイルスです。 感染すると、バックドアを開いてパソコンの情報を盗み取り、外部に情報を送信します。また、このウイルスの亜種によっては複数のSNSサイトに投稿を試みます。

W32/Welchia (ウェルチア)

このワームは、RPC インターフェイスのバッファオーバーランによりコードが実行される脆弱性[MS03-026]がある環境で感染する。まず、ICMP リクエスト(Ping)を送信し、応答があったアドレスに対して、ポート135に攻撃データを送信する。侵入できると、ワーム本体をコピーして実行する。

また、侵入したマシンで W32/MSBlaster が動作していた場合は、動作を停止して削除する。さらに、[MS03-026]の修正プログラムの適用を試みる。(日本語環境では行われない。)

W32/Whybo (ファイボ)

このウイルスは、プログラムファイルに感染するウイルスです。
感染すると、Windows のシステムフォルダに自分自身のコピーを作成し、Windows が起動されるたびに実行されるように設定を改変します。また、アクセス可能なドライブに存在するプログラムファイル(拡張子が .exe のファイル)に感染します。

W32/Wikedir (ワイクディア)

このウイルスは、メールの添付ファイルやファイル共有ソフトを介して感染を拡大するウイルスです。
感染すると、アドレス帳等からメールアドレスを収集し、取得できたアドレス宛に自分自身を添付したメールを送信します。
また、KaZaa などのファイル共有ソフトの共有フォルダに自分自身をコピーすることで、ファイル共有ソフトのユーザ間でも感染の拡大を試みます。

W32/Winevar(ウィンエバー)

このウイルスが実行されるとウイルス自身をコピーしてシステムにインストールする。ウイルスは拡張子がhtm、dbxのファイルからメールアドレスを収集し、取得できたアドレス宛に以下のメールを送信する。

件名:Re: AVAR(Association of Anti-Virus Asia Reseachers) 
または N`4?%s  (%sはレジストリから取得した組織名)

(レジストリから取得できなかったときには「Trand Micro Inc.」および「AntiVirus」となる。)

本文: AVAR(Association of Anti-Virus Asia Reseachers) - Report.
     Invariably, Anti-Virus Program is very foolish.

添付ファイル名: WIN%d.TXT (12.6 KB) MUSIC_1.HTM
             WIN%d.GIF (120 bytes) MUSIC_2.CEO
             WIN%d.PIF                (%dは乱数によるいくつかの数字)

ウイルスはOSの再起動時にタイトルが「Make a fool of oneself 」で内容が「What a foolish thing you have done!」というメッセージボックスを表示する。OKボタンを押すとメッセージボックスは閉じ、ウイルスはシステムフォルダがあるドライブを再帰的に検索してすべてのファイルを削除する。

また、このウイルスはW32/FunLoveの亜種を含んでおり、ウイルスが実行されるとシステムはW32/FunLoveに感染する。
ウイルスは、Windows95/98/ME/NT/2000/XPで動作し、一部のアンチウイルス製品などを終了させる。

W32/Winko (ウィンコ)

このウイルスは、アクセス可能なドライブに対して自分自身をコピーすることで感染を拡大します。
感染すると、自分自身のコピーをパソコン内に作成し、起動時に実行されるようにシステムを改変します。また、特定の Web サイトにアクセスし、不正なプログラムをダウンロードしようとします。

W32/Winur (ウィヌール)

このウイルスは、KaZaA および WinMX ファイル共有プログラムを使って感染を拡大する。感染すると、winrun というフォルダを作成し、自身のコピーをそのフォルダ内に作成する。

また、パソコン起動時にウイルスが実行されるように、レジストリを変更する。

W32/Womble (ウォンブル)

このウイルスは、メールの添付ファイルを介して感染を拡大します。
感染すると、Windows のシステムフォルダに自分自身のコピーを作成します。また、パソコン起動時にウイルスが動作するように、レジストリを改ざんします。
その後、パソコン内に保存されているアドレス帳などからアドレスを収集し、取得できたアドレス宛に、自分自身を添付したウイルスメールを送信し、感染を拡大します。

W32/Wozer (ウォザー)

このウイルスは、自身の複製をメールの添付ファイルとして拡散する活動を行います。
添付ファイルを開くと感染し、自分自身をExplore.exeというファイル名でWindowsのシステムディレクトリにコピーします。さらに、レジストリファイルを変更することによって、Windowsの起動時に必ずウイルスが実行されるように設定します。
また、パソコン内にあるアドレス帳など、複数の拡張子(.htm、.wabなど)のファイルからアドレスを収集し、取得できたアドレスに対して、自分自身を添付したメールを送信します。さらに、ネットワーク上で共有されているフォルダに自分自身のコピーを作成して感染したり、IRC(Internet Relay Chat)を通じても感染を拡大します。

W32/Wuke (ウーク)

このウイルスは、プログラムファイルに感染するウイルスです。
感染すると、Windows フォルダに自分自身のコピーを作成します。また、アクセス可能なドライブに存在するプログラムファイル(拡張子が .exe のファイル)に感染します。

W32/Wukill (ウーキル)

このウイルスは、メールの添付ファイルを介して感染拡大を試みます。感染すると、自分自身のコピーを Windows フォルダに MSTRAY.EXE として作成します。さらに、レジストリファイルを変更することによって、Windows の起動時に必ずウイルスが実行されるように設定します。

また、アドレス帳に登録されたメールアドレスすべてに対して、ウイルスを添付したメールを送信します。

W32/Wurmark (ウーマーク)

このウイルスは、メールボックスなどから取得できたアドレスに対して、ウイルス自身を添付したメールを送信する活動を行います。

添付されるファイルは zip 形式となり、送信されるメールの件名、添付ファイル名はいくつかのパターンから選択されたものになります。
また、キーロガーを埋め込むため、キーボードから入力した情報が記録されます。

W32/Xirtam (キシリターム)

このウイルスは、メールを介して感染を拡大するウイルスです。
感染すると、パソコン内に自分自身のコピーを作成し、起動時に実行されるように設定します。また、パソコン内にあるファイルからメールアドレスを収集し、取得できたアドレスに対して、自分自身を添付したメールを送信します。

W32/Yaha(ヤハ)

このウイルスに感染すると、OutlookExpressのアドレス帳、MSN Messenger、Yahooページャー、ICQ、Internet Explorerのキャッシュ、ディスクトップとマイドキュメントの拡張子がtxtまたはdocのファイルからメールアドレスを収集して下記の内容のメールを送信する。

件名:Check the attachment
See the attachement
Enjoy the attachement など、複数の件名からランダムに選択される。

本文:Check the attachment See the attachement Enjoy the attachement More details attached This message was created automatically by mail delivery software (Exim).

A message that you sent could not be delivered to one or more of its recipients.
This is a permanent error. The following address(es) failed: 

For further assistance, please contact < postmaster >
If you do so, please include this problem report. You can
delete your own text from the message returned below.

Copy of your message, including all the headers is attached 

----- Original Message -----
From: "" < >
To: < >
Sent: 
Subject: <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> 
This e-mail is never sent unsolicited. If you need to unsubscribe, 
follow the instructions at the bottom of the message.
*********************************************************** 

Enjoy this friendship Screen Saver and Check ur friends circle...

Send this screensaver from www. to everyone you consider a FRIEND, even if it means sending it back to the person who sent it to you. If it comes back to you, then you'll know you have a circle of friends.

* To remove yourself from this mailing list, point your browser to: 
http:// /remove?freescreensaver 
* Enter your email address () in the field provided and click "Unsubscribe". 

OR... 

* Reply to this message with the word "REMOVE" in the subject line.

This message was sent to address X-PMG-Recipient:

添付ファイル名: 例:loveletter. doc. pif ランダムな組み合わせ
(主ファイル名)        +    (中間)      +    (拡張子)
loveletter、resume、biodata   doc、mp3、xls、dat       pif、bat、scr
dailyreport、mountan、goldfish  wav、txt、jpg、gif、
weeklyreport、report、love    bmp、htm、mpg、mdb、zip

このウイルスは、c:\recycled、c:\recyclerまたはWindowsフォルダにウイルス自身をインストールし、パソコン起動時にウイルスが動作するようにレジストリの変更を行う。
また、Windows95/98/ME/NT/2000/XPで動作する。

W32/Yami (ヤミ)

このウイルスは、Windows XP 環境で動作します。

感染すると、拡張子が「.exe」のファイルに自分自身を追記することで感染を拡大します。また、パソコンを起動できなくする機能を有しています。

W32/Zafi (ザフィー)

このウイルスは、自身の複製をメールの添付ファイルとして拡散する活動を行います。また、KaZaA などの P2P ソフトウェアを介しても感染を拡げます。

感染すると、ウイルスは自分自身を .exe または .dll の拡張子を持つランダムなファイル名で Windows の system ディレクトリにコピーします。さらに、レジストリファイルを変更することによって、Windows の起動時に必ずウイルスが実行されるように設定します。

また、このウイルスは"shar"または"upload"という文字列を含むフォルダ内に自分自身のコピーを作成します。これにより、ファイル共有ネットワークを介して感染を広げます。

W32/Zhelatin (ゼラチン)

このウイルスは、メールを介して感染するウイルスです。
感染すると、Windows のシステムフォルダにこれとは別のプログラムを作成します。また、特定の Web サイトにアクセスしようとします。

W32/Zoher (ゾファー)

マイクロソフト社のInternetExplorerのセキュリティホールを悪用したウイルスで、メールの添付ファイルを介して感染を拡げる。
マイクロソフト社のOutlookではメールを開いただけで、OutlookExpressではプレビューしただけでもウイルスに感染する。
感染するとOutlookExpressのアドレス帳に登録されている全てのアドレス宛にウイルスを添付したメールを送信する。
送信されるメールの内容は次のとおり。(※件名、本文、添付ファイル名は異なる可能性がある。)

・件名:Fw: Scherzo!
・本文:Con questa mail ti e stata spedita la FortUna; non la
        fortuna e basta, e neanche la Fortuna con la F
       〜略〜
    uno comincio a drogarsi,
    il secondo entro in Forza Italia
    e il terzo si iscrisse a Ingegneria.
・添付ファイル名:javascript.exe

このウイルスはWindows32ビット環境(Windows95/98/ME)で動作する。

W32/Zotob (ゾトブ)

このウイルスは、Windows のセキュリティホールを悪用し、ネットワークに接続されたパソコンに対して感染する活動を行います。

感染すると、自分自身のコピーをパソコン内に作成します。また、レジストリを改変することにより、パソコン起動時にウイルスが実行されるようにします。さらに、特定のサーバにアクセスし、外部からの指令を待ち受けるようにするとともに、hosts ファイルの改ざんも行い、特定のサイトへのアクセスを妨害します。

W97M/Antisr1 (アンチエスアールワン) 2012年08月03日公開

このウイルスは、日本マイクロソフト社のWordを介して感染するウイルスです。
感染すると、「ツール」メニューにある[マクロ]と[テンプレートとアドイン]メニュー項目を削除します。

W97M/Assilem (アッシレム)

このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染するウイルスである。
ウイルスに感染した文書ファイルを読み込むと、そのMSwordに感染する。感染したMSwordで作成、編集した文書ファイルを閉じたときにそのファイルに感染する。
感染すると、「ツール」/「オプション」/[全般]タブの「マクロウイルスを自動検出する」の項目をオフに設定する。また、MSword2000の場合は、セキュリティレベルを「低」に変更する。
2000年1月に感染した文書ファイルを開いたとき、または感染したMSwordを起動したときに発病し、エクスプローラーの画面上のドライブアイコンを不可視状態にする。
このウイルスは、日本語版MSword97/98/2000、英語版MSword97/2000で感染・発病する。

W97M/Astia (アスティア)

このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染するウイルスである。ウイルスに感染した文書ファイルを読み込むとそのMSwordに感染する。
感染したMSwordで作成、編集した文書ファイルを閉じたときにそのファイルに感染する。ウイルスに感染したファイルを開くと、次のフォルダーに、SNrml.dot、SNrml.srcというファイルを作成する。
(Word97/98の場合)
  C:\Program Files\Microsoft Office\Office\STARTUP
(Word2000の場合)
  C:\Windows\Application Data\Microsft\Word\STARTUP
そして、「ツール」/「オプション」/全般タブの[マクロウイルスを自動検出する]のチェックボックスをオフにし、 「ツール」/「マクロ」/VisualBasicEditorを使えなくする。
 1998年9月11日以降に、感染したMSwordでファイルを開くまたは、感染した文書ファイルを開くと、45分後に発病する。
新しい文書ファイルを作成し、フルスクリーン状態にして、グラデーション状態に塗りつぶされた背景に、Titasicというタイトルのダイアログボックスを表示して、インドネシア語のメッセージをタイプしていく。
このウイルスは、日本語版MSword97/98/2000及び英語版MSword97/2000で感染・発病する。

W97M/Bablas(バブラス)

このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染するウイルスである。ウイルスに感染した文書ファイルを読み込むと、そのMSwordに感染する。 感染したMSwordで作成、編集した文書ファイルを閉じたときにそのファイルに感染する。
感染すると、「ツール」/「オプション」/[全般]タブの「マクロウイルスを自動検出する」、[保存]タブの「保存時にプロパティを確認する」の項目をオフに設定する。
金曜日または日曜日の00:00:00から20:59:59の間に感染しているWordを終了すると発病し、ビープ音をならし、インドネシア語のメッセージを表示する。
このウイルスは、日本語版MSword97/98/2000、英語版MSword97/2000版で感染・発病する。

W97M/Bogor(ボゴール)

このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染するウイルスである。ウイルスに感染した文書ファイルを読み込むとそのMSwordに感染する。 感染したMSwordで、以下の操作をしたときに、文書ファイルに感染する。
 作成、編集したファイルを、
  ・閉じる。
  ・名前をつけて保存する。
  ・上書き保存する。
 感染すると、 MSwordの「ツール」/「オプション」/全般の[マクロウイルスを自動検出する]のチェックボックスをオフにし、次の機能を使えなくする。
  「ツール」/「マクロ」/Visual Basic Editor
  「ツール」/「マクロ」/マクロ
  「ツール」/ユーザー設定
    「ツール」/テンプレートとアドイン
 そして、ヘルプのバージョン情報を表示すると、Reformasi, YES! というダイアログボックスが表示される。
このウイルスは、日本語版MSword97/98/2000及び英語版MSword97で感染・発病する。

W97M/Brenda(ブレンダ)

このウイルスはマイクロソフト社のWord(以下、MSword)を介して感染するウイルスである。ウイルスに感染している文書ファイルを開くと、そのMSwordに感染する。
感染したMSwordで作成更新した文書ファイルを閉じるとその文書ファイルに感染する。
感染すると、
 ・マイコンピュータのアイコンが変更される。
 ・MSword97/98の場合は、「ツール」/「オプション」/全般タグの[マクロウイルスを自動検出する]及び[文書を開くときにファイル形式を確認する]のチェックボックスがオフにされる。
 ・Cドライブのボリュームラベルが「N0nuts」に変更される。
発病はない。
このウイルスは、日本語版MSword97/98/2000及び英語版MSword97/2000で感染する。

W97M/Bribagi(ブリバギ)

このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染するウイルスである。ウイルスに感染した文書ファイルを読み込むとそのMSwordに感染する。感染したMSwordで作成、編集した文書ファイルを閉じたときにそのファイルに感染する。
感染すると、「ツール」/「オプション」/全般タブの[マクロウイルスを自動検出する]の項目をオフに設定する。
感染したMSwordで文書ファイルを閉じたときに発病し、ルートフォルダとProgram Filesフォルダ内のサブフォルダ名を検索し、「PC」という文字が含まれるフォルダのリストとそのフォルダ内にあるサブフォルダ名及びファイル名のリストをそれぞれ作成し、リストに挙げたファイルを各々2分の1の確率で0バイトにする。

W97M/Chack(チャック)

このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染するウイルスである。
このウイルスに感染した文書ファイルを読み込むとそのMSwordに感染する。
毎週土曜日にワードを終了しようとすると発病し、画像を張りつけたフォームを表示する。画像の内容は、2人の男の写真が浮き彫り処理されているモノクロ画像である。

W97M/Class(クラス)

このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染するウイルスである。
このウイルスに感染した文書ファイルを読み込むとそのMSwordに感染する。
毎月31日に感染したファイルを開くと、次のようなメッセージを表示する。

This is Class
  VicodinES /CB /TNN

6月から12月の14日に感染したファイルを閉じると、次のようなメッセージを表示する亜種(Class.D)もある。

I think(Name of the current user)is a big stupid jerk! VicodinES Loves You/Class Poppy

W97M/Claud(クラウド)

このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染するウイルスである。
ウイルスに感染した文書ファイルを読み込むと、そのMSwordに感染する。感染したMSwordで作成、編集した文書ファイルを閉じたときにそのファイルに感染する。
感染すると、「ツール」/「オプション」/[全般]タブの「マクロウイルスを自動検出する」の項目をオフに設定する。
発病機能はない。
このウイルスは、日本語版MSword97/98/2000、英語版MSword97/2000で感染する。

W97M/ColdApe(コールドエイプ)

このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染するウイルスである。
ウイルスに感染した文書ファイルを開くと、そのMSwordに感染する。また、WSH(※)がインストールされている場合、 Cドライブのルートフォルダに「happy.vbs」、「a4.vbs」、 Windowsがインストールされているフォルダに、「avm.vbs」というファイルを作成する。そして、次のフォルダーにある全てのVBScriptファイル(拡張子がvbs)に感染する。
c:\
c:\Windows
c:\Windows\Desktop
c:\My Documents
c:\Startup
感染したMSwordで作成、更新した文書ファイルを保存・閉じたときに、そのファイルに感染する。
MSword及びマイクロソフト社のOutlookと、WSHがインストールされている環境で、感染していないMSwordでウイルスに感染した文書ファイルを開いたとき発病し、Outlookを利用して、Anti-Virus 関係者のアドレス(2ヶ所) にメールを送信する。また、このとき、ウイルスは発病した日付を記録する。
その後、その発病日付が現在の日付より小さい場合に、下記の操作を行うと、発病してメール送信を行い、 発病日付を更新する。
・感染した文書ファイルを開いたとき。
・感染したMSwordで作成、編集した文書ファイルを保存または閉じたとき。
このウイルスは日本語版MSword97/98、英語版MSword97で感染・発病する。
(※Windows Scripting Host)

W97M/Dotor(ドットオア) 2012年06月05日公開

このウイルスは、日本マイクロソフト社のWord(以下MSword)を介して感染するウイルスです。
このウイルスに感染したMSword文書ファイルを読み込むと、そのMSwordが感染します。
感染すると、パソコンが起動されるたびに自分自身が実行されるように設定を改変します。また、MSwordのマクロ警告機能を無効にします。

W97M/Eight941(エイト941)

このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染するウイルスである。 ウイルスに感染した文書ファイルを読み込むとそのMSwordに感染する。 感染したMSwordで作成、編集した文書ファイルを閉じたときにそのファイルに感染する。
7月1日または11月10日に、感染した文書ファイルを開くか、または感染したMSwordで文書ファイルを開くと、 Cドライブにある全ての拡張子が.docのファイルの属性を以下のように変更する。
「ツール」/「オプション」[保存]タグの
 「バックアップファイルを作成する」→する
 「高速保存」→する
 「保存時にプロパティを確認する」→しない
 「標準設定を変更するかどうかを確認する」→しない
 「バックグラウンドで保存する」→する
このウイルスは、日本語版MSword97/98/2000及び英語版MSword97/2000で感染・発病する。

W97M/Ethan(イーサン)

このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染するウイルスである。
ウイルスに感染した文書ファイルを開いて閉じるときに、Cドライブのルートディレクトリに、ethan.___ というファイルを作成し、これにウイルスコードをコピーする。そして、そのMSwordに感染する。
感染したMSwordで作成、更新した文書ファイルを閉じるときに、ethan.___ファイルのウイルスコードを取り込んで、文書ファイルにウイルスを感染させる。

発病は、文書を閉じるときに、3/10の確率で「文書のプロパティ」の
  タイトルを"Ethan Frome"に、
  作成者を"EW/LN/CB"に、
  キーワードを"Ethan"にする。
このマクロウイルスは、MSword97/98の日本語版及び英語版で感染・発病するが、 Macintosh版では感染しない

W97M/Footer(フッター)

このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染するウイルスである。
ウイルスに感染した文書ファイルを開くと、Cドライブのルートにfootprint.$$$、footprint.$$1 の2つのファイルを作成し、このファイルにウイルスコードをコピーする。 そして、そのMSwordに感染する。
感染したMSwordで文書ファイルを開いたときに、「footprint..$$$」、「footprint.$$1」 のウイルスコードをとりこんで、そのファイルにウイルスを感染させる。また、ファイルのプロパティを変更し、「FootPrint1」という項目を追加し、値をありに設定する。このため、ファイルを印刷するとフッターが印刷される。
このウイルスは日本語版MSword97/98、英語版MSword97で感染・発病する。

W97M/Groov(グルーブ)

このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染するウイルスである。
このウイルスに感染した文書ファイルを読み込むとそのMSwordに感染する。感染すると、MSwordのスタートアップディレクトリに「DATA.DOT」というウイルスに感染したテンプレートファイルを、また、 Cドライブのルートディレクトリィに、ウイルスコードを含んだ「GROOVIE.SYS」という名称のファイルを作成する。
また、ウイルスはCドライブのボリュームラベルを「Groovie」に変える。
感染している文書にアクセスすると、5回に1度位の確率で、ウイルス対策のホームページにファイルを転送し、複数のファイルを転送することにより過渡に負荷をかけ、そのウイルス対策のホームページを利用することができなくなるようにする。
このウイルスは、MSword97(Ver.SR-1)で感染する。
 ※SR-1:Service Release 1

W97M/Jedi(ジェディ)

このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染するウイルスである。
ウイルスに感染した文書ファイルを開くと、MSwordに登録されているユーザー情報(ツール/オプション/ユーザー情報タブ) の頭文字が、「BDR」でないときは、そのMSwordに感染する。
以降、感染したMSwordで作成、更新した文書ファイルに感染する。ただし、日本語版MS-wordでは、文書ファイルには感染しない。
感染と同時に発病し、MS-wordのツール/オプション/ユーザー情報タブの
   名前を 「Bernard del Rosario」       
   頭文字を「BDR」                       
   住所を 「BAT-2105 -BERNARD & RHUBIE-」
に変更する。

W97M/JulyKiller (ジュライキラー)

このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染するウイルスである。
ウイルスに感染した文書ファイルを読み込むと、そのMSwordに感染する。また、C:\ にAutoEXEc.dotというファイルを作成し、ウイルスコードをコピーする。感染したMSwordで作成、編集した文書ファイルを閉じたときにそのファイルに感染する。
感染すると、「ツール」/「オプション」/[全般]タブの「マクロウイルスを自動検出する」の項目をオフに設定する。
7月に感染した文書ファイルを開くか、感染したMSwordで文書ファイルを閉じたときに発病し、台湾語(日本語版では文字化けする。)のダイアログボックスを表示する。キャンセルボタンをクリックすると、再びダイアログボックスを表示する。続けて2回(最初の操作から連続して3回)キャンセルボタンをクリックすると、

Stop it! you are so incurable to lose 3 chances! Now, god will punish you..

