2012년 9월 9일 일요일

자료저장 9


PC-Cilline(PC 실린)
아직 발견되지 않은 신종 바이러스라도 99% 예방할 수 있는 강력한 방역 프로그램.
총무처 선정 행망용 공식 바이러스 방역 프로그램.
V-FINDER(불철주야; 바이러스 방역 카드)
바이러스 방역카드의 롬에는 800가지의 바이러스에 대한 정보가 들어 있으므로 바이
러스에 감염된 파일을 실행시킬 경우 즉각 경고음을 내면서 중지한다. 롬의 바이러스
분석 정보에 입력되지 않은 바이러스도 기존 바이러스와 유사한 변형 바이러스일 경우
에는 "Unknown Virus"로 판정, 경고음을 울리면서 계속 실행할 것인가를 물어온다.
하지만 전혀 새로운 바이러스에 대해서는 방지능력을 상실한다. , 새로운 바이러스
가 발견되었을 경우에는 분석되는 대로 방역카드에 기억시킬 수 있다. 또한 이 방역
카드는 프로그램에 들어갈 다량의 정보를 카드의 롬에 저장하였기 때문에 램상주를 적
게 차지한다. 따라서 다른 램상주 프로그램을 실행시키는 데 전혀 무리를 주지 않는
. 그리고 다른 프로그램에 비해 불과 2.7K의 적은 메모리만을 차지하고 있을 뿐이
.
디스크 락(Disk Lock) : 5세대 시스템(Fifth Generation System)의 프로그램
비루세이프(ViruSafe) : 엑스트리(Xtree)사의 프로그램
실행파일 등에서 바이러스의 흔적을 탐지함으로써 바이러스를 탐지하고 제거
하는 바이러스 탐지 프로그램
서투스(Certus) : 서투스 인터내셔날(Certus International)사의 프로그램
WPHD.COM
WPHD(Write Protect Hard Disk)는 하드디스크에 쓰기 방지 및 포맷 방지를 하
여 주는 유틸리티. 이 프로그램은 실행시킬 때마다 그 수행여부를 ON/OFF
된다. 이 기능은 인터럽트 13H 벡터가 바뀌어지면 수행되지 않는다.
VACCINE : World Wide Data
+- Antidote : 디스크를 모두 스캔하여 현재까지 등록되어 있는 모든 바이러스
| 를 찾아주는 유틸리티.
+- Checkup : 시스템의 상태를 저장하여 다음에 이의 변형 여부를 체크하여 주
는 유틸리티.
TRACER(트레이서) : 대만에서 제작된 백신 프로그램
시스템에 침입하는 바이러스를 막기 위한 바이러스 방어 백신. 바이러스가
시스템에 침투하려고 하면 침입하려는 영역이나 프로그램 파일을 표시하는 경
고를 하여 바이러스의 침입을 어렵게 만든다.
Turbo Anti-Virus(터보 안티 바이러스)
일명 TNT라고도 하며, CARMEL software Engineering의 제품
바이러스 시큐어(Virus Secure) : 윈도우즈용 바이러스 방지 프로그램.
영국의 길드 소프트의 제품
200종 이상의 바이러스 검출.
각종 이상을 진단.
플로피디스크 및 하드디스크의 데이타 보호 기능.
IBM AT급이상의 기종에서 윈도우즈 3.0과 하드디스크가 있어야 사용 가능.
NOVIRUS.EXE
미국의 MATT HILL에 의해 제작된 프로그램
AUTOEXEC.BAT 파일내에 위치시켜 사용 ---> NOVIRUS.DAT 파일 생성(속성;hidden,
Read-only, System)
소프트세이프(SoftSafe)
바이러스 방역기능 뿐만 아니라 자료보안 기능까지 제공하는 프로그램
허락되지 않는 자료 파일의 보기, 복사, 수정 등을 못하게 만든다. 암호를
입력해야만 하드디스크에 접근이 가능하게 만드는 기능도 있다.
5-3 기존 발견된 바이러스 고찰
발견된 것중 비교적 비중있는 바이러스에 대한 고찰이다.
5-3-1 파일 바이러스
1) 아프(Arf) 바이러스 [Arf]
o 동명: 사후강직(Rigor Mortis), 뇌신(뇌신;Thor) 바이러스
