호환, 마마보다 무서운 악성코드 2. 바이러스 이야기

2009/01/08 11:15

CIH

바이러스에 대한 이야기를 하면 빼 놓을 수 없는 바이러스가 바로 'CIH' 바이러스다. 보통 다른 바이러스는 소프트웨어적인 파괴만 한다. 따라서 포맷을 각오하면 대부분 바이러스를 잡을 수 있다. 그러나 CIH 바이러스는 단순히 소프트웨어만 파괴하는 것이 아니라 BIOS(Basic Input/Outpus System)까지 파괴한다. BIOS는 쉽게 보면 컴퓨터를 기본적인 부팅 정보를 포함한 기억장치다. 따라서 BIOS가 파괴되면 아예 컴퓨터가 부팅되지 않는다. 따라서 메인보드를 AS 받아야 치료가 가능했다. 이렇다 보니 그 폐해가 보통 심한 것이 아니었다. CIH 바이러스는 항상 동작하는 것이 아니라 특정한 날에만 동작하기 때문에 그 날이 되면 컴퓨터를 끄지 말고 퇴근하라고 권고했다.

목차

최초의 바이러스

바이러스에 대한 이야기를 하면 빠질 수 없는 바이러스가 몇 가지 있다. 바로 '(C) brain' 바이러스다. 하드디스크가 일반화되기 전에 생긴 바이러스로 이 바이러스가 하는 일은 딱 한가지다. 플로피 디스크의 라벨을 (C) brain으로 바꾼다. 내 블로그를 자주 방만하시는 구차니님이 다는 댓글을 보면 'MBLee.no.brain'이라는 글이 많은데 이 글을 보면 나는 (C) brain이라는 바이러스가 생각한다. 하는 일도 거의 없는 바이러스이지만 이 바이러스가 세계 최초로 만들어진 바이러스다. 그런데 이런 할일 없는 바이러스들이 꽤 많다. 또 하나 생각나는 바이러스는 플로피 공회전을 시키는 바이러스다. 공회전을 많이 시켜 플로피를 닳게 만드는 것이 목적이로라고 한다.

다음으로 기억나는 바이러스는 한번 감염됐다 죽을 고생을 한 Dark Avenger(어둠의 복수자)라는 바이러스다. 보통 바이러스는 바이러스에 감염된 상태에서 다른 프로그램을 실행하면 실행한 프로그램이 감염되었다. 그러데 이 어둠의 복수자는 dir(디렉토리의 목록을 보면 도스 명령어)만 실행해도 디렉토리에 있는 모든 프로그램이 감염되는 아주 감영도가 높은 바이러스였다.

최고의 V3

도스 시절 최고의 백신을 꼽으라면 나는 주저없이 V3를 꼽는다. 당시 세계적으로 유명한 백신 프로그램은 McAfee였지만 McAfee보다 더 신뢰성있는 프로그램이 V3였다. 또 대부분의 백신 프로그램은 바이러스에 감염되면 감염된 프로그램을 삭제하는 방법으로 치료했지만 V3는 정말 바이러스 코드만 삭제해 주었다. V3로 치료하면 파일 크기가 1024, 2048처럼 2의 승수로 끝난다. 그 이유는 감염되기 전의 파일 크기를 모르기 때문이었다. 따라서 이런 파일을 보고 바이러스 감염 사실을 알아 맞출 수 있었기 때문에 도사 아닌 도사가 된 때도 있다. 아무튼 Dark Avenger는 감염속도가 정말 빠른 바이러스였지만 V3라는 아주 훌륭한 백신덕에 컴퓨터를 포맷하지 않고 문제를 해결한 적이 있다.

