| Virus | memo |
| Melissa | ちょっと前に捕獲したVirus、 MelissaはWin環境でOutLookを使用した際のみ発症。 E-Mailの添付書類として配付され、展開すると同時に受信者のアドレス帳 から50人に受信者からのメールを送信。 File,Fat破壊などは起きないが、ネットワークのトラフィックが異常に上がり、MailSeverがダウンすることが報告されている。 ▼ワクチンのダウンロードはここから可▼ |
| Die_Hard.4000 | ファイル感染型。名前がいいね。AliaseはDH2, Wix。Die_Hardは実行されるときメモリに侵入し、使用可能なDOSメモリを9232byte減らす。Die_Hardは実行されるか又は開かれた全てのCOMファイル及びEXEファイルに伝染する。感染したファイルは4000byteだけサイズが大きくなる。
※Aliases(エイリアス)とは、ここで云うなら 'Die_Hard.4000'に対して更に与えられた名称。
注意!:Die_Hardは暗号化された数層下に隠れているはず。ウィルスの暗号を解読していくと、SW DIE HARD 2・SW Errorというtextが見つかる。 Die_Hardはポリモフィック暗号化技術を利用していないため、極めて容易に見つけることが出来る。 |
| AntiCmos.A | BootSector感染常駐型、AliaseはLenart。 ※BootSector感染常駐型とはSystemよりも先に
メモリ上にロードされるためOSの制御(INT:割込等)を
奪う事が出来る。 注意!:パーティションテーブルに感染した場合、通常の Formatで駆除することは出来ない。 |
| W32/SKA(Happy99) | 構造単純、解析の教材にでも。トロイの木馬の一種で、このvirusは、普通E-mailや
ニュースグループ上の添付ファイルとして拡がっていく。
E-mailの場合、他の自分宛のメールと同じタイミングで
Happy99.exe というファイルだけ
が添付されたメールが届く。※林檎には
感染しないが添付されているmailをそのまま送信すると相手が
被害に遭うのでHappy99.exeは必ず削除しておく。 注意!:windowsのsystemというディレクトリに SKA.EXE、 SKA.DLL、 WSOCK32.SKAというfileが確認された場合感染している可能性が ある。 ▼ワクチンのダウンロードはここから可▼ |
| Stoned | BootSector常駐感染型、AliaseはNew-Zealand。 一部のBootsector常駐感染型のvirusはFDにしか感染できないが、New
Zealand等のvirusはHDDにも感染する。この場合BootSectorではなくパーティションブートレコードを書き換える。
注意!:一見無害っぽく見えるが、実はそんなことはない。 感染したFDでは、元のBootSectorはTrack0:head1:sector3に格納されている。これは360KB(2D:今使ってる人はいないと思うが) FDのroot dirctoryの最後のSector。普通は考えられないが、root directoryに96を超える fileが含まれている場合でなければディスクが使えないことになる。又、1.2M(2HD)のFDのこのSectorを上書きすると、360K(2D)のFDの場合よりディスクを壊す可能性が高い。 |
| Buptboot | BootSector感染常駐型、AliasはWelcomeB。 'Welcome to BUPT 9146,Beijing!'←のtextを含んでいる。 |
| Cascade | 有名だね。文字が落ちるアレだ。Aliaseは 17Y4,1701,BlackJack,Falling Letters,Yap他にも あったような気がするが忘れた。ちなみに Cascadeは亜種を合わせて150種類以上ある。 ▼ワクチンのダウンロードはここから可▼ |
| Concept | マクロ感染型。AliaseはPrank Macro。Conceptを構成しているマクロは,AAAZAOAAAZFS,AutoOpen,FileSaveAs,PayLoad。 ※マクロ感染型とは機種依存しないマルチプラットフォーム型virus。 この種のvirusはウイルスバスター等に簡単にひっかかる とてもウザイ存在、症状のでない物もある、結構いい加減な物を見かける。 |
| CAP | マクロ感染型。Wordマクロウィルス。CAPは、複数の暗号化されたマクロからなっている。CAP、AutoExec、AutoOpen、FileSave、FileSaveAs、
FileTemplates、ToolsMacro、FileClose、FileOpen、AutoCloseで構成。
このvirusには次のテキストが含まれている。'C.A.P: Un
virus social.. y ahora digital..'"j4cKyQw3rTy"(jqw3rty@hotmail.com).'Venezuela,
Maracay, Dic 1996.'P.D. Que haces gochito ? Nunca seras Simon Bolivar..