というメッセージを表示する。そして、再起動すると、Cドライブの全てのファイルが削除されるように、AutoEXEc.batファイルの内容を変更する。
このウイルスは、日本語版MSword97/98/2000で感染・発病する。

W97M/Lexar (レクサー)

このウイルスは、MS-Word ファイルに感染するマクロウイルスです。感染した Word ファイルを開くと、テンプレートが保存されているフォルダにウイルスのコピーを作成し、以後、開かれる Word ファイルに感染します。
また、特定の月日になると、ウイルスによりメッセージが表示されます。

W97M/Locale (ロケイル)

このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染するウイルスである。ウイルスに感染した文書ファイルを読み込むとそのMSwordに感染する。
感染したMSword作成、編集した文書ファイルを閉じたときに文書ファイルに感染する。発病機能はない。
このウイルスは、日本語版MSword97/98/2000及び英語版MSword97/2000で感染する。

W97M/Marker (マーカー)

このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染するウイルである。
ウイルスに感染した文書ファイルを開いて閉じるときに、そのMSwordに感染する。そして感染したMSwordで作成、更新した文書ファイルを閉じるときに、文書ファイルに感染する。
感染すると、「ツール」/「オプション」/全般タブの[マクロウイルスを自動検出する]のチェックボックスをオフに設定する。
毎月1日に感染したMSwordで文書ファイルを閉じたときに、感染日時等を記載した感染ユーザーリストを作成し、特定のサイトにアップロードしようとする。
このウイルスは、英語版MSword97、日本語版MSword97/98で感染・発病する。

W97M/Melissa (メリッサ)

このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染するウイルスである。
ウイルスに感染した文書ファイルを読み込むとそのMSwordに感染する。そして感染したMSwordで作成、更新した文書ファイルに感染する。
MSword及びマイクロソフト社のOutlookがインストールされている環境で、ウイルスに感染した文書を開くと、ウイルスが動作し、Outlookのアドレス帳に登録されているメールアドレス50カ所に対して、ウイルスに感染した文書を添付したメールを送信する。
また、ファイルを開いたとき、コンピュータの内部時計の「日」と「分」が等しい場合(例えば、29日で毎時29分)の時は、 現在編集している文書に
「Twenty-two points, plus triple-word-score, plus fifty points for using all my letters.  Game's over. I'm outta here.」という文を挿入する。
感染すると「ツール」/「オプション」/全般タブの[マクロウイルスを自動検出する]と保存タブの[標準設定を変更するかどうかを確認する]のチェックボックスをオフに設定する。

W97M/Minceme (ミンセーム)

このウイルスは、Microsoft Word ファイルに感染するマクロウイルスです。感染したファイルを開くと、Word のテンプレートファイルに感染します。これにより、すべての Word ファイルに感染します。

W97M/Myna (ミーナ)

このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染するウイルスである。ウイルスに感染した文書ファイルを読み込むとそのMSwordに感染する。
感染し たMSwordで作成、編集した文書ファイルを閉じたときにそのファイルに感染する。
MSword97/98に感染すると、「ツール」/「オプション」/全般タブの[マクロウイルスを自動検出する]の項目をオフに設定する。
このウイルスは、日本語版MSword97/98/2000及び英語版MSword97/2000で感染する。

W97M/Newhope(ニューホープ)

このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染するウイルスである。
ウイルスに感染した文書ファイルを読み込むと、そのMSwordに感染する。 感染したMSwordで作成、編集した文書ファイルを閉じたときにそのファイルに感染する。
感染すると、「ツール」/「オプション」/[全般]タブの「マクロウイルスを自動検出する」の項目をオフに設定する。発病機能はない。
このウイルスは、日本語版MSword97/98/2000、英語版MSword97/2000で感染する。

W97M/Nono(ノノ)

このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染するウイルスである。
感染した文書ファイルを開くとそのMSwordに感染する。ルートディレクトリにユーザー情報の頭文字 (メニューの「ツール」/「オプ ション」/ユーザー情報/頭文字)に表示されている文字列のファイルを作成し、このファイルにウイルスをコピーする。このファイルによって文書ファイルへの感染が文書を閉じるときに行われる。
「ツール」/「オプション」/全般タブの[マクロウイルスを自動検出する]のチェックボックスをオフに設定し、ウイルスの自動検出をさせなくする。更に「ツール」/「マクロ」のVisual Basic Editorを使えなくする。
感染は同一文書に何回でも重複して行われるので、ファイルが次第に肥大化していく。
このウイルスは、MSword97の日本語版・英語版共に感染・発病する。

W97M/Nsi(エヌエスアイ)

このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染するウイルスである。
ウイルスに感染した文書ファイルを読み込むと、そのMSwordに感染する。感染したMSwordで作成、編集した文書ファイルを閉じたときにそのファイルに感染する。
感染すると、「ツール」/「オプション」/[全般]タブの「マクロウイルスを自動検出する」の項目をオフに設定する。発病機能はない。
このウイルスは、日本語版MSword97/98/2000、英語版MSword97/2000で感染する。

W97M/Opey(オーペイ)

このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染するウイルスである。
ウイルスに感染した文書ファイルを開くと、そのMSwordに感染し、さらにMSwordのメニューの「ツール」/「オプション」/ユーザー情報タブの
 名前を   「OPEY.A」
 頭文字を  「LOVE」
 住所を   「CNNHS B'92 PHILIPPINES(CNSC)」
に変更する。
このウイルスは、日本語版、英語版MSword97/98で感染発病する。ただし、文書ファイルへの感染は、感染したMSwordで当該文書ファイルを作成、更新したときに英語版でのみ行われる。
特定日に下記の操作を行うと発病し、AutoEXEc.batにフィリピンの記念日などに関するメッセージを書き込む。
・感染した文書ファイルを開いたとき。
・感染したMSwordで次の操作を行ったとき。
MSwordを起動及び終了したとき。
文書ファイルを作成、開く、印刷、保存、閉じたとき。
文書ファイルのページ設定を変更したとき。
特定日と書き込まれるメッセージは次のとおり。

12/25または1/1 MERRY CHRISTMAS AND HAPPY NEW YEAR!!!
2/14 HAPPY VALENTINES DAY!!!
4/1(除木曜日) HAPPY LABOR DAY!!!
6/12 HAPPY INDEPENDENCE DAY!!!
11/1 HAPPY HALLOWEEN!!!
11/30 BONIFACIO DAY!!!
12/30 REZAL DAY!!!
4月の木、金、土曜日 HOLY WEEK!!!
W97M/Panther(パンサー)

このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染するウイルスである。
ウイルスに感染した文書ファイルを読み込むとそのMSwordに感染する。感染したMSwordで作成、編集した文書ファイルを閉じたときにそのファイルに感染する。
感染すると、「ツール」/「オプション」/全般タブの「マクロウイルスを自動検出 する」の項目をオフに設定する。発病はない。
このウイルスは、日本語版MSword97/98/2000及び英語版MSword97/2000で感染する

W97M/Pri(プリ)

このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染するウイルスである。
感染した文書ファイルを開くと、そのMSwordに感染する。感染したMSwordで作成、更新した文書ファイルを閉じたときに、そのファイルに感染する。
感染すると、
「ツール」/「オプション」/全般タブの[マクロウイルスを自動検出する]、[文書を開くときにファイル形式を確認する]と保存タブの[標準設定を変更するかどうかを確認する] のチェックボックスをオフに設定する。
また、ビジュアルベーシックエディタを起動すると、ワードが強制終了される。
マシンの日付の「日」と時刻の「分」が一致しているときに、下記の操作を行うと発病し、様々な色と形の図形を文書内に書き込む。
 ・感染した文書ファイルを開いたとき。
 ・感染したMSwordで作成、更新した文書ファイルを閉じたとき。
このウイルスは、日本語版MSword97/98、英語版MSword97で感染・発病する。

W97M/Prilissa(プリリッサ)

このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染するウイルスである。
ウイルスに感染した文書ファイルを読み込むとそのMSwordに感染する。 感染したMSwordで作成、編集した文書ファイルを閉じたときにそのファイルに感染する。
感染すると、MSword97の場合は、 「ツール」/「オプション」/全般タブの[「マクロウイルスを自動検出する]と[文書を開くときにファイル形式を確認する]」及び保存タブの[標準設定を変更 するかどうかを確認する]の項目をオフに設定する。
MSword2000の場合は「ツール」/「マクロ」/「セキュリティ」のセキュリティレベ ルを「低」レベルに変更する。
マイクロソフト社のOutlookがインストールされている環境で、 ウイルスに感染した文書ファイルを開くと、 Outlookのアドレス帳に登録されているメールアドレス50カ所に対して、ウイルスに感染した文書を添付したメールを送信する。

件名:Message From(登録ユーザ名)
本文:This document is very Important and you've GOT to read this !!

12月25日に、ウイルスに感染した文書ファイルを開く、または感染したMSwordで文書ファイルを閉じると以下の動作を行う。
1.次回起動時に、以下のメッセージを表示させて、Cドライブをフォーマットするように、Autoexec.batファイルを書き換える。

Vine...Vide...Vice...Moslem Power Never End...
Your COMputer Have Just Been Terminated By -= CyberNET =- Virus !!!

2.次に、以下の内容のダイアログボックスを表示する。

Vine...Vide...Vice...Moslem Power Never End...
You Dare Rise Against Me...The Human Era is Over, The CyberNET
Era Has COMe !!!

3.OKのボタンを押すと、文書ファイルにシェイプを様々な色と形で書き込む。
このウイルスは、日本語版MSword97/98/2000、英語版MSword97/2000で感染・発病する。

W97M/Protected(プロテクティッド)

このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染するウイルスである。
このウイルスに感染した文書ファイルを読み込むとそのMSwordに感染する。
毎年8月30日に文書ファイルの「保存」と「名前をつけて保存」を行うと発病し、次のようなメッセージを表示し、パスワードを要求する。

  WM.MALAYSIA 1998

  You are lucky!!! You have met WM.MALAYSIA 1998!!!
  WM.MALAYSIA 1998 is Malaysian's first MACRO VIRUS.
  It is written by a young college student -- BAD LOGIC.

  Please ENTER CORRECT password

パスワード「WM.MALAYSIA 1998」を入力しないと、保存することができない。

W97M/Proverb(プロバーブ)

このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染するウイルスである。
ウイルスに感染した文書ファイルを読み込むと、そのMSwordに感染する。
感染したMSwordで作成、編集した文書ファイルを閉じたときにそのファイルに感染する。
感染すると、「ツール」/「オプション」/[全般]タブの「マクロウイルスを自動検出する」の項目をオフに設定する。 発病機能はない。
このウイルスは、日本語版MSword97/98/2000、英語版MSword97/2000で感染する。

W97M/Relax (リラックス)

このウイルスは、Word ファイルに感染するマクロウイルスです。感染ファイルを開くと、NORMAL.DOT(標準テンプレート)に感染し、以降、Word ファイルを開いたり、閉じたりするタイミングで感染を拡大します。
また、特定の日付にメッセージを表示する発病があります。

W97M/Sapattra (サパットラ)

このウイルスは、Word ファイルに感染するマクロウイルスです。感染ファイルを開くと、NORMAL.DOT(標準テンプレート)に感染し、Word を起動するたびに動作するようになります。
また、Word のセキュリティレベルの設定を改変し、マクロの警告を表示させないようにします。

W97M/Seqnum(セクナム)

このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染するウイルスである。ウイルスに感染した文書ファイルを読み込むと、そのMSwordに感染する。
感染すると、Word2000の場合は、メニューの「ツール/マクロ」にあるセキュリティレベルを「低」に、Word97/98の場合は、メニューの「ツール/オプション/全般」の「マクロウイルスを自動検出する」のチェックをオフに設定する。
感染したMSwordで文書を新規作成または編集したファイルに感染する。
Outlookがインストールされている場合、特定日に登録アドレスすべてに対しメールを送信する。このウイルスはメールを送信するだけで添付ファイルはない。
日付と、本文の内容は以下のとおり。

日付:1/ 1
OK! I got it, thanks.
Happy New Year!
<ワードの登録ユーザー名>
日付:2/14
OK! I got it, thanks.
Acutally... I love you.
<ワードの登録ユーザー名>
日付:12/ 3
OK! I got it, thanks.
Happy Birthday, hnet!
Let's celebrating your <今年の西暦−1998> year(s) old birthday! <ワードの登録ユーザー名>
日付12/25
OK! I got it, thanks.
Merry Christmas!
<ワードの登録ユーザー名>

