2. 감염경로
가. 감염된 디스크로 부팅하면 바이러스 프로그램이 메모리에 상주
나. 상주후 INT 13H 번 수행시 감염시킨다.
3. 감염증상
가. 볼륨 레이블이 "(c) Brain"으로 나타남
나. 재부팅 과정에서 속도가 느려짐
다. 단순 작업에도 플로피가 과도하게 작동
라. 일부 DOS 버젼에서 프로그램 파괴
마. 인터럽트 벡터의 변경
4. 감염여부검진
가. Debug 이용
a>또는 c> 에서 debug
-l100 0 0 1
-d FA E9 4A 01 34 12 00 09 ..J.4... .. ....
-- --
-d Welcome to the
Dungeon
(c) 1986 Brain.&
이렇게 해보면 우측 맨위 5번째 HEX값이 34 12 로 나타나면 감염된 것임.
(원래는 MS-DOS로 나타나거나 PCTOOLS등 포멧한 유틸리티명이 나타남)
나. Utility 이용 (PCTOOLS, NORTON, MACE)
View Edit 기능으로 들어가 Boot Sector에서 Debug 에서와 같은 메세지가
나타나면 바이러스에 감염된 것임.
다. 검진 프로그램 이용
- ViruScan, F-Prot, IBM Scan, Pro-Scan
- V2PLUS, V3
5. 복구방법
가. 복구 프로그램 이용
- MDisk, CleanUp, F-Prot, Pro-Scan
- V2plus, V3
나. DOS SYS명령으로 부트 섹터를 재기록
다. 디스크 유틸리티 이용
- 볼륨 라벨 변경
- 불량섹타를 재생성 (3개의 연속된 불량클러스터에 바이러스 그대로 존재)
6. 예방대책
가. 출처 불명의 플로피로 부트하지 말 것
나. 하드 디스크가 있으면 그것으로 부팅
다. 모든 부팅가능 디스크에 write-protect
7. 변종
가. 증상 및 특징
1). 디스크상의 절대위치(Absolute sector # 656-661)에 바이러스가 전염
2). 그곳(전염위치)에 화일이 있거나 없거나 상관없이 전염
3). 볼륨라벨을 (c) Brain으로 바꾸지 않음
4). FAT(File Allocation Table)에 Bad Cluster Marking을 하지 않음
5). Hard Disk FAT의 전 Sector를 16 Sector 씩 Shift 시킴
6). (0 Sector를 16 Sector로, 1 Sectot를 17로)
7). original Brain virus는 플로피 디스크에 만 감염되나 변종은 풩盧디스크
에도 감염되게 변경됨 (Hard Disk로 Booting이 안됨)
8). 9ISKCOPY가 안됨 (DOS 파라메타 변경)
9). DATA DISK의 DATA 가 이유없이 깨짐
10).실제로 Brain 계열에서는 7킬로바이트의 주기억장치를 점유함
11).변형 Brain에 의해서 파괴된 데이터는 복구 되지 않음
- Hard Disk FAT의 전 Sector를 16 Sector 씩 Shift 시킨 변형 Brain일 경우는
디스크 유틸리티를 이용하여 다시 역순으로 16 Sector를 0 Sector로,
17 Sectot를 1로,.... Sector Copy를 하면 됨.
(그러나 끝부분에 있는 16 Sector의 Data는 복구 불가능)
나. 종류
1). Brain-B/Hard Disk Brain/Houston Virus
- 하드 디스크 감염
2). Brain-C
- Brain-B 에서 "(c) Brain" Label 이 삭제됨
3). Clone Virus
- Brain-C에서 original boot copyright label 저장
4). Clone-B
- Clone Virus를 92.5.5 이후에 FAT를 파괴하도록 수정
다. 참고 : Ashar
5-1-5 Dark Avenger 바이러스
1989년 9월, Bulgaria 에서 발견되었다.
1. 특징
가. open 되는 모든 수행 파일(COM, EXE, SYS, OVL 등)을 감염
나. COMMAND.COM 파일도 감염됨
다. 파일 사이즈가 1775 바이트(hex 6efh) 미만은 감염되지 않음
라. 플로피나 하드디스크가 감염가능
마. INT 13h, 40h, 41h를 가로챔
바. 이 바이러스는 Jerusalem 바이러스와 유사성은 없지만 사이즈는 비슷함
사. 감염된 프로그램은 다음 메세지가 포함되어 있음
"The Dark Avenger, copyright 1988, 1989"
"This program was written in the ty of Sofia.
Eddie lives.... Somewhere in Time!"