Bolsa !' 注意!:CAPはデータ破壊等といった行動はとらないが、保身のためにTools・MacroメニューおよびTools・Customizeメニューを削除し、File・Templatesメニューをディスエーブルにする。削除する場合は感染した文章からマクロを全て削除すること。(F-MACROから、"F-MACRO /DISINF /REMNANTS"のようなコマンドを使って行う) |
| CIH.1003(CIH V1.2) | ファイル感染型。AliaseはSpacefiller。
ウイルスが発病すると破壊的な行動をとる。発病すると、virusはマシンのHDDのほとんどのデータを上書きしてしまう。このvirusにはもう一つ固有な発病ルーチンが存在する。このルーチンはマシンのFlash
BIOSチップを上書きしようする。成功すれば、chipを再プログラムしない限り、このマシンは全くブートできなくなる。Flashルーチンは多くのタイプのPentiumマシンで動作するようだ。(ex:Intel
430TX chipset base) ※Windows NTではこのウイルスは感染しない。Windows
NTでは、メモリに常駐できずウイルス感染の拡大や、データを破壊するといった活動は出来ないようだ。
注意!:CIHはプロセッサのリング3からリング0にjumpするというトリックを用いてfileのSystem Callをフックしているようだ。 先進的なトリックを使用していて非常に興味深い。 |
| Wazzu.A (WM.Wazzuの亜種) |
マクロ感染型。Wazzuを構成するマクロはAutoOpenのみ。AutoOpenという名前はMS-Wordが何語版であろうと同じなので、Wazzuは何語版の
Wordであろうと的確に自己複製できるウイルスといえる。感染文書がオープンされる際、Wazzuはあるルーチンを3回呼出す。そのルーチンは呼出される度に、5回に1回の確率で、文書内の1語をランダムに別の場所へと移動させる。さらに4回に1回の確率で、wazzuは文書内のランダムな位置に"wazzu"という文字を挿入する。以上の作業を完了した後、wazzuは文書冒頭に戻る。
注意!:手作業で駆除するのはほぼ不可能だと思って良い。 |
| Kampana | BootSector感染常駐型、AliaseはAntiTel,Campana,Telecom。 ファイル型よりも広範囲に伝染する。Kampanaは、HDDのMasterBootレコードとFDのDOS boot sectorに感染。既知のVersionが幾つかあり、そのうちの1つはFDに感染することができない。又、400回のBoot後に活動し'VIRUS ANTITELEFONICA (BARCELONA)という'メッセージを表示するものもある。※HDD,FDともデータは全て破壊される。 |
| Devil's Dance | うーん、すごい名前だねぇ。これはメモリの上限まで繰り返し同じファイルを感染する。
確か INT09h(キ−ボードINT)に障害を起こし、[CTRL-ALT-DEL]Keyを押すと
'DID YOU EVER DANCE WITH THE DEVIL IN THE WEAK MOONLIGHT ? PRAY FOR YOUR
DISKS!!The Joker'というメッセージを表示する。 注意!:Devil's Daanceはキーボードを監視し、2000回キーが押されると発病する。すると、場面で表示されるtextの色が変更される。5000回に 達するとFATの最初のcopyを壊す。 |
| Jerusalem | ファイル感染型、AliasはIsraeli。 このvirusは、結構昔から出回っている、非常に一般的。そのため数多くの変種がある。このvirus
は*.exeと*.com fileの両方に感染する、最初のVersionのvirusはBugがあるため、システム上で大きなサイズになるまで*.EXEファイルに繰り返し感染する。
注意!:このvirus13日の金曜日に発病し、その日に実行されたprogramを削除する。感染したprogramを実行してから30分 が経過すると、virusはシステムのスピードを減少させ、スクリーンの一部を2行分スクロールして上げていく。変種の中に はこの現象が出てこないこともあるため、検知することが困難になる場合もある。※ex:VARIANT Moctezuma暗号化された2228byteの変種。 |
| Ripper | BootSector感染常駐型、AliaseはJack Ripper。RipperはFDのBootレコードとHDDのMasterBootレコードに感染する。大きさは2セクター分の大きさ。