このウイルスは、日本語版MSword97/98/2000及び英語版MSword97/2000で感染・発病する。

W97M/Smac(スマック)

このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染するウイルスである。
ウイルスに感染した文書ファイルを読み込むと、そのMSwordに感染する。また、Cドライブにbdoc.txtという名称のファイルを作成して、ウイルスコードをコピーする。
感染したMSwordで作成、編集した文書ファイルを閉じたときにそのファイルに感染する。
感染すると、「ツール」/「オプション」/[全般]タブの「マクロウイルスを自動検出する」の項目をオフに設定する。また、「ツール」メニューが使えなくなる。
9月2日に感染した文書ファイルを閉じると、または、毎月13日に感染しているMSwordを終了すると、中国語のメッセージ(日本語版では文字化けする。)を表示する。
このウイルスは、日本語版MSword97/98/2000、英語版MSword97/2000で感染・発病する。

W97M/Sting (スティング)

このウイルスは、MS-Word に感染するマクロウイルスです。感染した Word ファイルを開くと、標準テンプレートファイルの Normal.dot ファイルを上書きします。また、Word の設定を改変し、特定の操作を無効にする等の活動を行います。

W97M/Story(ストーリー)

このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染するウイルスである。ウイルスに感染した文書ファイルを読み込むとそのMSwordに感染する。感染したMSwordで作成、編集した文書ファイルを閉じたときにそのファイルに感染する。
感染したMSwordで文書ファイルを閉じたとき、ウイルスはmIRCというIRCクライアントソフトがインストールされているかどうかを調べ、 インストールされている場合は、mircフォルダのmirc.iniファイルとscript.iniファイルを書き換える。 そして、C:\Windowsフォルダに、story.docというウイルスに感染したファイルを作成する。
ファイルが書き換えられた状態で、 mIRCを起動してチャットを行うと、IRC参加者に次のようなメッセージを送り、story.docファイルを送信する。

Hey I can't talk right now but I wanted to send you this file.
It has a funny story you should read, and also has macros inside that
protect you from a lot of viruses. Just open the document, enable the
macros, and if you are infected it will get rid of the virus

このウイルスは、日本語版MSword97/98/2000及び英語版MSword97/2000で感染・発病する。

W97M/Supil (スピル)

このウイルスは、MS-Word ファイルに感染するマクロウイルスです。感染した Word ファイルを開くと、パソコン内に保存された他の Word ファイルに感染を拡大します。
また、特定のメッセージを表示します。

W97M/Taro(タロー)

このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染するウイルスである。ウイルスに感染した文書ファイルを読み込むとそのMSwordに感染する。 感染したMSwordで文書ファイルを開くとその文書ファイルに感染し、その文書ファイルの「ファイル」/「プロパティ」のファイルの概要の作成者を「太郎」に変更する。
このウイルスは、日本語版MSword97/98/2000及び英語版MSword97/2000で感染する。

W97M/Thus(サス)

このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染するウイルスである。ウイルスに感染した文書ファイルを読み込むとそのMSwordに感染する。感染したMSwordで作成、編集した文書ファイルを閉じたときにその文書ファイルに感染する。
MSword97/98に感染すると、「ツール」/「オプション」/全般タブの[マクロウイルスを自動検出する]の項目をオフに設定する。
毎年12月13日に、感染していないMSwordで感染した文書ファイルを開くか、感染したMSwordで新規文書を作成または、文書を開くと発病し、Cドライブにあるフォルダ内を含む全てのファイルを削除しようとする。
このウイルスは、日本語版MSword97/98/2000及び英語版MSword97/2000で感染発病する。

W97M/Titch(ティッチ)

このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染するウイルスである。
ウイルスに感染した文書ファイルを読み込むと、そのMSwordに感染する。
感染したMSwordで作成、編集した文書ファイルを閉じたときにそのファイルに感染する。
感染すると、「ツール」/「オプション」/[全般]タブの「マクロウイルスを自動検出する」の項目をオフに設定する。発病機能はない。
このウイルスは、日本語版MSword97/98/2000、英語版MSword97/2000版で感染する。

W97M/Tolose(トゥールース)

このウイルスはマイクロソフト社のWord(以下、MSword)を介して感染するウイルスである。ウイルスに感染している文書ファイルを開くと、そのMSwordに感染する。
感染したMSwordで作成更新した文書ファイルを閉じるとその文書ファイルに感染する。ただし、日本語版MSwordでは文書ファイルには感染しない。
感染すると、MSword97/98の場合は、「ツール」/「オプション」/全般タグの[マクロウイルスを自動検出する]のチェックボックスがオフにされる。発病はない。
このウイルスは、日本語版MSword97/98/2000及び英語版MSword97/2000で感染する。

W97M/Turn(ターン)

このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染するウイルスである。ウイルスに感染した文書ファイルを読み込むと、そのMSwordに感染する。
感染したMSwordで作成、編集した文書ファイルを閉じたときにそのファイルに感染する。
感染すると、「ツール」/「オプション」/[全般]タブの「マクロウイルスを自動検出する」の項目をオフに設定する。また、VisualBasicEditorが使用できなくなる。発病機能はない。
このウイルスは、日本語版MSword97/98/2000、英語版MSword97/2000版で感染する。

W97M/Verlor(バーロール)

このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染するウイルスである。ウイルスに感染した文書ファイルを読み込むとそのMSwordに感染する。
感染したMSwordで作成、編集した文書ファイルを閉じたときにそのファイルに感染する。
感染すると、「ツール」/「オプション」/全般タブの「マクロウイルスを自動検出する」、 「文書を開くときにファイル形式を確認する」及び[保存]タブの「標準設定を変更するかどうか確認する」 の項目をオフに設定する。発病機能はない。
このウイルスは、日本語版MSword97/98/2000及び英語版MSword97/2000で感染する。

W97M/Vmpck1(ブイエムピーシーケーワン)

このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染するウイルスである。 ウイルスに感染した文書ファイルを読み込むと、Cドライブのルートにxix.drvというファイルを作成し、 ウイルスコードをコピーし、そのMSwordに感染する。感染したMSwordで作成、編集した文書ファイルを閉じたときにそのファイルに感染する。
感染すると、「ツール」/「オプション」/全般タブの「マクロウイルスを自動検出する」、 「文書を開くときにファイル形式を確認する」及び[保存]タブの「標準設定を変更するかどうか確認する」 の項目をオフに設定する。
このウイルスには2つの発病がある。
 1)感染した文書ファイルを開くか、または感染したMSwordで文書ファイルを開いたとき、100分の1の確率で、次のようなメッセージを表示する。
 Dia 8 de Novebro VOTA NAO a regionalizacao!
  2)毎月8日に感染した文書ファイルを開くか、または感染したMSwordで文書ファイルを開いたとき、文書中の「sim」という単語を「nao a regionalizacao!」に置換する。
このウイルスは、日本語版MSword97/98/2000及び英語版MSword97/2000で感染・発病する。

W97M/Walker(ウォーカー)

このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染するウイルスである。
ウイルスに感染した文書ファイルを読み込むとそのMSwordに感染する。感染したMSwordで作成、 編集した文書ファイルを閉じたときにそのファイルに感染する。
感染すると、「ツール」/「オプション」/全般タブの「マクロウイルスを自動検出する」 の項目をオフに設定する。発病機能はない。

W97M/Wrench (レンチ)

このウイルスは、Word ファイルに感染するマクロウイルスです。感染ファイルを開くと、NORMAL.DOT(標準テンプレート)に感染し、Word を起動するたびに動作するようになります。

W97M/X97M/Jerk(ジャーク)

このウイルスは、マイクロソフト社のWord(以下MSword)、Excel(以下MSexcel)を介して感染するウイルスである。
・MSwordでの感染
ウイルス感染したMSwordの文書ファイルを開いて閉じたときに、そのMSwordに感染する。 このとき、MSexcelが起動していれば、開いているすべてのMSexcelデータファイルに感染する。 また、MSexcelの「ツール」/「オプション」/全般タブの[マクロウイルスから保護する]のチェックボックスをオフに設定する。
感染したMSwordで作成、更新したMSwordの文書ファイルを閉じるときに、そのファイルに感染する。
・MSexcelでの感染
感染したMSexcelのデータファイルを開いて、そのファイルが非選択になったときにウイルスは動作し、 開いているMSexcelのデータファイルがあれば、全てのファイルに感染する。
また、感染したMSexcelのデータファイルを開いている時に、他のMSexcelのデータファイルを開くと、そのファイルに感染する。
さらに、MSwordが起動していれば、ウイルスは感染の有無をチェックして、未感染であれば、そのMSwordにウイルスを感染させる。
6月以降の14日に、
感染したMSwordの文書ファイルを閉じるとき、または、感染したMSwordで作成、更新したMSwordの文書ファイルを閉じるときに発病し、
下記のような内容のダイアログを「Class.Poppy」というタイトルで表示する。

I think "アプリケーションに登録されたユーザ名" is a big stupid jerk!

このウイルスは、日本語版MSword97/98、英語版MSword97で感染・発病、日本語版、英語版MSexcel97で感染する。

W97M/X97M/Shiver(シバー)

このウイルスは、マイクロソフト社のWord(以下MSword)、Excel(以下MSexcel)を介して感染するウイルスである。

●MSwordでの感染
ウイルスに感染したファイルを開くと、Cドライブに"shiver.sys"というファ イルを作成し、このファイルにウイルスをコピーする。そしてMSwordの感染の有無を調べて、未感染だった場合は"shiver.sys"ファイルをコピ ーしてそのMSwordに感染する。
(1)発病
「ツール」/「テンプレートとアドイン」及び「ツール」/「マクロ」/のVisual Basic Editorを使えなくする。更に、メニューの「ツール」/「オプション」/全般タブの項目の[マクロウイルスを自動検出する]と、[文書を開くときに ファイル形式を確認する]のチェックボックスをオフに設定する。
(2)MSexcelへの感染
ウイルス感染したMSwordは終了時、実行中のエクセルが存在するかどうかを調べ、なければエクセルを起動させ、XLStartフォルダーにPersonal.xls というファイルを作成して、このファイルにウイルスをコピーする。

●MSexcelでの感染
ウイルスに感染したファイルを開くと、Cドライブに"shiver.sys"というファ イルを作成し、このファイルにウイルスをコピーする。そして、 XLStartフォルダーにPersonal.xlsというファイルを作成して、このファイルに"shiver.sys"フ ァイルをコピーして感染する。
(1)発病
800分の1の確率で、"A1"から"L30" の範囲の30個のセルに対してランダ ムに "Shiver[DDE] by ALT-F11" というコメントを付ける。
(2)MSwordへの感染
ウイルス汚染したエクセルはその終了時、実行中のワードが存在するかどうかを調べ、なければワードを起動する。そしてCドライブのルートフォルダにある "shiver.sys" を Normal.dotにコピーして感染する。
このウイルスは、MSword97、MSexcel97の両方で、感染・発病する。

W97M/X97M/Toraja(トラジャ)

このウイルスは、Microsoft のWord および Excel のファイルに感染するマクロウイルスです。

感染すると、Word ファイルの場合は、最初の11250文字を削除し、Excel ファイルの場合は、セルのA1-J17上にあるデータが削除されます。

W97M/X97M/P97M/Tristate(トリステイト)

このウイルスは、マイクロソフト社のWord(以下MSword)、Excel(以下MSexcel)、PowerPoint(以下MSpp)を介して感染するウイルスである。

●MSwordでの感染
ウイルスに感染した文書ファイルを開いて閉じるときに、そのMSwordに感染する。
1)次に、XLStartフォルダーに「BOOK1」というファイルが存在するかを確認し、無い場合には、「BOOK1」というファイルを作成し、このファイルにウイルスをコピーする。
2)そしてMSppのテンプレートファイル「Blank Presentation.pot」の感染の有無を調べて、未感染ならばこのファイルに感染する。
感染したMSwordで作成、更新した文書ファイルを閉じるときに、その文書ファイルに感染する。

