7) 파괴자(Striker) #1 바이러스 [STR]
(1) 1991년 3월 미국에서 발견된 바이러스이며, 기생형 및 비상주형 바이러스이다.
(2) 1개의 COM 프로그램을 감염시키고, 감염된 COM 프로그램들은 첫부분 13
byte가 변형되며, 바이러스는 프로그램의 끝부분에 기생한다.
(3) 감염된 파일은 길이가 461 byte 증가되지만, 파일의 날짜와 시간은 변경되지 않는다.
(4) 프로그램의 4번째에서 13번째 byte 사이에 "Striker #1"이라는 문자열이 나타남으로써
바이러스에 감염된 것을 알 수 있다.
(5) SCAN V76 이상으로 검색이 가능하며, 치료는 CLEAN-UP V76 이상으로 가능하다.
8) 대만(Taiwan) 4 바이러스 [T4]
o 동명: 2576 바이러스
(1) 1990년 10월에 대만에서 발견된 파일 바이러스이며, 기생형 및 상주형 바이
러스이다.
(2) 바이러스에 감염된 시스템은 속도가 현저히 떨어지며, 감염된 파일의 길이
는 COM 파일의 경우 2576 byte, EXE 파일의 경우는 2576-2590 byte 정도 증
가한다.
(3) COM 파일의 첫부분과 EXE 파일의 끝부분에 존재하며, 감염된 프로그램에서
는 다음과 같은 메세지를 볼 수 있다.
" To Whom see this : Shit! As you can see this document, you may
know what this pr ram is. But I must tell you:
DO NOT TRY to WRITE ANY ANTI-PROGRAM to THIS VIRUS.
This a test-program. the real gangerous code will implement on
Vovember. I use MASM to generate variuos virus easily iand you must
use DEBUG against my virus hardly, this is foolish. Save your time
until next month.
OK? Your Sincerely. ABT Group., Oct 13th, 1989 at FCU. "
(4) 모든 감염된 프로그램에서 발견될 수 있는 또다른 메세지는 다음과 같다.
" ACAD.EXECOMMAND.COM "
(5) SCAN V67 이상과 Pro-SCAN V2.01 이상, NAV, IBM SCAN 2.00로 검색이 가능
하며, 치료는 CLEAN-UP V67 이상과 Pro-SCAN V2.01 이상으로 가능하다.
9) 고래(Whale) 바이러스 [Whale]
o 동명: 모어(모어;Mother Fish), 도둑(thief), Z THE Whale 바이러스
(1) 1990년 8월에 독일과 헝가리에서 발견된 바이러스이며, 기생형 및 상주형
바이러스이다.
(2) 증상으로는 시스템의 실행 속도가 느려지며, 화면이 자주 깜박인다. 또한
화면 지체현상과 파일 할당 에러 및 모의 시스템 재부팅(simulated system
reboot)된다.
(3) 이 바이러스는 돌연변이를 만들어서 파일을 감염시키기 때문에 증가되어지
는 파일의 길이는 달라질 수 있다. 그렇지만 보통 감염되면 프로그램 길이
가 9216 byte로 증가한다.
(4) SCAN V67 이상과 Pro-SCAN V2.01 이상, NAV, IBM SCAN 2.00로 검색이 가능
하며, 치료는 CLEAN-UP V67 이상과 Pro-SCAN V2.01 이상으로 가능하다.
(5) 감염된 시스템상의 메모리에는 다음의 메세지가 나타난다.
" Z THE WHALE "
10) 아주사(AZUSA) 바이러스 [Azusa]
o 동명: 홍콩(Hong Kong) 바이러스
(1) 상주형 바이러스이다.
(2) 전체 시스템 메모리와 남는 메모리를 감소시킨다.
(3) 이 바이러스는 시스템이 몇번 부팅이 되어졌는지 추적하고 32번 이상 부팅
되면 시스템의 COM1과 LPT1 포트를 쓸모없게 만들고 다시 계수기를 맞춘다.
하지만 다시 부팅하면 다시 사용할 수 있다.
(4) 검색은 SCAN V75 이상으로 가능하며, 치료는 CLEAN V75 이상으로 가능하다.
11) 디어사이드(DEICIDE) 바이러스
o 동명: Glenn 바이러스
(1) 겹쳐쓰기형 및 비상주형 바이러스이다.
(2) COM 파일에 겹쳐쓰며, FAT를 손상시킨다. 따라서 시스템이 느려진다.
(3) 파일의 길이를 666 byte 이하일 때에는 666 byte로 기록된다.
(4) 파일을 감염시킨 다음에는 "File corruption error"(파일이 손상된 에러)
라는 메세지를 보여준다.