(1) 19913월에 미국에서 발견된 바이러스이며, 기생형 및 비상주형 바이러스
이다.
(2) COMMAND.COM 파일의 감염유무를 확인하고 감염되지 않았을 경우에는
COMMAND.COM 파일을 감염시키고 다음과 같은 메세지를 화면에 나타낸다.
"사후강직(Rigor Mortis)!!! 나는 Hi.pas이다. "
(3) COMMAND.COM 파일을 조사한 뒤에 바이러스는 감염시킬 또다른 COM 파일을
찾기 위해 현재의 디렉토리를 조사하며 감염되지 않은 COM 파일을 발견하면
다음과 같은 메세지를 나타내면서 감염시킨다.
" Arf krad krad krad krad krad kr "
(4) SCAN V75 이상으로 검색이 가능하며, 치료는 현재로서는 불가능하다. 따라
SCAN /D 또는 감염된 파일을 삭제하는 경우밖에 없다.
(5) 바이러스에 감연된 파일들은 1000 byte의 파일 크기로 증가되고, 감염된 프
로그램의 마지막 부분에 위치한다.
2) 오스트레일리안(Austreilian) 403 바이러스
(1) 19912월에 오스트레일리아에서 발견된 바이러스이며, 기생형 및 상주형
바이러스이다.
(2) 감염되면 403 byte 증가하며, 디렉토리내의 날짜와 시간은 감염된 날짜와
시간으로 변경된다.
(3) 감염된 프로그램은 정상적으로 실행이 되지 않는다.
(4) 그 자신을 720 byte의 로우 시스템 메모리 상주형으로 메모리에 인스톨하고
인터럽트 21을 잡는다. 바이러스가 메모리에 상주하게되면 프로그램이 실
행될 때마다 현재의 디렉토리에 있는 두개의 프로그램을 바이러스의 복제본
과 바꾸어 놓는다.
3) 자료중지(DataLock) 바이러스 [Data]
o 동명: 자료중지 1.00(DataLock 1.00), V920 바이러스
(1) 199011월에 미국에서 발견된 바이러스이며, 국내에서는 19919월경에
처음 발견되었다.
(2) 상주형 및 기생형 바이러스이며, 프로그램을 실행하기 위해서 로드하는 시
간이 평소보다 오래 걸린다.
(3) 바이러스에 감염되면 920 byte 늘어나며, 디스크 디렉토리에 나타나는 날짜
와 시간은 감염된 날짜와 시간으로 변경된다. 그러나 COM 파일은 감염되더
라도 작성일이 바뀌지 않는다.
(4) MS-DOSMEM.EXE를 실행시키면 기억장소(total memory)의 크기는 변하지
않지만 프로그램이 사용할 수 있는 영역(largest executable program size)
2 KB가 줄어든다.
(5) 파일의 마지막 부분에 감염되며 바이러스의 이름을 알려주는 문자열은 파일
의 끝부분에 존재한다.
" DataLock version 1.00 "
(6) 199110월 이후에는 데이타베이스(dBASE) 프로그램에서 자료파일인 DBF
파일을 사용하고자 한다면 "out of file handles" 에러가 발생하여 사용하
지 못하게 한다.
(7) SCAN V71 이상 또는 Pro-SCAN V2.01 이상으로 검색이 가능하며, 치료는
CLEAN-UP V71 이상으로 가능하다.
(8) 감염된 COMMAND.COM이 우선적으로 감염되며, 23000 byte 이상의 COM 파일과
모든 EXE 파일 및 오버레이(overlay) 파일에 감염된다.
4) 수수께기(Enigma) 바이러스 [Enigma]
o 동명: 크랙커 잭(Cracker Jack) 바이러스
(1) 19912월에 이탈리아에서 발견된 바이러스이며, 기생형 및 상주형 바이러
스이다.
(2) 감염된 프로그램을 실행하면 현재의 디렉토리에 있는 EXE 파일은 감염되어
그 크기는 1755 byte 증가된다.
(3) 감염된 프로그램들은 다음의 메세지를 화면에 나타낸다.
" (C) 1991 by Cracker Jack * Italy **.exe "
" newenigmavir "