●MSexcelでの感染
ウイルスに感染したファイルを開いて閉じるときに、XLStartフォルダーに「BOOK1」というファイルが存在するかを確認する。
・ファイルが無い場合は、
1)MSwordの標準テンプレートの感染をチェックして、未感染であればその標準テンプレートに感染する。
2)次に、MSppのテンプレートファイル「Blank Presentation.pot」の感染のチェックを行い、未感染ならばこのファイルに感染する。
3)そして、XlStartフォルダーに「BOOK1」というファイルを作成して、このファイルにウイルスをコピーする。
・ファイルが有る場合は、
1)MSppのテンプレートファイル「Blank Presentation.pot」の感染のチェックを行い、未感染ならばこのファイルに感染する。
XLStartフォルダーに、ウイルスがコピーされた「BOOK1」というファイルがある場合、MSexcelで作成、更新したファイルを閉じたときに、そのファイルに感染する。

●MSppでの感染
ウイルスに感染したファイルを開いて、スライドショーを実行中に、スライドをクリックすると、7分の1の確率で以下の動作をする。
XLStartフォルダーに「BOOK1」というファイルが存在するかを確認する。
・ ファイルが無い場合には、
1)MSwordの標準テンプレートの感染をチェックして、未感染であればその標準テンプレートに感染する。
2)次に、XlStartフォルダーに「BOOK1」というファイルを作成して、このファイルにウイルスをコピーする。
3)そして、MSppのテンプレートファイル「Blank Presentation.pot」の感染のチェックを行い、未感染ならばこのファイルに感染する。
・ ファイルが有る場合には、
1) MSppのテンプレートファイル「Blank Presentation.pot」の感染のチェックを行い、未感染ならばこのファイルに感染する。

感染したテンプレートファイルを使用して作られるファイルに感染する。

また、このウイルスに感染すると、それぞれのアプリケーションのセキュリティ機能の設定をオフに設定する。
・MSword
「ツール」/「オプション」/全般タブの[マクロウイルスを自動検出する]、[文書を開くときにファイル形式を確認する]と、保存タブの[標準設定を変更するかどうかを確認する]のチェックボックスをオフに設定する。
・MSexcel
「ツール」/「オプション」/全般タブの[マクロウイルスから保護する]のチェックボックスをオフに設定する。
・MSpp
「ツール」/「オプション」/全般タブの[マクロウイルスを自動的に検出する]のチェックボックスをオフに設定する。

WDEF(ダブリュディーエフ)

マッキントッシュのDeskTopファイルに感染する。感染したマシンはよく落ちると言われる。(再スタートは容易に可能)
ウイルスに感染したプログラムを実行しなくても、感染したフロッピーディスクをマシンに入れウインドウを開くだけで本体のハードディスクに感染する。
WDEFAとWDEFBの2つの亜種がある。

Werewolf(ワーウルフ)

このウイルスはメモリに常駐し、COM、EXEファイルに感染するウイルスです。このウイルスに感染しているファイルを実行すると、ウイルスがメモリに常駐し、ファイルの実行を監視します。
ウイルスがメモリに常駐している状態で、ファイルを実行すると、そのファイルにウイルスが感染します。このウイルスが常駐している状態で感染ファイルの大きさを確認しても感染前の内容が表示される。(ステルス型)

WM/Alien(エイリアン)

このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染するウイルスである。
英語版のMSwordでは感染したMSword文書ファイルを読み込むとそのMSwordに感染する。そして、 感染したMSwordで作成、更新したMSword文書ファイルに感染する。感染時には TOOLS|MACRO,TOOLS|CUSTOMIZE機能を削除する。
8月1日に感染文書を開くと2回に1回の割合で以下のメッセージボックスが表示される。

ALIEN
Another Year of Survival..
OK

また日曜日には2回に1回の確率で以下のメッセージボックスが表示される。

ALIEN
It's Sunday & I intend to relax !
OK

この他、場合に応じてAlienヘッダのついた数種類のメッセージが表示されることがある。
Windows3.xでは、Progarm Managerが消えたり、システムがシャットダウンしたりすることがある。

WM/Appder(アプダー)

このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染するウイルスである。
このウイルスに感染したMSword文書ファイルを読み込むとそのMSwordに感染する。そして、感染したMSwordで作成、更新したMSword文書ファイルに感染する。
感染したMSword文書ファイルを20回開くとCドライブの下記ファイルを消去する。
このウイルスは日本語MSwordでは発病はするが感染しない。
消去されるファイル

・C:\DOC\*.EXE
・C:\DOC\*.COM
・C:\Windows\*.EXE
・C:\Windows\SYSTEM\*.TTF
・C:\Windows\SYSTEM\*.FOT

WM/Bandung(バンドゥング)

このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染するウイルスである。
このウイルスに感染したMSwordの文書ファイルを読み込むとそのMSwordに感染する。その後、感染したMSwordで作成、更新したMSwordの文書ファイルに感染する。
感染後、毎月20日以降の午前11:00時以降にMSwordが起動されると発病し、「Reading menu... Please wait!」 というメッセージをステータスバーに表示して、Cドライブの下記ディレクトリ以外のディレクトリに含まれるファイルを全て消去し、Cドライブのルートディレクトリに、PESAN.TXTという名称のファイルが作成され、ウイルス作者のメッセージと発病した日時が書かれる。
このウイルスは日本語版のMSwordでは感染も発病もしない。

・WINDOWS
・WINWORD
・WINWORD6

WM/Boom(ブーム)

このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染するウイルスである。
このウイルスに感染したMSword文書ファイルを読み込むとそのMSwordに感染する。そして、感染した MSwordで作成、更新したMSword文書ファイルに感染する。
1996年以降の年で、3月から12月の13時13分13秒に、下記発病をする。
このウイルスは日本語MSwordでは発病、感染しない。

・メニューを換える(ドイツ語版のみ)
・ステイタスバーに文字列を表示する(ドイツ語と英語のみ)
・文書を作成して印刷する。(ドイツ語と英語のみ)

WM/Cap(キャップ)

このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染するウイルスである。
このウイルスに感染したMSword文書ファイルを読み込むとそのMSwordに感染する。そして、感染したMSwordで作成、更新したMSword文書ファイルに感染する。
感染したMSword文書ファイルを開くと、ユーザーが作成したマクロや今まで使用していたマクロが消去される。 そして、MSwordのメニューから「マクロ(M)」のコマンドが消え、その機能が使えなくなる。
このウイルスは日本語MSwordでも感染と発病をする。

WM/Colors(カラーズ)

このウイルスは、マイクロソフト社のWord(以下MSword)で動作するウイルスである。
このウイルスに感染したMSword文書ファイルをMSwordで読み込むとそのMSwordに感染する。そして、 感染したMSwordで作成、更新したMSword文書ファイルにつぎつぎと感染する。
このウイルスが感染すると文章の書式が記述されているテンプレートリストを表示することが出来なくなる。
このウイルスはオープンやクローズという動作を300回するごとに発病し、Windows3.1の環境でウインドウ表示色の設定を破壊する。そのため、Windowsの画面が異なった色になる。
このウイルスは日本語版MSwordで発病はするが感染処理はしない。

WM/Concept(コンセプト)

このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染するウイルスである。
このウイルスは、MSwordで作成したファイルを読み込むと MSwordの文章ファイルに感染する。 MSwordが動作する複数のコンピュータで動作・感染する。
感染するとプログラムやシステムがメッセージを表示するメッセージボックスに感染を行った回数が表示されたり、 文章の書式が記述されているテンプレートの標準にAAZAO,AAZFS,FileSaveAs,PayLoadが、ローカルにAAZAO,AAZFS,AutoOpen, PayLoadが入っているので、感染したことが解る。
英語版MSwordでのみ動作・感染し、日本語版MSwordでは動作・感染しない。

WM/Date(デイト)

このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染するウイルスである。
このウイルスに感染したMSwordの文書ファイルを読み込むとそのMSwordに感染する。その後、 感染したMSwordで開いたMSwordの文書ファイルに感染する。
感染したMSwordで文書ファイルを開くときに発病し、標準テンプレートファイルと開いた文書ファイルのAutoCloseマクロを削除する。1996年6月以降は、感染も発病もしない。
このウイルスは日本語MSwordでは発病はするが感染しない。

WM/Demon(デーモン)

このウイルスは、マイクロソフト社のWord(以下MSword)で動作するウイルスである。
英語版のMSwordでは感染したMSword文書ファイルを読み込むとそのMSwordに感染する。そして、感染したMSwordで作成、更新したMSword文書ファイルに感染する。
発病すると、下記のメッセージボックスを表示する。

WINWORD HIDDEN DEMON is happy
to see his MASTER!!! Great
Day!!! This file is infected as
# 134
OK

WM/Divina(ディヴィナ)

このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染するウイルスである。
このウイルスに感染したMSwordの文書ファイルを閉じるときにそのMSwordに感染する。その後、 感染したMSwordで文書ファイルを閉じるときにその文書ファイルに感染する。
感染したMSwordでシステム時計が17分のときに文書ファイルを閉じると発病し、 「ROBERTATI AMO !」と書かれたメッセージボックスが現れ、続いて 「Questo COMputer non * ben protetto contro i virus ... A presto !」 と書かれたメッセージボックスが現れる。
このウイルスは日本語MSwordでは発病はするが感染しない。

WM/Goldfish(ゴールドフィッシュ)

このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染するウイルスである。
このウイルスに感染したMSwordの文書ファイルを読み込むとそのMSwordに感染する。その後、感染し たMSwordで作成、更新したMSwordの文書ファイルに感染する。
感染したMSwordで文書ファイルを読み込むとき、または感染した文書ファイルを閉じるときに、 1/500の確率で発病し、「I am the GoldFish, I am hungry, feed me.」と書かれたダイアログ ボックスが現れ、下記答えのいずれかを入力しないと、そのダイアログボックスが消えず、ファイルを閉じることが出来ない。
このウイルスは日本語MSwordでは発病はするが感染しない。

「fishfood」「worms」「worm」「pryme」「core」

WM/Helper(ヘルパー)

このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染するウイルスである。
このウイルスに感染したMSword文書ファイルを閉じる時にMSwordに感染し、以降、感染してないMSword 文書ファイルを保存する時に感染する。
毎月10日に発病し、保存したファイルに「help」というパスワードを設定する。
このウイルスは日本語版のMSwordでは感染も発病もしない。

WM/Imposter(インポスター)

このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染するウイルスである。
このウイルスに感染したMSwordの文書ファイルを読み込むとそのMSwordに感染する。その後、感染したMSwordで作成、更新したMSwordの文書ファイルに感染する。
感染したMSwordの文書ファイルを閉じようとすると「DMV」と書かれたメッセージボックスが現れる。
このウイルスは日本語版のMSwordでは感染も発病もしない。

WM/Kompu(コンプ)

このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染するウイルスである。
MSword Version 6、7、97(Windows版、Macintosh版)で作動する。
このウイルスに感染したデータファイルを読み込むとそのMSwordに感染する。
毎月、6日又は8日に感染したファイルを開くと、
"Mul on paha tuju!Tahan kommi!"というメッセージを表示する。

WM/Lunch(ランチ)

このウイルスは、マイクロソフト社のWord(以下MSword)で動作するウイルスである。
英語版のMSwordでは感染したMSword文書ファイルを読み込むとそのMSwordに感染する。そして、感染したMSwordで作成、更新したMSword文書ファイルに感染する。
感染したMSwordの文書ファイルをちょうど12:01にsaveすると発病し、下記のメッセージをメッセージボックス(dialog)に表示する。
このウイルスは日本語版MSwordで発病はするが感染しない。

LUNCH TIME!
Whatya doin' here? Take a lunch break!
OK

WM/MDMA(エムディーエムエイ)