이 뒤에 트로이목마에 걸린적이 한번있다. 뉴스 그룹에서 프로그램의 설명을 듣고 내려받아 실행한 파일이다. 바이러스 감염을 항상 주의하기 때문에 인터넷에서 프로그램을 내려받으면 꼭 '바이러스 검사'를 하고, 프로그램 내에 문제가 되는 문자열이 있는지 검사하곤 한다. 이 프로그램도 비슷한 과정을 거쳤다. 그런데 잡을 수 없었던 것은 배치 파일로 만든 트로이 목마였기 때문이다. 즉 이 프로그램은 배치파일을 컴파일한 프로그램이다. 이 프로그램을 실행하면 "Initialize Setup"이라는 작은 Windows 창이 나타난다. 그리고 숨은 도스창이 나타난뒤 모든 하드 디스크를 지운다.

이 프로그램은 두개의 모듈로 구성되어 있다. 하나는 간단한 Windows 창들 뛰우는 부분과 배치파일을 만들어 실행하는 부분. 배치파일에서 시스템의 모든 하드 디스크를 찾고, 하드 디스크의 모든 파일을 deltree 명령을 이용해서 삭제한다. 공식적인 도스 명령을 이용해서 동작하는 프로그램이기 때문에 바이러스 검사에도 걸리지 않고 프로그램 내을 직접 검사해도 트로이목마라는 것을 알 수 없었다. 바이러스류에 걸린 것은 여기가 마지막이다. 이 뒤로는 백신 프로그램을 사용하지 않아도 단 한번도 바이러스에 걸린적은 없다. 인터넷에서 내려받은 파일은 항상 주의하고, 또 실행은 VMWare와 같은 가상머신에서 작업 관리자를 띄운 뒤 실행해 보기 때문이다.

CIH

마지막으로 바이러스에 대한 이야기를 하면 빼 놓을 수 없는 바이러스가 바로 CIH 바이러스다. 보통 다른 바이러스는 소프트웨어적인 파괴만 한다. 따라서 포맷을 각오하면 대부분 바이러스를 잡을 수 있다. 그러나 CIH 바이러스는 단순히 소프트웨어만 파괴하는 것이 아니라 BIOS(Basic Input/Outpus System)까지 파괴한다. BIOS는 쉽게 보면 컴퓨터를 기본적인 부팅 정보를 포함한 기억장치다. 따라서 BIOS가 파괴되면 아예 컴퓨터가 부팅되지 않는다. 따라서 메인보드를 AS 받아야 치료가 가능했다. 이렇다 보니 그 폐해가 보통 심한 것이 아니었다. CIH 바이러스는 항상 동작하는 것이 아니라 특정한 날에만 동작하기 때문에 그 날이 되면 컴퓨터를 끄지 말고 퇴근하라고 권고했다.

BIOS가 파괴되면 메인보드를 AS를 받아야 한다. AS를 받아야 하는 이유는 최소한 플로피로 부팅이라도 할 수 있으면 BIOS를 다시 쓰면된다. 그런데 BIOS가 나가면 플로피로도 부팅 되지 않았다. 따라서 요즘은 문제때문에 상당수의 메인보드 제조업체에서는 BIOS와는 무관하게 플로피로 부팅하거나 BIOS를 플래시할 수 있는 기능을 제공하고 있다. 바이러스에 대해 워낙 주의하기 때문에 CIH 바이러스의 피해는 입지 않았다. 그러나 연구실의 상당수 컴퓨터는 CIH 바이러스에 감염됐다.

일반인이라면 당연히 메인보드를 AS받았겠지만 명색이 전자과 대학원생들이 이런 문제로 AS를 받는 다는 것도 입맛에 맞지 않았다. 그래서 'FlashROM'을 메인보드에서 빼서 롬라이터로 BIOS를 직접 구워넣었다. 다만 인터넷에서 내려받은 BIOS 파일은 직접 구울 수는 없다. 그 이유는 플래시 라이트 프로그램이 분해해서 사용할 수 있도록 프래시 프로그램 영역과 실제 라이팅 영역이 분리되어 있기 때문이다. 그러나 역시 큰 문제는 없었다. 대부분의 파일 구조를 이미 알고 있기 때문이다.

관련 글타래

Tags

(C) brain, BIOS, CIH, Dark Avenger, McAfee, V3, 기획연재, 바이러스, 악성코드