2. 감염경로
가. 감염된 프로그램이 수행되면 자신을 시스템 메모리 영역에 상주시킴
나. 이후 Open되는 수행 파일을 감염시킴
3. 감염증상
가. 일반적인 증상
= 1775 바이트 이상인 모든 실행 파일의 사이즈가 증가함
= 디스크 입출력 속도가 현저하게 저하
= 사용가능 시스템 메모리 옆₂ 감소
= 감염된 파일은 사이즈는 증가하나 파일의 날짜/시간 및 속성은 변경 안됨
- COM 파일 감염시 앞 3바이트를 바이러스 위치로 분기하도록 JMP 명령으로
대치하고 뒷부분에 1800 바이트 바이러스 코드를 첨가
- EXE 파일 감염시 header를 변경하고 파일을 16의 배수로 만든 다음
뒷부분에 바이러스를 첨가 (파일 사이즈가 1800 ?? 1815 바이트 증가)
나. 활동후 증상
= 디스크의 boot sector에 계수기를 가짐
= 16회 감염시마다 디스크의 boot sector를 random하게 한 sector에 복사함
- 파굘 sector는 프로그램이건 데이타 파일이건 복구 불가능
- 복사된 Sector는 위의 메세지가 포함되어 있음
= 시스템이 자주 다운 됨
= 하드 디스크로 부팅이 안되는 경우가 있음
4. 감염여부검진
가. 검진 프로그램 이용
- ViruScan V36+, F-Prot, IBM Scan, Pro-Scan
- V3
나. 디스크 유틸리티를 이용하여 위에 있는 메세지를 확인
5. 복구방법
가. 전원을 내리고 write-protected 디스켓으로 부팅
나. 주의해서 복구 프로그램을 이용하여 바이러스를 제거
- M-DAV, CleanUp, Pro-Scan 1.4+, F-Prot
- V3
다. 제거 완료후 다시 검진 프로그램으로 확인
6. 예방대책
가. 출처불명의 소스로 부터의 프로그램은 실행시키지 말 것
나. 실행가능 코드를 내포한 디스크는 교환하지 말 것
다. 메모리의 배치와 프로그램 파일 크기를 감시할 것
5-1-6 Jerusalem 바이러스
파생된 바이러스로는, Jerusalem-B Virus , Jerusalem-C Virus , Jerusalem-D Virus
Jerusalem-E Virus , century virus , century-B virus
13일의 금요일 Virus , black hall , Hebrew Virus ,comvirus
1987.10, Jerusalem의 Hebrew 대학에서 발견되었다.
1. 특징
가. COM 또는 EXE 프로그램을 감염
나. 감염된 프로그램은 1813 바이트(.COM), 1808 바이트(.EXE) 사이즈를 증가시킴
다. 감염된 프로그램은 변형되어 메모리에 상주
라. 플로피나 하드디스크가 감염가능
마. INT 21h 번을 가로챔
바. INT 8h을 가로채서 감염된 프로그램 수행 이후 30 분마다 factor 10에 의해
시스템의 속도가 감소함
사. 메모리 상주하며 warm-reboot(CTL-ALT-DEL)후에도 계속 상주 가능
아. .EXE 파일일 경우는 바이러스 버그로 인해 계속해서 감염이 됨
자. Suriv 3.00 바이러스를 기초로 만들어진 것으로 생각됨
2. 감염경로
가. 감염된 EXE 및 COM 파일 수행시 메모리 상주
나. 이후 수행시키는 파일마다 파일크기를 증가시키면서 감염.