(5) 바이러스가 현재의 디렉토리에서 감염되지 않은 COM 파일을 찾지 못하면 다
음과 같은 메세지를 보내고 하드디스크의 처음 80 섹터를 겹쳐쓴다.
" DEICIDE !
Glenn (666) : BYE BYE HARDDISK !
Next time be careful with illegal stuff."
(6) SCAN V67 이상과 Pro-SCAN V2.01 이상, NAV, IBM SCAN 2.00로 검색이 가능
하며, 치료는 CLEAN-UP V67 이상과 Pro-SCAN V2.01 이상으로 가능하다.
12) 유령(Phantom) 바이러스 [Phant]
o 동명: 환상, 환영(환영), 환각 바이러스
(1) 기생형 및 상주형 바이러스이다.
(2) 이 바이러스는 메모리에 상주한 다음 원래의 파일의 길이를 2KB보다 크면,
실행되거나 열린 COM 프로그램들을 감염시킨다. 감염된 프로그램들은 크기
가 2274 byte 증가하며 프로그램의 끝부분에 바이러스가 위치한다.
(3) " Hi ROOKIE !
I'm a THESEASE! I live in YOUR computer - sorry...
Thank to Brains in the Computer Science! "
위와 같은 메세지는 다음에 있는 메세지와 함께 바이러스 코드에 있으며,
암호화되어 있으므로 프로그램에서는 볼 수 없다.
" The PHANTOM Was HERE - SORRY "
" (C) PHANTOM - This virus was designed in the HUNGAR-IAN
VIRUS DEVELOPING LABO-RATORY. (H.V.D.L.) v 1.0 "
(4) SCAN V75 이상으로 검색이 가능하나, 현재로써는 치료가 불가하며 감염된
파일을 삭제하는 것밖에 없다.
13) 문둥이(LEPROSY) 바이러스 [Lep]
o 동명: 문둥이 1.00(Leprosy 1.00), 뉴스속보(News Flash), 나병 바이러스
o 변형 :
① 문둥이-B(Leprosy-B) 바이러스 [LepB]
(1) 1990년 8월 미국 캘리포니아주의 여러 BBS에 올려진 486COMP.ZIP이라는 프
로그램에서 처음 발견되었다. 하지만 "June of 1990"이라는 문자열이 존재
하는 것으로 보아 1990년 6월에 제작된 것이 아닌가 추측된다. 국내에서는
91년 7월 말경 KETEL의 고전게임 동호회 자료실에서 래리 5(Larry Ⅴ) 선전
프로그램에 포함된 INSTALL.COM에서 처음으로 문둥이 바이러스의 존재를 발
견했다.
(2) 비상주형, 겹쳐쓰기형 바이러스이다.
(3) 프로그램을 실행시키기 위해서 로드하면 평소보다 시간이 오래 걸린다.
(4) 666 Byte 이하의 프로그램의 길이를 가진 프로그램은 길이가 666 Byte로 바
뀐다. 666 Byte 이상의 파일에 감염될 때는 파일 크기에 아무런 변화를 초
래하지 않는다.
(5) 확장자가 EXE이나 COM인 경우에만 감염시키기 때문에 다른 파일 바이러스처
럼 오브레이 파일(Overlay file)을 감염시키지는 못한다. 또한 파일의 속
성(attribute)이 읽기 전용(read only)인 파일은 감염시키지 못한다.
(6) 감염된 프로그램을 실행시키면 다음의 두가지 내용중 한가지가 출력되고 실
행이 중단된다.
" Program too big to fit in memory "(프로그램이 너무 커서 기억장소에
읽어 들어들일 수 없습니다)
또는
"NEWS FLASH! Your system has been infected with the incurable decay
of LEPROSY 1.00, a virus invented by PCM2 in june of 1990. Good luck!"
(뉴스속보! 당신의 시스템은 1990년 6월에 PCM2가 만든 문둥이 1.00이라는
치료 불가능한 바이러스에 감염되었습니다. 행운을 빕니다!) 또한 이 메세
지는 EXE과 COM 파일이 일곱번 감염될 때마다 출력된다.
(7) 백신 V3V52 이상으로 검진이 가능하며, 감염된 파일은 현재로서는 거의 치
료가 불가능하다. 따라서 이 바이러스 감염된 프로그램이 있다면 깨끗이
지워버리는 방법 이외에는 별 도리가 없다. SCAN에서는 /D옵션을 사용하면
진단을 하면서 감염된 파일을 지울 수 있으며, 백신 Ⅲ에서는 진단과 동시
에 사용자에게 감염된 파일을 지울 것인지를 묻는다.
(8) COMMAND.COM 파일이 바이러스에 의해 파괴되었기 때문에 "Bad or missing
Command Interpreter"라는 메세지를 잇달아 출력한다.