このウイルスは、マイクロソフト社のWord(以下MSword)で動作するウイルスである。
このウイルスに感染したMSwordの文書ファイルを読み込むとそのMSwordに感染する。その後、感染したMSwordで作成、更新したMSwordの文書ファイルに感染する。
感染したMSwordの文書ファイルを「毎月1日」に閉じると発病し、Cドライブの下記ファイルを消去してレジストリ情報(コンピュータの動作環境が登録されているデータ)が変更される。それによって、ユーザ補助の設定が変更されたり、ネットワークの利用ができなくなる場合がある。
消去されるファイル

・c:\shmk(拡張子なし)
・c:\windows\*.hlp
・c:\windows\system\*.cpl

WM/NF(エヌエフ)

このウイルスは、マイクロソフト社のWord(以下MSword)で動作するウイルスである。
ウイルスが感染している文書ファイルを使用して、そのファイルをクローズすると、MSwordの標準テンプレートファイルにウイルスが感染すると共に、ステータスバーにTraced! という文字を表示する。
そして、感染したMSwordで作成、更新したMSword文書ファイルに感染し、その時点で、ステータスバーに Infected! という文字を表示する。

WM/Niceday(ナイスデイ)

このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染するウイルスである。
このウイルスに感染したMSwordの文書ファイルを読み込む とそのMSwordに感染する。その後、感染したMSwordで作成、更新したMSwordの文書ファイルに感染する。
感染したMSwordを終了させるとき発病し、 「Have a Nice Day !」と書かれたメッセージボックスが現れる。
このウイルスは日本語MSwordでは発病はするが感染しない。

WM/NightShade(ナイトシェイド)

このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染するウイルスである。
英語版のMSwordでは感染したMSword文書ファイルを読み込むとそのMSwordに感染する。そして、感染したMSwordで作成、更新したMSword文書ファイルに感染する。
文書クローズ時に7回に1回の確率で以下のようなメッセージボックスが表示される。

Attention:
Word97.NightShade by P ..
OK

13日の金曜日には、FILE|SAVEASのパスワードを'NightShade'に設定する。

WM/Niknat(ニクナット)

このウイルスは、マイクロソフト社のWord(以下MSword)で動作するウイルスである。
英語版のMSwordでは感染したMSword文書ファイルを読み込むとそのMSwordに感染する。そして、感染したMSwordで作成、更新したMSword文書ファイルに感染する。
感染したシステムでは、メニューのFILE|TEMPLATEとTOOLS|MACROが隠されてしまう。
発病すると下記のメッセージボックスを表示する。

Windows Protection Error
OK

WM/Nottice(ノッティス)

このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染するウイルスである。
このウイルスに感染したデータファイルを読み込むとそのMSwordに感染する。
発病は、12月13日に感染文書を開くと新規文書を作成し、そこに下記のメッセージを全画面最大化で表示して停止する。(ワードがキー入力を受けつけなくなる)

IMPORTAT NOTTICE!

HANSSI A. A. IS MARRIED WITH A LOSSER.

WM/Npad(エヌパド)

このウイルスは、マイクロソフト社のWord(以下MSword)で動作するウイルスである。
英語版のMSwordでは感染したMSword文書ファイルを読み込むとそのMSwordに感染する。そして、感染したMSwordで作成、更新したMSword文書ファイルに感染する。発病は、感染したMSword文書ファイルを23回開くと、以下の文字列がステータスバーに現れ左右に動く。
このウイルスに感染した英語版MSwordで作成された文書ファイルを日本語版MSwordで読み込むとウイルスは発病するが、この日本語版MSwordで作成、更新した文書ファイルへは感染しない。

DOEUNPAD94, v.2.21, (c) Maret 1996, Bandung, Indonesia

WM/Nuclear(ニュクリアー)

このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染するウイルスである。
このウイルスに感染したMSword文書ファイルを読み込むとそのMSwordに感染する。そして、感染したMSwordで作成、更新したMSword文書ファイルに感染する。
このウイルスは英語MSwordと日本語MSword で発病条件、発病内容が異なる。
以下に発病条件と発病内容を示す。

英語MSwordの発病条件
4月5日に感染したMSwordを起動するか、感染した文書ファイルを読み込むと発病する。

日本語MSwordの発病条件
4月5日に感染した文書ファイルを読み込む時に、標準.DOTファイルにAutoEXEcマクロが存在した場合、発病をする。

以上の条件で発病したウイルスは、発病後次のことを行う。
1.C:\IO.SYSファイルのサイズを0バイトにする。
2.C:\COMMAND.COMファイルを消去する。(英語MSwordのみ)
3.システム時間が56秒から59秒の間に印刷を開始すると下記メッセージを文書末に加えて印刷される。

「And finally i would like to say:
STOP ALL FRENCH NUCLEAR TESTING IN THE PACIFIC!

WM/PolyPoster(ポリーポスター)

このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染するウイルスである。このウイルスに感染したデータファイルを読み込むとそのMSwordに感染する。そし て、感染した MSwordで作成、更新したMSword文書ファイルに感染する。
ネットニュースリーダー(ForteAgent)がインストールされていると、ウイルスは感染 したファイルをランダムにUSENETニュースグループに送ろうとする。

WM/Rapi(ラピ)

このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染するウイルスである。
このウイルスに感染したMSwordの文書ファイルを読み込むとそのMSwordに感染する。その後、感染したMSwordで作成、更新したMSwordの文書ファイルに感染する。
感染したMSwordを起動すると、Cドライブのルートディレクトリに、BACALAH.TXTという名称のファイルを 作成し、起動日時と各種メッセージが書かれる。
感染しているMSwordでファイルを読み込むと「Thanks for joining us!」と書かれたメッセージボックスが現れる。また、MSwordの「Tools(T)」メニューから「Macro(M)」のコマンドか「Customize(C)」のどちらかを選択すると「Fail on step 29296」と書かれたメッセージボックスが現れる。
このウイルスは日本語版のMSwordでは感染も発病もしない。

WM/Showoff(ショウオフ)

このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染するウイルスである。
このウイルスに感染したMSwordの文書ファイルを読み込むとそのMSwordに感染する。その後、感染したMSwordで作成、更新したMSwordの文書ファイルに感染する。
このウイルスは日本語版のMSwordでは感染もしない。

WM/Spenty(スペンティ) 2011年05月09日公開

このウイルスは、IBM社のワープロソフトであるLotus Word Proの文書ファイルに感染する。
このウイルスは、中国語版のWord Pro文書ファイルにのみ感染を拡大する。

WM/Surabaya(スラバヤ)

このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染するウイルスである。
MSword Ver6.x/7.x/97(Windows版、Macintosh版)で感染、発病する。
感染したシステムでは FILE|TEMPLATE、TOOLS|MACROが隠蔽される。これらのコマンドを使用すると、ウイルスが発病し以下のメッセージボックスが表示される。

Microsoft Word
Sorry. . .
OK

MSword起動時にはステータスバーに下記の文字列が表示される。

Lontong Micro Device ( c ) 1993 By ICE-Man

WM/Swlabs(エスダブルラブス)  2012年02月03日公開

このウイルスは、日本マイクロソフト社のWord(以下MSword)を介して感染するウイルスです。
感染したWordファイルを開くと、標準テンプレートファイルに感染し、それ以降開かれたWordファイル全て(新規に作成するファイルも含む)に感染を拡大します。さらにMSwordの機能である、「ファイル/テンプレート」と「ツール/マクロ」のメニューを削除してしまいます。

WM/Twno(ティーダブリュエヌオー)

このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染する上書き型、暗号化型のウイルスである。
MSwordが日本語版、英語版にかかわりなく.DOC ,.DOTファイルに感染する。
毎月13日になると暗算ゲームを表示する。誤った答えをした場合、その度に 20の文書がオープンされる。そしてWindowsの動作が次第に緩慢になる。

WM/Wazzu(ワズー)

このウイルスは、マイクロソフト社のWord(以下MSword)で動作するウイルスである。
英語版のMSwordでは感染したMSword文書ファイルを読み込むとそのMSwordに感染する。そして、感染したMSwordで作成、更新したMSword文書ファイルに感染する。
また、発病は文書ファイルをオープンするたびに5分の1の確率で、3回ランダムに文書内の単語の位置を入れ替える。その後、「Wazzu」という単語を文書内中のランダムな位置に4分の1の確率で挿入する。
日本語版のMSwordでは感染も発病もしない。発病しない亜種もある。

Wonka(ウォンカ)

このウイルスは、常駐型でディスクのブートセクタに感染する。感染したディスクを起動するとウイルスはメモリに常駐する。
メモリに常駐したウイルスは、ディスクアクセスを監視し、アクセスしたディスクに感染する。
このウイルスは感染するだけで発病はしない。

Wscript/Fortnight(フォートナイト)

このウイルスは、JScript(MicrosoftのJavaScript)で書かれたウイルスで、HTMLメールとWeb閲覧によって感染する。なお、ウイルスが動作するためには、セキュリティホールのあるMicrosoft VMとWSH環境が必要となる。

ウイルスに感染したPCから、ユーザがOutlook Expressを使ってメールを作成すると、ウイルスによって作成された署名ファイルが埋め込まれる。この署名ファイルには、ウイルス本体が記述されたURLが埋め込まれており、Outlook Expressで受信・プレビューした時に自動的にウイルス本体のWebページが参照・実行されて感染する。

感染すると、Outlook Expressの送信メールの形式がHTML形式に変更され、署名ファイルもWindowsフォルダのs.htmlに変更される。このs.htmlにはウイルス本体の置いてあるURLが埋め込んである。これにより、メールによって感染が広がるようになる。

Wscript/KakWorm(カクワーム)

KakWormはOutlookExpresのHTML形式のメールの署名ファイルに埋め込まれており、InternetExplorer5、WSHがインストールされている環境で、マイクロソフト社の OutlookExpressでメールを開いたときまたは、プレビューウインドウを使ったときに動作する。
まず、Kak.htaという名称のファイルをC:\Windows\Start Menu\Programs\Startup\ (英語環境の場合)に作成し、次のWindows起動時に実行されるようにする。
次回起動時にKak.htaが実行されると、OutlookExpressのデフォルト署名のファイルをKak.htmファイルに変更するとともに、送信メールの設定をHTML形式に変更する。
そして、ウイルスの内容の一部をHTMLに変更した、不可視属性のKak.htmというファイルを Windowsフォルダに作成する。この状態で、OutlookExpressで送信したメールには、ウイルスが埋め込まれた署名ファイルが追加される。
毎月1日の18時以降に、Kak.htaファイルが実行されると、下記のメッセージを表示し、OKを押すと、コンピュータがシャットダウンする。

「Kagou-Anti-Kro$oft says not today !」

このウイルスは、InternetExplorer5のセキュリティホールを悪用しているウイルスである。パッチを当てた上で、適切なセキュリティレベル設定を行えば、このウイルスの自動実行を防止できる。
このウイルスは、英語版、フランス語版のWindows95/98で感染・発病する。

WXYC(ダブリュエックスワイシー)

このウイルスは、常駐型でディスクのブートセクタに感染する。感染したディスクを起動するとウイルスはメモリに常駐する。
メモリに常駐したウイルスは、ディスクアクセスを監視し、アクセスしたディスクに感染する。
感染したディスクで起動をすると8分の1の確率で、「WXYC rules this roost!」を表示する。

WYX(ダブリュワイエックス)

常駐型でディスクのブートセクタに感染するウイルスである。感染したディスクで起動するとウイルスはメモリに常駐する。ウイルスが常駐した状態でアクセスされたフロッピーディスクに感染する。
IBM機及びIBM互換機のみ感染する。発病はない


X97M/Barisada(バリサダ)