3. 감염증상
가. 일반적인 증상
- 시스템의 일반적인 속도저하
- 사용가능 시스템 메모리 용량이 감소
- COM 파일들은 한번만 감염
: 앞부분에 감염되며 사이즈가 1808 증가
- EXE 파일들은 계속해서 감염
: Header 파일을 변경하고 뒷부분에 감염되며 사이즈가 1813 증가
나. 13일의 금요일 증상
- INT 21h의 파일 삭제 기능을 이용하여 수행되는 프로그램을 삭제
- 일부 버젼은 하드디스크상의 모든 데이터 파괴
4. 감염여부검진
가. 검진 프로그램 이용
- ViruScan, F-Prot, IBM Scan, Pro-Scan, VirexPC 1.1+, AVTK 3.5+
- V2plus, V3
나. Disk Utility 및 Debug 이용
- 파일내 "sUMsDos" 문자열이 3번 이상 나타나면 감염
5. 복구방법
가. 삭제된 파일 복구
- Disk Utility를 이용하여 복구 (파일 UNDELETE 기능 이용)
나. 감염된 파일 복구
- 감염된 실행가능 파일은 감염되지 않은 프로그램으로 교체
- V2PLUS, V3 프로그램으로 복구
- 복구 프로그램 이용
Scan/D/A, M-JRUSLM, Saturday, CleanUp, UnVirus, F-Prot,
VirexPC 1.1+, Pro-Scan 1.4+
6. 예방대책
가. 출처불명의 소스로 부터의 프로그램은 실행시키지 말 것
나. 실행가능 코드를 내포한 디스크는 교환하지 말 것
다. 메모리의 배치와 프로그램 파일 크기를 감시할 것
7. 변종
가. 증상 및 특징
= 어떤 변종은 화면이 스크롤되고 화면의 좌하단에 까만 Black Box가 생김
= Jerusalem-B 경우
- .EXE 파일을 재 감염시키지 않음
- .COM 및 .EXE 파일외에 .SYS 및 .OVL 파일도 감염시킴
- Jerusalem B 바이러스의 모든 변종이 시스템 속도를 느리게 하진 아님
나. 종류
1). A-204
. ID 스트링이 "sUMsDos"에서 "*A-204*"로 변경됨
. 몇 개의 명령문이 검진을 피하기 위해 변경됨
. 30분 동안 메모리 상주후 시스템 속도를 느리게 함
. 화면에 black box가 나타남
. 출처 : Delft, The Netherlands
2). Anarkia
. ID 스트링이 "sUMsDos"에서 "ANARKIA"로 변경됨
. 시스템 느리게 하는 정도를 더 크게 했지만 정상 동작 않음
. 화면에 black box가 나타나지 않음
. 활동시기를 13일의 화요일로 변경
. 출처 : Spain
3). Anarkia-B
. 활동시기가 10월 12일인 Anarkia 바이러스
4). Jerusalem-C
. 시스템 속도를 느리게 하지 않는 Jerusalem 바이러스
5). Jerusalem-D
. 1990년 이후 13일의 금요일에 FAT를 파괴하는 Jerusalem-C
6). Jerusalem-E
. 1992년에 활동하는 Jerusalem-D
7). Mendoza
. Jerusalem-B 바이러스 근거
. .EXE 파일을 계속해서 감염시키지 않음
. 활동 시기는 매년 7월 ?? 12월 (수행 프로그램의 10%만 삭제)
8). Puerto
. Mendosa 바이러스와 유사
. .EXE 파일을 계속해서 감염시킴
. ID 스트링 "sUMsDos"이 포함됨
9). Spanish JB
. Jerusalem 바이러스와 유사
. .COM 파일은 1808 바이트 사이즈가 증가
. .EXE 파일은 1808 혹은 1813 바이트 사이즈가 증가
(재 감염시 항상 1808 바이트 첨 )
. ID 스트링 "sUMsDos"이 포함되어 있지 않음
. Black Box가 생기지 않음
. 출처 : Spain
10).Jerusalem DC
. Jerusalem B 바이러스와 유사
. ID 스트링 "sUMsDos"이 00h 문자로 대치됨
. 30분 동안 메모리 상주후 시스템 속도를 30% 느리게 함
. Black Box가 화면의 좌측 하단에 나타남
. .EXE 파일을 계속해서 감염시킴
. 활동시기가 없이 감염되면 즉시 수행 파일을 삭제함
. 출처 : Washington, DC, USA
다. 참고 : Payday, Suriv 3.00, Frere Jacques, Westwood
5-1-7 LBC 바이러스
1989년 발견되었다.
대부분 국산 바이러스로 보고있다.
1. 특징
가. 0 섹터의 내용이 11 섹터(트랙:0, 면:1, 섹타:3)에 복사되어 있음.
나. Lbc Virus 자신이 0 섹터(트랙:0, 면:0, 섹타:1)에 들어 있음
다. Map으로 조사해 보면 bad cluster 가 나타나지 않음
라. 메모리 크기를 2 K 감소
마. 원래 플로피 디스크만 감염되게 제작되었으나 저작자의 실수로
하드 디스크의 Master Boot record(Partition Table)를 파괴함
2. 감염경로
가. 감염된 디스크로 부팅하면 바이러스 프로그램이 메모리에 상주
나. 상주후 INT 13h 수행시 플로피 디스크를 감염시킴
(시스템 디스켓이 아니라도 감염됨)
3. 감염증상
가. C: 드라이브로 부팅이 안됨
나. A: 드라이브로 부팅을 해도 C: 드라이브가 동작하지 않음
(Invalid Drive Spec 메세지가 출력
다. 플로피 디스크에서 이상한 소리가 좀 나거나 갑자기 read가 안되는
경우가 발생할 수 있음
4. 감염여부검진
가. Debug 이용
댓글 없음:
댓글 쓰기
국정원의 댓글 공작을 지탄합니다.