(4) SCAN V76 이상으로 검색은 가능하며, 치료는 현재로서는 불가능하다. 그래
SCAN /D 또는 감염된 파일을 삭제하는 수 밖에 없다.
5) 혼혈(Hybrid) 바이러스 [Hybrid]
(1) 19911월에 폴랜드에서 발견된 바이러스이며, 기생형 및 상주형 바이러스
이다.
(2) SCAN V74 이상으로 검색은 가능하며, 치료는 현재로서는 불가능하다. 그래
SCAN /D 또는 감염된 파일을 삭제하는 수 밖에 없다.
(3) 감염된 COM 파일은 1306 byte로 파일 크기가 증가되며, 감염된 프로그램의
끝부분에 위치하여 파일의 시간을 변경하며 파일의 두번째 필드를 62로 변
화시킨다. 하지만 디렉토리만을 보면 파일의 날짜와 시간은 변경되지 않은
것처럼 보인다.
(4) 다음의 메세지는 암호화되어 있기 때문에 감염된 파일에서는 볼 수가 없다.
" (C) Hybrid Soft Specialne podziekowania Deca Za artkuly w Komputerze
11/88 "
보고된 샘플에서는 암호화되어 있지 않은 유일한 메세지는 다음과 같은 복
사된 파일에서도 볼 수 있다.
" Copyright IBM Corp 1981, 1987 Licensed Material - Program property
of IBM "
6) 플라스틱(Plastique) 바이러스 [Plq]
o 동명: 플라스틱 폭탄(Plastic Bomb), 플라스틱 3012(Plastic 3012), 플라스틱
1(Plastic 1) 바이러스
o 변형:
HM2 바이러스 : 19905월에 대만에서 처음 발견되었으며, 바이러스의 초
기 버전으로 복제는 하지 않는다. 하지만 감염된 파일이 실행되면 시스템
의 실행속도가 느려지므로 재부팅하여 사용해야 한다.
플라스틱 코볼(Plastique COBOL) 바이러스 : COM 파일은 3004 byte, EXE
파일은 3004-3019 byte 정도 증가하며, COMMAN.COM 파일은 감염되지 않는
. 또한 이 바이러스의 활동 시기는 11일부터 921일 사이로 점차
적으로 시스템의 속도가 느려지게 된다. 20분정도 지난 후에는 시스템의
원래 속도보다 50%정도 떨어진 속도로 실행이 된다. 30분 후 바이러스는
시스템의 CMOS 구조를 손상시키고 시스템 키보드를 잠가버린다. 그리고
이 바이러스는 922일부터 1231일 사이에는 활동하지 않아 시스템이
느려지거나 CMOS가 망가지는 일은 발생하지 않는다.
플라스틱 4.51(Plastique 4.51) 바이러스 : 19906월에 대만에서 처음
발견되었으며, 암호화 방법이 조금 변형되었으며 그 외의 현상들은 플라스
틱 바이러스와 동일하다.
(1) 19901월에 대만에서 발견된 바이러스이다.
(2) COM 파일은 3012 byte, EXE 파일은 3012-3020 byte 정도 증가한다.
(3) 감염여부는 매년 920일 이후에 점차적으로 시스템의 속도 감소나 스피커
에서 폭탄 터지는 소리의 방출 등으로 알수 있다.
(4) SCAN V66 이상과 Pro-SCAN V2.01 이상 등으로 검색이 가능하며, 치료는 CL-
EAN-UP V72 이상과 Pro-SCAN V2.01 이상으로 가능하다.

댓글 없음:

댓글 쓰기

국정원의 댓글 공작을 지탄합니다.

UPBIT is a South Korean company, and people died of suicide cause of coin investment.

 UPBIT is a South Korean company, and people died of suicide cause of coin. The company helps the people who control the market price manipu...