注意!:Ripperは変数Keyによって暗号化されている。 BootSector感染常駐型で暗号化しているvirusは、Ripper以外あまり聞かないね。ステルス性もあり、メモリで活動中でない限りvirus codeをBootSectorで発見することはできない。厄介モノ。 |
| Password Crack | memo |
| AMI_BIOS Crack | そのまんまだね。 |
| UNJDA | JDA pass crack |
| SnapBoy | ***** の部分を..... |
| Win95 ScreenSaverCracker |
Screen Saver Pass Crack |
| Annex Cracker | JDAインプラントのPass Craker、暗号型未対応。 |
| NT Unix Password Cracker |
- |
| Captor | Unixのパスファイル解き。 |
| WWW hack | サイト内のPASSを突破する。 |
| PikaZIP | ZIPのパスワードを調べる。RARも可。 |
| Network / other | memo |
| Easy mail bomb! 受けたサーバが不安定になる可能性有り。 不逞な輩がいた為、リンクから外す。 | |
| gabrienai | 環境変数を自由に設定し匿名性を高めるが、必ずしも完全とは いえない。 |
| IcqBomber | ICQねぇ、便利なんだけどイマイチ乗り気にならんのよ。 |
| PortScanner | Portの生死を調べる。 |
| FakeIP | Portを監視しIPアドレスからの攻撃を防ぐ。 |
| Nukedet | Nukeリベンジャー!? |
| HakTekJ | PortScan&AntiMaibomb&Mailbomb&IPscan... |
| Ancooke | Cookieを隠してくれるTSR。 |
| AnonyMail | 匿名メーラー。素人に有効。 |
| Hack/Crack/解析他 | memo |
| Reg Moniter | レジストリモニター。解析にあると便利。(logを取ってトレースするとか色々。) |
| File Moniter | ファイルモニター。これも解析に使える。Regmonと一緒に起動しない事。 |
| 6502 Dis assembler | X680x0用 6502disアセンブラ。高速! |
| HAS.X | X68000用ハイスピードアセンブラ。 |
| AASM | MS-DOS汎用マクロアセンブラ。殆どの命令をマクロ定義して使用する ため色んなCPUで使えるが、ちょっと遅いのが難点。 |
| 「逆アセンブルツール」 UA.EXE for PC98x1 |
Microsoft社 EXEPACK(または同社 LINKER 橘濕・)で圧縮されたファイルを 自動認識して、解凍・逆汗する,80486DX (80486,80487) に対応。 486 Codeを使って書かれているROMの部分逆汗には、便利かもね。 |
| ZASM | CP/M-80及MS-DOS上で動作するアブソリュートアセンブラ。 フォーマットはCP/MのASMファイルと殆ど同じ。使いやすい、オススメ。 |
| SH CPU DisAssembler | MS-DOS汎用日立SHシリーズ用 逆アセンブラ。 フォーマットに関しては日立というよりはGNUかな。 |
| BackOrifice Cilent Ver1.41 |
BO、と聞いて意味のわからない人には無関係な物。 |
| BO2KSNIPER | BO2000を検出する。 |
| Fire Flower Ver2.0 | W32Dasm等を使って作成した*.patを使いクラックに用いる。 |
| GRDUW | 1.7MBの特殊フォーマットディスクを作成する。FD1枚の Linuxに必要。 |
| Date_Cracker! | 体験版・評価版のソフトの日付け制限を解除するツール。全部 うまくいくとは限らないので要注意。 |
| Sniffer for SUN4.1 | SunOS(4.1.X?)マシン用のSniffer。 |
| Sniffer For Solaris | Solarisマシンの用Sniffer。 |
| Protect解析支援 プログラム「WIZ」for PC98x1 |
起動の際にtimer.com,address.com,wiz120e.exeを単独で起動させないこと。 またwiz.bat,trap-s.comを多重起動させると誤作動の原因になるので要注意。 |