7번째 시간입니다.
유명 컴퓨터 바이러스의 분석을 하겠습니다.
9회까지 바이러스에 대한 모든것은 끝나고 10회부터
유닉스&인터넷 강좌/해킹으로 들어갑니다.
5-1 기존 바이러스 분석
기존 몇몇 바이러스의 찾기와 분석이다.
5-1-1 크리스 마스 바이러스
증상은 크리스마스에 일정시간뒤 고요한밤 거룩한 밤을 연주한다.
0270 58C3 01 00 00 00 00 20-4D 65 72 72 79 20 43 68 X껦.... Merry Ch
0280 7269 73 74 6D 61 73 20-61 6E 64 20 68 61 70 70 ristmas and happ
0290 7920 6E 65 77 20 79 65-61 72 20 21 20 20 57 72 y new year ! Wr
02A0 6974 74 65 6E 20 66 72-6F 6D 20 54 61 6D 73 75 itten from Tamsu
02B0 6920 4F 78 66 6F 72 64-20 63 6F 6C 6C 65 67 65 i Oxford college
02C0 2E20 20 24 10 03 23 00-70 03 0F 00 10 03 19 00 . $ 606 부터
감염 파일이름이 있다.
단, 파일 길이(경로 포함)가 24자 이상은 감염되지 않는다.
5-1-2 원숭이 바이러스 (Monkey Virus) 분석내용.
1. 부트 섹터에 감염된 모습
0100 EB 1E 90 49 42 4D 20 50-4E 43 49 00 02 01 01 00 ...IBM PNCI.....
0110 02 E0 00 40 0B F0 09 00-12 00 02 00 00 00 00 00 ...@............
0120 FA 2B DB 8E DB 8E D3 BC-00 7C EA 2F 00 C0 07 CD .+.......|./....
0130 12 BE 4C 00 56 2E 80 3E-F2 00 02 74 0E E8 C5 00 ..L.V..>...t....
0140 BF FC 01 B9 02 00 FC F3-A5 EB 03 E8 BE 00 5E C7 ..............^.
0150 04 7D 00 89 44 02 0E 1F-E8 30 01 06 B8 62 00 50 .}..D....0...b.P
0160 FB CB 8E C1 8B DC 51 53-BA 80 00 E8 59 01 E8 AD ......QS....Y...
0170 00 B1 0E BA 00 01 E8 82-00 E8 36 01 CB 1E 56 57 ..........6...VW
0180 50 51 52 E8 41 01 80 FC-02 75 0E 52 2B C0 CD 1A PQR.A....u.R+...
0190 80 FA 40 5A 73 03 E8 85-00 5A 59 58 5F 52 51 50 ..@Zs....ZYX_RQP
01A0 83 F9 03 73 3A 3A 34 75-36 80 FC 02 74 0E 80 FC ...s::4u6...t...
01B0 03 75 2C 80 FA 80 72 27-2A E4 EB 23 E8 3F 00 72 .u,...r'*..#.?.r
01C0 21 E8 DE 00 74 08 E8 E1-00 74 03 F8 EB 14 E8 04 !...t....t......
01D0 01 8A 74 01 58 E8 26 00-E8 D7 00 59 5A EB 06 E8 ..t.X.&....YZ...
01E0 1C 00 1F 1F 1F 5E 1F CA-02 00 00 01 01 00 00 00 .....^..........
01F0 00 80 01 00 05 09 0B 03-05 0E 0E B8 01 02 9C 2E ................
0200 FF 1E FC 01 C3 48 BF 14-04 4F 89 05 B1 06 D3 E0 .....H...O......
0210 04 20 8E C0 C3 8A 34 B8-01 03 E8 E1 FF C3 2B C9 . ....4.......+.
0220 41 51 8A 34 E8 D4 FF 72-60 E8 76 00 74 5B E8 79 AQ.4...r`.v.t[.y
0230 00 75 21 26 83 BF FA 01-00 74 4E 26 C7 87 FA 01 .u!&.....tN&....
0240 00 00 B1 01 E8 CE FF 72-40 41 8A 74 02 E8 AB FF .......r@A.t....