このウイルスは、マイクロソフト社のExcel(以下MSexcel)を介して感染するウイルスである。
ウイルスに感染したデータファイルを読み込むと、XLStartフォルダに、「hjb.xls」というウイルスに感染したファイルを作成する。(rmc.xls、khm.xlsというファイルを作成する亜種もある)以降MSexcelでデータファイルを作成、編集して、閉じるときにそのデータファイルに感染する。
毎年4月24日の午後2時台に、以下の操作を行うと発病する。
1.感染したデータファイルを開いて閉じたとき
2.感染したデータファイルを開いた状態で、他のデータファイルを開いたとき
3.感染したシステムで、
     データファイルを開いたとき
     データファイルを閉じたとき
     複数のデータファイルを開いていて、切り替えたとき

発病は、二者択一のクイズを2問出題して、2問とも間違えた場合は、開いているデータファイルのワークシートの内容が消去される。
このウイルスは、日本語版MSexcel97/2000、英語版MSexcel97/2000で感染・発病する。

X97M/Divi(ディビ)

このウイルスは、マイクロソフト社のExcel(以下MSexcel)を介して感染するウイルスである。ウイルスに感染したデータファイルを読み込むと、スタートアップフォルダに、「BASE5874.XLS」というウイルスに感染したファイルを作成し、そのMSexcelに感染する。感染したMSexcelでデータファイルを作成、編集して、閉じるときにそのデータファイルに感染する。
MSexcel97に感染すると、「ツール」/「オプション」/全般タグの「マクロウイルスから保護する」の設定をオフにする。
このウイルスは、日本語版MSexcel97/2000及び英語版MSexcel97/2000で感染する。

X97M/Ecmetsys(イーシーメットシス)

このウイルスは、Microsoft Excel に感染するウイルスです。
感染すると、自分自身のコピーをパソコン内に作成し、Excel ファイルに感染するような仕掛けを設定します。
さらに、特定の時間になると、画面上にメッセージを表示します。

X97M/Manalo(マナロ)

このウイルスは、マイクロソフト社のExcel(以下MSexcel)を介して感染するウイルスである。ウイルスに感染したデータファイルを読み込むと、XLStartフォルダに、「C B I.XLS」というウイルスに感染したファイルを作成し、そのMSexcelに感染する。 以降感染したMSexcelで作成、編集したデータファイルを閉じるときにそのファイルに感染する。
感染すると、ファイルには、INC、85Yearsという非表示のワークシートが作成される。
このウイルスは、日本語版MSexcel97/2000及び英語版MSexcel97/2000で感染する。

X97M/Pink(ピンク)

このウイルスは、EXCELのマクロウイルスです。感染したファイルを開くと、EXCELのスタートアップフォルダ(XLSTART)に"BOOK1.xls"というファイルを作成し、EXCELを起動した時にウイルスが実行されるように設定します。
また、システム日付の月と日の数字の合計が13のとき発病し、文書にパスワードを設定し、ファイルを開けないようにします。

X97M/Poorboy(プアボーイ)

このウイルスは、Microsoft の Excel ファイルに感染するマクロウイルスです。

感染すると、Excel を起動したときにウイルス自身が追記され、Excel ファイルに感染が拡大します。

X97M/Rawo (ラウォ)

このウイルスは、MS-Excel ファイルに感染するマクロウイルスです。感染した Excel ファイルを閉じるタイミングで他の Excel ファイルに感染を拡大します。感染を広げる以外に主な発病はありません。

X97M/Remeel(リミール)

このウイルスは、マイクロソフト社のExcel(以下MSexcel)を介して感染するマクロウイルスである。
ウイルスに感染したデータファイルを読み込むと、XLStartフォルダに、「personal.xls」というウイルスに感染したファイルを作成し、そのMSexcelに感染する。以降感染したMSexcelで作成、編集したデータファイルを閉じるときにそのファイルに感染する。発病機能は無い。
このウイルスはマイクロソフトエクセル97/2000で動作・感染する。

X97M/Sarsnan (サースナン)

このウイルスは、Microsoft Excel に感染するマクロウイルスです。

感染すると、Excel ファイルを開くタイミングでウイルスが実行されるようにシステムを改ざんし、メッセージを表示したりします。

X97M/Squared (スクアード)

このウイルスは、MS-Excel ファイルに感染するマクロウイルスです。感染した Excel ファイルを開くと、テンプレートが保存されているフォルダにウイルスのコピーを作成し、以後、開かれる Excel ファイルに感染します。

X97M/Sugar (シュガー)

このウイルスは、マイクロソフト社のExcel(以下MSexcel)を介して感染するウイルスである。ウイルスに感染したデータファイルを読み込むと、XLStartフォルダに、「Book1.XLS」というウイルスに感染したファイルを作成する。以降MSexcelでデータファイルを作成、編集して、 閉じるときにそのデータファイルに感染する。
感染すると、「ツール」/「オプション」/全般タグの「マクロウイルスから保護する」の設定 をオフにする。
10月〜12月の間で、システムの日付と分が同一のときに、以下のような操作を行うと発病 する。
・感染したデータファイルを閉じたとき。
・感染したデータファイルを開いた状態で、さらに他のファイルを開いたとき。
発病すると、A1からV20のランダムなセルに「-(Dr.Diet MoutainDew)-」が書き込まれ、A1のセルに「The [Sugar..Poppy]-by VicodinES」が書き込まれる。
このウイルスは、日本語版MSexcel97/2000及び英語版MSexcel97/2000で感染、発病する。

X97M/Yini (ユイニ)

このウイルスは、Microsoft Excel ファイルに感染するマクロウイルスです。感染したファイルを開くと、Excel のスタートアップフォルダに自分自身のコピーを作成し、Excel を開くタイミングでウイルスが実行されるようにします。これにより、すべての Excel ファイルに感染します。
また、特定の日付にメッセージを表示します。

XF/Helpopy (ヘルポピー)

このウイルスは、Microsoft Excel ファイルに感染するウイルスです。
感染すると、Microsoft Excel のテンプレートに感染し、すべての Excel ファイルに感染を拡大しようとします。

XF/Paix(パイ)

このウイルスは、マイクロソフト社のExcel(以下MSexcel)を介して感染するウイルスである。
このウイルスに感染したデータファイルを読み込むとそのファイルが存在するディレクトリ(Cドライブ以外から読み込まれた場合は、CドライブのWindowsディレクトリ) に「xlsheet.xla」という名称のウイルスコードを含んだアドインファイルが作成される。
このアドインファイルはMSexcelに登録され、以後MSexcelが起動されると自動的に読み込まれ実行可能な状態になる。
保存済みのデータファイルを開くとアドインファイルが実行されて「!!!GO」という名称のシートを作成し、ここにウイルスコードを感染させる。感染したファイルを開くと約2%の確率で、ウインドウのタイトルを「Enfin la paix...」に変更し、メニューバー、ツールバー、シートを非表示にする。
このウイルスは、MSexcel95で感染、発病する。
(*Formula:数式)

XF/Sic(シック)

このウイルスは、マイクロソフト社のExcel(以下MSexcel)を介して感染するウイルスである。
ウイルスに感染したデータファイルを読み込むと、XLStartフォルダに、「Book1.xls」というウイルスに感染したファイルを作成し、そのMSexcelに感染する。以降感染した MSexcelで作成、編集したデータファイルを閉じるときにそのファイルに感染する。
発病は2種類ある。
感染したデータファイルを開いている状態で、
1.午前6時30分になると、
・タイトルバーに表示される名前を「Xf.Classic.Poppy」に書き換える。
・ステータスバーに「VicondinES and Lord Natas greet you a good morning」という文字列を表示する。
2.午後6時30分になると、
・メッセージボックスを続けて2つ表示する。
・表示文字列は「XF.Classic.Poppy by VicodinES」と「c 1998 The Narkotic Network」である。

XM/COMpat(コンパット)

このウイルスは、マイクロソフト社のExcel(以下MSexcel)を介して感染するウイルスである。このウイルスに感染したデータファイルを読み込むとそのMSexcelに感染する。
1998年8月31日以降、感染しているシートを閉じるときに発病する。
発病すると、アクティブになっているシート以外のシートを任意に選択し、シートの使用中のセルが保護されていないか、 あるいは数字を含んでいるかをチェックする。
そして、数値のみが入っていると認識したセルのデータを桁数を変えずに、プラスマイナス5%の範囲内で数値を増減させる。
(文字や数式の入ったセルには損害を与えない。)
このウイルスは、MSexcel95で感染する。(Macintosh機でも感染する。)

XM/Extras(エクストラ)

このウイルスは、マイクロソフト社のExcel(以下MSexcel)を介して感染するマクロウイルスである。
このウイルスに感染したデータファイルを読み込むとそのMSexcelに感染する。
ウイルスは、XLSTARTディレクトリにWindows Extras.xlsファイルを作成し、(マック機にも感染し、システムフォルダー、プレファレンス、ExcelStartupフォルダーに、Macintosh Extrasファイルを作成する。) その後、オープン、新規作成されたデータファイルに感染する。
SAVEやPRINTのツールバーを使えなくすることがある。

XM/Laroux(ラルー)

このウイルスはマイクロソフト社のExcel(以下MSexcel)で動作するウイルスである。
感染したExcel文書ファイルをオープンするとXLStartフォルダにPERSONAL.XLSという名称のファイルを作成し、このファイルにlarouxという名称でウイルスのマクロ(非表示設定)を登録する。
PERSONAL.XLSはMSexcel起動時に読み込まれlarouxマクロが実行されて使用したMSexcelデータファイルにlarouxマクロを追加し、感染する。
このウイルスは発病しない。

XM/Mailcab(メールキャブ) 2012年05月07日公開

このウイルスは日本マイクロソフト社のExcel(以下MSexcel)で動作するウイルスです。
感染すると、自分自身のコピーを作成し、Microsoft Outlookのアドレス帳に登録されているすべての連絡先に自分自身を送信して、感染を拡大します。

XM/Ninja(ニンジャ)

このウイルスはマイクロソフト社のExcel(以下MSexcel)で動作するウイルスで 「ExcelMacro/Laroux」の亜種である。MSexcel Ver5.x/7.x/97で感染する。
このウイルスはXLStartディレクトリへNINJA.XLSというファイルを作成し、そのファイルにウイルス ・マクロをコピーして、自己複製を行う。但し、ファイルの先頭 4 バイトが"Book"の場合には感染 しないことがある。感染ファイルの中には、Ninjaという不可視シートがある。
MSexcelが感染後、任意のシート(感染ファイルのシートに限らない)をアクティブにしたカウントが1000回(または3000回)を超えるとウイルスによりMSexcelが終了されるという発病を伴うものもある。
発病後はMSexcelを起動してもすぐに終了してしまう。

XM/Slide(スライド) 2011年10月05日公開

このウイルスは日本マイクロソフト社のExcel(以下MSexcel)で動作するウイルスです。
感染すると、パソコン内に自分自身のコピーを作成し、全てのMSexcelドキュメントファイル(新規に作成するファイルも含む)に感染を拡大します。

XM/VCX.A(ブイシーエックスエイ)

このウイルスは、マイクロソフト社のExcel(以下MSexcel)を介して感染するウイルスである。ウイルスに感染したデータファイルを開くと、文書内のウイルスマクロが 実行され、標準テンプレートの感染の有無を調べて、未感染だった場合はウイルスマクロのコピーをCドライブのWindows\systemディレクトリに"Xlscan.386"という名前で 作成し、それをスタートアップフォルダの"Xlscan.xls"ファイルにインポートして感染する。
このウイルスの発病はゴミファイルの作成で、ドキュメントファイルを閉じるたびに、 月日時分秒*.vcx(*は1〜10までの数字)というファイル名(例:12月11日14時5分32秒なら、" 12 11 14 5 32 1.vcx"となる)のウイルスソースファイルのコピーファイルをc\windows\systemディレクトリに毎回10個ずつ作成する。
このウイルスは、MSexcel 95/97で感染する。


YAM.3596(ワイエイエム3596)

