CIH
바이러스에 대한 이야기를 하면 빼 놓을 수 없는 바이러스가 바로 'CIH' 바이러스다. 보통 다른 바이러스는 소프트웨어적인 파괴만 한다. 따라서 포맷을 각오하면 대부분 바이러스를 잡을 수 있다. 그러나 CIH 바이러스는 단순히 소프트웨어만 파괴하는 것이 아니라 BIOS(Basic Input/Outpus System)까지 파괴한다. BIOS는 쉽게 보면 컴퓨터를 기본적인 부팅 정보를 포함한 기억장치다. 따라서 BIOS가 파괴되면 아예 컴퓨터가 부팅되지 않는다. 따라서 메인보드를 AS 받아야 치료가 가능했다. 이렇다 보니 그 폐해가 보통 심한 것이 아니었다. CIH 바이러스는 항상 동작하는 것이 아니라 특정한 날에만 동작하기 때문에 그 날이 되면 컴퓨터를 끄지 말고 퇴근하라고 권고했다.
최초의 바이러스
바이러스에 대한 이야기를 하면 빠질 수 없는 바이러스가 몇 가지 있다. 바로 '(C) brain' 바이러스다. 하드디스크가 일반화되기 전에 생긴 바이러스로 이 바이러스가 하는 일은 딱 한가지다. 플로피 디스크의 라벨을 (C) brain으로 바꾼다. 내 블로그를 자주 방만하시는 구차니님이 다는 댓글을 보면 'MBLee.no.brain'이라는 글이 많은데 이 글을 보면 나는 (C) brain이라는 바이러스가 생각한다. 하는 일도 거의 없는 바이러스이지만 이 바이러스가 세계 최초로 만들어진 바이러스다. 그런데 이런 할일 없는 바이러스들이 꽤 많다. 또 하나 생각나는 바이러스는 플로피 공회전을 시키는 바이러스다. 공회전을 많이 시켜 플로피를 닳게 만드는 것이 목적이로라고 한다.
다음으로 기억나는 바이러스는 한번 감염됐다 죽을 고생을 한 Dark Avenger(어둠의 복수자)라는 바이러스다. 보통 바이러스는 바이러스에 감염된 상태에서 다른 프로그램을 실행하면 실행한 프로그램이 감염되었다. 그러데 이 어둠의 복수자는 dir(디렉토리의 목록을 보면 도스 명령어)만 실행해도 디렉토리에 있는 모든 프로그램이 감염되는 아주 감영도가 높은 바이러스였다.
최고의 V3
도스 시절 최고의 백신을 꼽으라면 나는 주저없이 V3를 꼽는다. 당시 세계적으로 유명한 백신 프로그램은 McAfee였지만 McAfee보다 더 신뢰성있는 프로그램이 V3였다. 또 대부분의 백신 프로그램은 바이러스에 감염되면 감염된 프로그램을 삭제하는 방법으로 치료했지만 V3는 정말 바이러스 코드만 삭제해 주었다. V3로 치료하면 파일 크기가 1024, 2048처럼 2의 승수로 끝난다. 그 이유는 감염되기 전의 파일 크기를 모르기 때문이었다. 따라서 이런 파일을 보고 바이러스 감염 사실을 알아 맞출 수 있었기 때문에 도사 아닌 도사가 된 때도 있다. 아무튼 Dark Avenger는 감염속도가 정말 빠른 바이러스였지만 V3라는 아주 훌륭한 백신덕에 컴퓨터를 포맷하지 않고 문제를 해결한 적이 있다.
이 뒤에 트로이목마에 걸린적이 한번있다. 뉴스 그룹에서 프로그램의 설명을 듣고 내려받아 실행한 파일이다. 바이러스 감염을 항상 주의하기 때문에 인터넷에서 프로그램을 내려받으면 꼭 '바이러스 검사'를 하고, 프로그램 내에 문제가 되는 문자열이 있는지 검사하곤 한다. 이 프로그램도 비슷한 과정을 거쳤다. 그런데 잡을 수 없었던 것은 배치 파일로 만든 트로이 목마였기 때문이다. 즉 이 프로그램은 배치파일을 컴파일한 프로그램이다. 이 프로그램을 실행하면 "Initialize Setup"이라는 작은 Windows 창이 나타난다. 그리고 숨은 도스창이 나타난뒤 모든 하드 디스크를 지운다.
이 프로그램은 두개의 모듈로 구성되어 있다. 하나는 간단한 Windows 창들 뛰우는 부분과 배치파일을 만들어 실행하는 부분. 배치파일에서 시스템의 모든 하드 디스크를 찾고, 하드 디스크의 모든 파일을 deltree 명령을 이용해서 삭제한다. 공식적인 도스 명령을 이용해서 동작하는 프로그램이기 때문에 바이러스 검사에도 걸리지 않고 프로그램 내을 직접 검사해도 트로이목마라는 것을 알 수 없었다. 바이러스류에 걸린 것은 여기가 마지막이다. 이 뒤로는 백신 프로그램을 사용하지 않아도 단 한번도 바이러스에 걸린적은 없다. 인터넷에서 내려받은 파일은 항상 주의하고, 또 실행은 VMWare와 같은 가상머신에서 작업 관리자를 띄운 뒤 실행해 보기 때문이다.