0250 72 37 58 51 E8 7E 00 E8-58 00 46 E8 B7 FF 4E 72 r7XQ.~..X.F...Nr
0260 28 E8 4E 00 51 E8 23 00-59 52 8A 54 03 26 89 97 (.N.Q.#.YR.T.&..
0270 74 00 5A 26 88 8F 72 00-26 C7 87 FE 01 55 AA 59 t.Z&..r.&....U.Y
0280 51 26 88 8F F2 00 E8 8C-FF 58 C3 56 8B FB BE 20 Q&.......X.V...
0290 00 03 FE B9 DC 01 F3 A4-8B FB 2B F6 B1 03 F3 A4 ..........+.....
02A0 5E C3 26 81 BF FA 01 19-92 C3 26 81 BF 19 01 50 ^.&.......&....P
02B0 61 C3 57 51 50 8B FB B9-00 02 FC 26 8A 05 34 2E a.WQP......&..4.
02C0 AA E2 F8 58 59 5F C3 0E-1F BE EA 00 80 FA 80 72 ...XY_.........r
02D0 03 BE EE 00 C3 57 56 26-8A 47 14 B9 04 00 8B F1 .....WV&.G......
02E0 4E 38 84 F3 00 74 06 E2-F5 B1 03 EB 04 8A 8C F7 N8...t..........
02F0 00 5E 5F C3 5D 7F 7E 7B-75 89 19 92 00 00 55 AA .^_.].~{u.....U.
2. 분석결과.
원숭이 바이러스는 외국산 부트 바이러스로써, int 13h, int 1ah를 사용하며,
이중 int 13h를 가로채어 a01f:01fch 를 가리키게 변경을 하고 원래의 int 13h
의 오프셑번지는 01fdh에 저장을 해 놓는다.
자신의 감염여부를 확인한 후, 최초의 감염이면 맨먼저 자신이 들어갈수 있는
메모리를 1KB 확보를 한 후, 0 head 0 cylinder 1 sector (플로피인경우 부트섹
터, 하드인경우 마스터 부트 섹터) 부분을 0003:7c00번지로 읽어들여 "2E"값과
각각 XOR(eXclusive OR)시켜 0 head 0 cylinder 3 sector (둘다 첫번째 FAT영
역)
에 옮긴후, 자신은 0 head 0 cylinder 1 sector 부분에 복사를 한다. 그 다음
1 head 0 cylinder(랜덤처리 되기 때문에 바뀔수가 있다) 14 sector 부분을
0003:7c00으로 옮겨 놓은 후, 디스크에다 어떤작업을 할 때, 메모리에 이미 존
재 하는 엉뚱한 내용을 읽거나 쓴다.
또한, 원래 0 head 0 cylibder 1 sector 에 있던 내용이 첫번째 FAT영역에 겹
쳐 써지므로 중요한 자료들을 날리게 된다.
(FAT영역은 두개가 있으므로 잘 하면 복구가 가능하기도 하다)
치료방법은 감염에 대한 역순으로 진행을 하면 되는데,,,
이미, 엉뚱한 값들이 디스크에 써지지 않았다고 가정을 하면...
먼저, 0 head 0 cylinder 3 sector 에 있는 암호화된 섹터를 풀어서 원래의
자리고 옮기고, 두번째 FAT영역을 읽어 거기에 해당하는 섹터를 써주면 된다.
5-1-3 4월 24일 (April 24th) 바이러스
4월 24일 바이러스는 한국산 파일 바이러스이다. 1994년 4월달에 발견되었다. 이
바이러스는 예루살렘 바이러스의 변형이다.
COMMAND.COM,SCAN.EXE,CLEAN.EXE,V3.COM,V3RES.EXE,VSHIELD
.COM 을 제외한 모든 COM,EXE 파일에 감염된다.
증상
4월 24일날 파일을 실행하면 그 파일을 실행시키고 끝난후에 사용중인 디스크를
포맷한다. 그리고 하드를 포맷하려고 했는것 같으나 하드는 포맷시키지 못한다.