このウイルスはメモリに常駐し、COMファイルに感染する。このウイルスに感染しているファイルを実行すると、ウイルスがメモリに常駐し、ファイルの実行を監視する。
ウイルスがメモリに常駐している状態で、ファイルを実行すると、そのファイルにウイルスが感染します。
ウイルスがメモリに常駐してから感染したファイルの数が、3ファイル以上になると発病し次のメッセージを表示する。
このウイルスが常駐している状態で感染ファイルの大きさを確認しても感染前の内容が表示される。(ステルス型)

「YOUR FILE HAS JUST BE PENIS'IZED COMPLEMENTS OF [YAM]/92 -GRISS」

YankeeDoodle(ヤンキー・ドゥードル)

常駐型でCOM、EXEファイルに感染する。
ウイルスが常駐した後、17時になると「Yankee Doodle(アルプス一万尺)」を演奏する。
IBM−PC及びその互換機で発病し、NEC−PC98及びその互換機では感染のみである。

YankeeDoodle(TP44VIR)(ヤンキー・ドゥードル(TP44VIR))

ヤンキー・ドゥードルの亜種である。常駐型でCOM、EXEファイルに感染する。
ウイルスが常駐した後、17時になると「Yankee Doodle(アルプス一万尺)」を演奏する。
IBM−PC及びその互換機で発病する。NEC−PC98及びその互換機では感染するだけであるといわれているが、被害届出の中には、ファイルを破壊されたケースも含まれている。

Yonyu(ヨンユ)

常駐型でブートセクタに感染する。IBM-PC及び互換機で感染したディスクを起動するとウイルスはメモリに常駐する。
メモリに常駐したウイルスは、ディスクアクセスを監視し、アクセスしたディスクへ感染する。感染したフロッピィディスクは、ディスクの情報が破壊されることがある。
IBM-PC及びその互換機以外のシステムディスクに感染するとそのディスクは起動不可能になる。


国内で発見されたウイルス

DBf-(DBf-1)

X68000で動作するウイルス。感染したディスクから立ちあげるとSRAMへ常駐する。
ウイルスが常駐しているときにアクセスしたディスクに感染する。SRAMに感染するため、電源を消しても本体に残存する。
1990年7月以降は、感染したフロッピーを破壊する。

DApm-2(DApm-2)

非常駐型ウイルス。MS−DOSのCOMファイルに感染し、600バイトファイルサイズを増加させる。
30,720バイト以上のファイルの場合、感染したファイルを破壊する。
12月25日に「A merry christmas to you!」というメッセージを表示する。

DBo-3(DBo-3)

PC9800シリーズのブートセクターに感染する国産のウイルス。感染したディスクで立ち上げると、IO.SYSを破壊する。この時Bドライブにフロッピーディスクが挿入されていると、そのブートセクターに感染する。

DBh-4(DBh-4)

IPL、SRAMに感染する。
1月7日に感染フロッピーディスクから立ち上げた場合、「エラーが発生しました。リセットして下さい。」 と表示され、実行できなくなる。
フロッピーディスクのIPLの先頭部分の文字列が、「Hodson soft 2.00」となっている。

DAn-5(DAn-5)

非常駐型でEXEファイルに感染する。
感染したファイルの最後尾に「I am the virus X.」というテキストがある。
タイムスタンプは更新しない。データ破壊等は行わない。

DShm-6(DShm-6)

このウイルスはあるウイルスのメッセージ部を修正したものである。常駐型でIO.SYSに感染する。
感染媒体として、書き込み禁止、不可視属性を持ったCOMファイルを生成する。場合によりシステムが暴走する可能性がある。
感染日より30日以上経過したシステムで立ち上げた場合、コマンド実行により、メッセージを表示する。

DApm-7(DApm-7)

非常駐型でMS−DOSのCOMファイルに感染し、653バイトファイルサイズを増加させる。
0時〜5時の間に感染プログラムを起動すると、「Give me a Cookie」というメッセージを連続的に表示し、キーボードから「Cookie」と入力するまで続く。入力すると「Oh Thank you」と表示して元に戻る。

DApm-8(DApm-8)

非常駐型ウイルス。COMファイルに感染し、600バイトファイルサイズを増加させる。
30,720バイト以上のファイルの場合、感染したファイルを破壊する。
2月14日に「Be my valentine.」というメッセージを表示する。
DApm−2の日付とメッセージ部を変えたものである。 

DSofmh-9(DSofmh-9)

このウイルスはDShm−6と類似したウイルスである。常駐型でIO.SYSに感染する。
感染媒体として、書き込み禁止、不可視属性を持ったCOMファイルを生成する。場合によりシステムが暴走しハングアップする可能性がある。
感染日より7日以上経過したシステムで立ち上げた場合、コマンド実行により、メッセージを表示し、その後ディスクの先頭から8セクタ分をフォーマットしてしまう。

DSofmh-10(DSofmh-10)

このウイルスはDSofmh−9を修正したものである。常駐型でIO.SYSに感染する。
感染媒体として、書き込み禁止、不可視属性を持ったCOMファイルを生成する。場合によりシステムが暴走しハングアップする可能性がある。
DSofmh−9と異なる点は発病が感染した日より2日以上経過した時点で起こることのみで、メッセージの表示、ディスクのフォーマット等の症状は皆同じである。

DAofp-11(DAofp-11)

このウイルスはDApm−8を修正したものである。非常駐型でCOMファイルに感染し、600バイトファイルサイズを増加させる。30,720バイト以上のファイルの場合、同ファイルを実行すると暴走などの異常が発生する。
12月31日に感染しているファイルを実行すると、Bドライブから順にディスクの先頭から8セクタを破壊し、暴走する。
ディスクアクセスに際し、障害を発生することがある。書き込み禁止(リードオンリー)属性・不可視属性が設定されているファイルには感染しない。

DApm-12(DApm-12)

非常駐型ウイルス。COMファイルに感染し、600バイトファイルサイズを増加させる。 30720バイト以上のファイルの場合、感染したファイルを破壊する。
8月31日に実行すると「You must go to school!」というメッセージを表示する。
DApm−2の日付とメッセージ部を変えたものである。

DApdm-13(DApdm-13)

非常駐型ウイルス。COMファイルに感染し、709バイトファイルサイズを増加させる。ファイルサイズが、64,146 バイトよりも大きいファイルやディスクの残り容量が709バイト未満の場合、感染はしない。
5月5日に、「Hi! boy. Do you know 'hide-and-seek'? Let's play with me!!」というメッセージを表示する。
また、カレントディレクトリー内の全ファイルの属性を「システム属性、不可視属性、書込禁止属性」に変更するため、以後、 DIRコマンドなどによるファイルの確認やファイルの実行が出来なくなる。従って、コンピュータを利用している人には ファイルを削除されたようにみえる。

DBmh-14(DBmh-14)

NEC PC−9801及び互換機で感染する。常駐型で2HDのフロッピーディスク(セクタサイズ1Kバイト)のブートセクタにのみ感染する。
10月30日〜11月1日の期間に発病し、画面にメッセージ 「It’s Halloween. Trick or Treat!」を色を変えて表示する。 また、システムをハングアップさせる。
感染が行われると、対象フロッピーディスクのブートセクタを強制的に書き換えるため、システム が起動できなくなる場合がある。

DApm-15(DApm-15)

非常駐型ウイルス。COMファイルに感染し、600バイトファイルサイズを増加させる。
2月14日に「Be my valentine.」というメッセージを表示する。30,720バイト以上のファイルの場合、感染したファイルを破壊する。
DApm−8(バレンタインウイルス)を改造したもので、重複して感染する点がDApm−8と異なる。
重複感染して30,720バイト以上になったファイルを実行するとプログラムは暴走する。

DSpdh-16(DSpdh-16)

このウイルスはワクチンに見せかけたトロイの木馬で、実行時に”ウイルスチェックプログラムver1.02” ”異常はありませんでした。”のメッセージを表示する。
AからFドライブのルートディレクトリにあるCOMMAND.COMファイルにのみ感染し、サイズが 1,063〜1,078バイト増加する。
感染したCOMMAND.COMファイルを実行した時さらに感染が起こり、感染世代が3、7、11・・・のウイルスが発病して、AUTOEXEC.BATファイルに「ファイルを削除する(DELコマンド)命令」を書き込む。そのため、次にシステムを起動した時、カレントドライブのルートディレクトリにあるファイルが全て削除される。

DTd-17(DTd-17)

このウイルスは非常駐型のウイルスで、「RED」というエディタを使用した時、「RED.COM」という独立した実行ファイルを作成して感染する。
発病は、REDが終了した後で、日付が11月15日ならば、編集したファイルの最後尾に  ’ルパンIII世 ’ という文字データを追加する。

DBfs-18(DBfs-18)

常駐型でブートセクターに感染する。
感染したハードディスクを50回以上起動するとディスクへの書き込みができなくなり、70回以上起動するとディスクアクセス時にベル音がなり、77回起動するとディスクの内容が破壊される。

DBn-19(DBn-19)

常駐型でブートセクターに感染する。感染を繰り返す中で、感染時にディスクの内容を破壊することがある。

DAmh-20(DAmh-20)

常駐型でCOM、EXEファイルに感染する。メモリに常駐してから3時間が経つと発病し、

「Ang VIRUS na ito ay taos-puso naming inaalay kay Professor HERMILITO GO ng MSU-IIT.
Kung hindi dahil sa kanyang KAHANBUGAN ang VIRUS na ito ay hindi maisasakatuparan...」

とフィリピン語で表示してハングアップする。

DAn-21(DAn-21)

DAn−5の亜種。非常駐型でEXEファイルに感染する。
感染したファイルの最後尾に「I am the」というテキストがある。
感染したファイルを実行すると、コンピュータが暴走することがある。

DAmh-22(DAmh-22)

非常駐型でCOMファイルに感染する。感染したファイルを実行すると、A〜Fドライブの未感染COMファイルを探し、ウイルス内にある1バイトの感染カウンタに1を加えて感染する。
このとき感染カウンタの内容が一定の条件を満たすと、「--- Be careful VIRUS !! ---」と表示してハングアップする。

DAn-23(DAn-23)

常駐型でCOM、EXEファイルに感染する。DOSバージョン5で感染したファイルを実行すると、メモリに常駐する。
ウイルスがメモリに常駐しているときにCOM、EXEファイルを実行すると、そのファイルに感染する。
DOSがバージョン5でないとき、または、UMBメモリが使用できる設定をしていないマシンで、このウイルスに感染したファイルを実行すると暴走する。

DSn-24(DSn-24)

このウイルスは、1988年にPC-VANで発見されたウイルスと同じものである。今回はフロッピーディスクから発見された。このウイルスを実行するとCOMMAND.COMファイルの内容を変更する。この状態でシステムを起動して、PC-VANにアクセスすると、このウイルスは掲示板に利用者のアカウントとパスワードを書き込む。(画面が一時停止していてもモデムのアクセスランプが点滅している。)
ボードに書き込まれたアカウントとパスワードは暗号化されているので、通常の利用者には内容が識別できないが、ウイルスを作成した者は暗号を解読し内容を確認できるため、商用ネットを不正に利用する事が可能となる。

DAmh-25(DAmh-25)

このウイルスは、非常駐型でCOMファイルに感染する。このウイルスに感染しているファイルを実行するとウイルスがCOMファイルを検索し、未感染ファイルに感染する。
実行したときにランダムに発病し、以下のメッセージを日本語で表示します。(メッセージの爆発動作はしません。)

このパソコンは3分以内に爆発します。
直ちに電源を切って消火をして下さい。

DAdmh-26(DAdmh-26)

常駐型でCOM、EXEファイルに感染する。感染したファイルを実行するとウイルスがメモリに常駐する。常駐したウイルスはファイルの実行を監視し、実行されたCOM、EXEファイルに感染する。 システム時計が13日の金曜日に感染したファイルを実行すると、画面を赤色にし、下記のメッセージを表示する。

Today is The Friday 13th.
Please give me BOUNUS!!


ウイルス対策のトップページこちらセキュリティセンターのトップページこちらをご覧ください。