CIH
마지막으로 바이러스에 대한 이야기를 하면 빼 놓을 수 없는 바이러스가 바로 CIH 바이러스다. 보통 다른 바이러스는 소프트웨어적인 파괴만 한다. 따라서 포맷을 각오하면 대부분 바이러스를 잡을 수 있다. 그러나 CIH 바이러스는 단순히 소프트웨어만 파괴하는 것이 아니라 BIOS(Basic Input/Outpus System)까지 파괴한다. BIOS는 쉽게 보면 컴퓨터를 기본적인 부팅 정보를 포함한 기억장치다. 따라서 BIOS가 파괴되면 아예 컴퓨터가 부팅되지 않는다. 따라서 메인보드를 AS 받아야 치료가 가능했다. 이렇다 보니 그 폐해가 보통 심한 것이 아니었다. CIH 바이러스는 항상 동작하는 것이 아니라 특정한 날에만 동작하기 때문에 그 날이 되면 컴퓨터를 끄지 말고 퇴근하라고 권고했다.
BIOS가 파괴되면 메인보드를 AS를 받아야 한다. AS를 받아야 하는 이유는 최소한 플로피로 부팅이라도 할 수 있으면 BIOS를 다시 쓰면된다. 그런데 BIOS가 나가면 플로피로도 부팅 되지 않았다. 따라서 요즘은 문제때문에 상당수의 메인보드 제조업체에서는 BIOS와는 무관하게 플로피로 부팅하거나 BIOS를 플래시할 수 있는 기능을 제공하고 있다. 바이러스에 대해 워낙 주의하기 때문에 CIH 바이러스의 피해는 입지 않았다. 그러나 연구실의 상당수 컴퓨터는 CIH 바이러스에 감염됐다.
일반인이라면 당연히 메인보드를 AS받았겠지만 명색이 전자과 대학원생들이 이런 문제로 AS를 받는 다는 것도 입맛에 맞지 않았다. 그래서 'FlashROM'을 메인보드에서 빼서 롬라이터로 BIOS를 직접 구워넣었다. 다만 인터넷에서 내려받은 BIOS 파일은 직접 구울 수는 없다. 그 이유는 플래시 라이트 프로그램이 분해해서 사용할 수 있도록 프래시 프로그램 영역과 실제 라이팅 영역이 분리되어 있기 때문이다. 그러나 역시 큰 문제는 없었다. 대부분의 파일 구조를 이미 알고 있기 때문이다.
Trackback
Trackback Address :: https://offree.net/trackback/2218
Comments
-
백냥 2009/01/08 13:05
Dark Avenger 오랜만에 듣는 이름이네요. ^^
글 읽고 있으니 그 시절 바이러스와 씨름(?)하던 생각이 나네요.
2400bps 모뎀가지고 백신 다운받고 친구들 돌려주고 하던 생각도 같이...^^
그리고 보니 앞에 [파업지지] 말머리가 사라졌네요? -
-
yoonsangfan 2009/01/08 13:51
요즘 미국에선 Antivirus 2009 과 같은 형태의 Fake Antivirus 류의 trojan 바이러스가 유행하는것 같아요. 제가 다니는 회사 직원들 PC 에 바이러스 걸렸다 하면 대부분 이겁니다. 예전엔 winlogon.exe 에 기생하는 형태였는데 요즘은 IE 에 dll 형식으로 Internet Temp 나 system32 에서 여러가지 형태의 dll 로 자가 복사해서 숨기더군요. Firefox 로 돌아다녀도 걸립니다. 걸리는 방법은 웹 주소 오타로 인해 다른곳으로 갔을때 뜨는 팝업용 flash 나 사진에 의해 걸립니다. (현재 제가 확인한 방법만 보면요.)
또 한가지는 MS Game Zone 이라는 타이틀로 Microsoft Publisher 라고 그럴듯 하게 진짜처럼 보이게 만들어져서 Autoruns 같은 툴로도 잘못 하면 그냥 지나쳐 버리게 되더군요.
제거 하는 방법도 제각각 이고 인터넷을 돌아보다 보면 제거 하는 방법을 설명하면서 다운로드를 유도하는 상업성 블로그나 웹사이트가 많은데 개중에는 또 다른 Fake spyware 를 설치하게 하더군요...
이런것들은 보안 프로그램을 팔아먹기 위해 만들어낸 바이러스가 아닐까 하는 찝찝한 생각도 드는군요... -
덱스터 2009/01/08 15:26
예전에 학교 컴퓨터 중 하나가 홈페이지 변경하는 악성코드에 감염된 적이 있었는데 이상하게 치료를 해도 홈페이지는 그대로이더군요 -_-
이놈은 뭘로 잡아야 하는지...-_- -
-
-
구차니 2009/01/09 16:46
2009년 버전으로 업그레이드 된 sunday 바이러스가 생겨 날 때가 된거 같은데 말이죠, 이름을 주5일제 바이러스 weekend virus 이렇게 지으면 대박 날 듯 합니다.
문득 미친소가 뒷걸음질 치다가 쥐를 잡으면 어떨까라는 망상이 떠오르네요 ^^;
저는 처음에 그냥 바이러스 이름 처럼 지을려다가 무뇌를 넣을려니 no.brain을 쓰긴했는데 쓰고나니 저도 brain 바이러스가 생각이 나더라구요
"(C) brain이라는 바이러스가 생각한다. 사실 하는 일도 거의 없는 바이러스이지만 이 바이러스가 세계 최초로 만들어진 바이러스다" 의도한건 아니지만, 정말 brain바이러스나 MBLee.no.brain 바이러스나 하는 일도 거의 없는건 똑같군요 ^^;
Facebook