14) 양키두들(Yankee Doodle) 바이러스 [Doodle]
o 동명: 5시(Five O'clock), TP44VIR 바이러스
(1) 1989년 9월 30일에 오스트리아(Austria)의 비엔나(Vienna)에서 처음 발견되
었으며, '아웃런'이라는 게임 프로그램에 감염되어 미국으로 건너갔다. 그
이후 많은 변형들이 발견되었다. 국내에서는 1991년 7월에 그 존재가 확인
되었다.
(2) 상주형, 기생형 바이러스이다.
(3) 감염된 파일은 2899 byte 늘어난다. 또한 변형들이 많으므로 늘어나는 길
이는 일정치 않다.
(4) 감염되면 오후 5시에 스피커를 통해 'Yankee Doodle'이라는 곡을 연주한다.
(5) 만약 시스템이 핑퐁 바이러스에 감염되어 있다면, 이 핑퐁 바이러스를 변형
시켜서 100번 정도 감염 후 스스로 파괴되게 만든다.
(6) 검색은 V3V52 또는 SCAN V42 이상으로 가능하며, 치료는 V3V52나 CLEAN-UP
V64 이상으로 가능하다.
15) 405 바이러스 [405]
(1) 1987년 오스트리아(Austria)와 독일(Germany)에서 발견된 파일 바이러스이
다.
(2) 비상주형, 겹쳐쓰기형 바이러스이다.
(3) 현재 디렉토리에 위치하는 COM 파일들만 감염시키며, 405 byte 보다 작은
COM 파일은 감염후 405 byte가 된다. 하지만 COMMAND.COM 파일은 감염되어
도 변함이 없다.
(4) 이 바이러스는 이미 감염되었는 지 검사하지 않기 때문에 계속 감염할 수
있다.
16) 512 바이러스 [512]
o 동명: 짐승의 숫자(The Number of the Beast), 666, 512-A, 은폐형(Stealth)
바이러스
o 변형:
① 512-B 바이러스
② 512-C 바이러스
③ 512-D 바이러스
④ 512-E 바이러스
⑤ 512-F 바이러스
(1) 1989년 11월에 불가리아에서 처음 발견되었으며, 국내에서는 1991년 8월에
512-E와 512-F 바이러스의 존재가 확인되었다.
(2) 상주형 및 기생형 바이러스이다.
(3) 요한 묵시록에서 악마를 나타내는 데 사용하는 [666]이라는 숫자가 바이러
스의 끝부분에 존재하기 때문에 666 바이러스라고도 한다.
(4) 512 - 65023 byte 이상의 길이를 가지는 COM 파일에만 감염이 되는데, 길이
를 512 byte 증가시킨다. 그러나 이 바이러스가 기억장소에 상주하고 있을
때는 파일의 길이가 증가되지 않은 것처럼 보이게 만든다.
(5) 검색 및 치료는 V3V74 이상의 버전으로 가능하며, CLEAN-UP으로는 치료할
수 었다.
17) 1210 바이러스 [1210]
o 동명: Prudents 바이러스
(1) 1989년 12월에 스페인의 바르셀로나에서 처음으로 발견되었다.
(2) 기생형 및 상주형 바이러스이다.
(3) 실행 파일의 길이를 1210 byte 증가시킨다.
(4) 5월 1일에서 4일 사이에 파일이 정상적으로 저장되지 않게 만든다.
(5) SCAN V61 이상으로 검진이 가능하다. 복구는 되지 않으며 현재로서는 삭제
하는 방법밖에 없다.
18) 1260 바이러스 [1260]
(1) 1990년 1월에 미국의 미네소타주에서 'COMAIDS.ZIP'내에서 처음 발견된 바
이러스이며, 기생형 및 비상주형 바이러스이다.
(2) COM 파일의 길이를 1260 byte 증가시킨다. 하지만 COMMAND.COM 파일은 변
함이 없다.
(3) 근거리 통신망(LAN)에서도 쉽게 전파될 수 있다.
(4) 8번을 주기로 시스템을 부팅시킨다.
(5) SCAN V57 이상으로 검진 및 치료가 가능하다.
19) 1392 바이러스 [1392]
o 동명: Ameoba 바이러스
(1) 1990년 3월에 인도네시아(Indonesia)에서 발견된 바이러스이며, 기생형 및
상주형 바이러스이다.
(2) 파일의 길이를 1932 byte 증가시킨다.
(3) 파일의 날짜가 감염된 때로 바뀐다.
(4) 감염되면 다음과 같은 말이 나타난다.
" SMA KHETAPUNK - Nouvel Band A.M.O.E.B.A. "
(5) SCAN V61 이상으로 검진이 가능하다. 복구는 되지 않으며 현재로서는 삭제
하는 방법밖에 없다.
댓글 없음:
댓글 쓰기
국정원의 댓글 공작을 지탄합니다.