7월 23일 원래 프로그램을 실행 시킨후 지워버린다.
이날이 아니라도 램 상주 30분 후에 화면의 일부를 올리고 컴퓨터의 속도를 떨어
뜨린다.
실행할때만 감염되며 은폐기법이나 암호화는 사용하지 않는다.
바이러스 내부의 암호화 된 부분을 풀어보면 다음과 같은말을 볼 수 있다.
60A07D 00 00 B9 41 2A 7B-43 4F 4D 4D 41 4E 44 2E ......*{COMMAND.
70434F 4D 53 43 41 4E 2E-45 58 45 43 4C 45 41 4E COMSCAN.EXECLEAN
802E45 58 45 56 33 2E 43-4F 4D 56 33 52 45 53 2E .EXEV3.COMV3RES.
904558 45 56 53 48 49 45-4C 44 2E 43 4F 4D 00 00 EXEVSHIELD.COM..
COM 은 1587 증가하며 EXE 은 16의 배수가 된후 증가한다.
일부의 컴퓨터에서 램상주시 정지할 수 있다.
SCAN 으로 진단이 되는데 예루살렘 변형이라고 나온다.
5-1-4 Brain 바이러스
1986.6월,파키스탄의 Lahore,두 형제(배시트와 암자드 알비)가 개발하였다.
부트 섹터 감염자이다.
1. 특징
가. Original 부트 섹터를 교체
나. Original 부트 섹터를 다른 장소로 이동 (불량 클러스터 앞부분)
다. 바이러스 잔류자를 포함한 7개의 섹터가 변경
라. 바이러스 보호를 위해 변경된 3 클러스터를 사용불가로 표시
(연속된 할당되지 않은 3클러스트)
마. 플로피 디스크의 뵈첼동껦감염
바. 메모리 크기를 7 K 감소
사. 하드 디스크는 감염 시키지 않음
아. 감염된 디스크의 sector 0에 "(c) Brain" 스트링이 있음
자. 시스템이 감염된후 어떤 프로그램이 Boot Sector를 읽으면 감염된
boot sector가 아닌 original boot sector를 읽도록 속임
2. 감염경로
가. 감염된 디스크로 부팅하면 바이러스 프로그램이 메모리에 상주
나. 상주후 INT 13H 번 수행시 감염시킨다.
3. 감염증상
가. 볼륨 레이블이 "(c) Brain"으로 나타남
나. 재부팅 과정에서 속도가 느려짐
다. 단순 작업에도 플로피가 과도하게 작동
라. 일부 DOS 버젼에서 프로그램 파괴
마. 인터럽트 벡터의 변경
4. 감염여부검진
가. Debug 이용
a>또는 c> 에서 debug
-l100 0 0 1
-d
-- --
-d
Dungeon
(c) 1986 Brain.&
이렇게 해보면 우측 맨위 5번째 HEX값이 34 12 로 나타나면 감염된 것임.
(원래는 MS-DOS로 나타나거나 PCTOOLS등 포멧한 유틸리티명이 나타남)
나. Utility 이용 (PCTOOLS, NORTON, MACE)
View Edit 기능으로 들어가 Boot Sector에서 Debug 에서와 같은 메세지가
나타나면 바이러스에 감염된 것임.
다. 검진 프로그램 이용
- ViruScan, F-Prot, IBM Scan, Pro-Scan
- V2PLUS, V3
5. 복구방법
가. 복구 프로그램 이용
- MDisk, CleanUp, F-Prot, Pro-Scan
- V2plus, V3
나. DOS SYS명령으로 부트 섹터를 재기록
다. 디스크 유틸리티 이용
- 볼륨 라벨 변경
- 불량섹타를 재생성 (3개의 연속된 불량클러스터에 바이러스 그대로 존재)
6. 예방대책
가. 출처 불명의 플로피로 부트하지 말 것
나. 하드 디스크가 있으면 그것으로 부팅
다. 모든 부팅가능 디스크에 write-protect
7. 변종
가. 증상 및 특징
1). 디스크상의 절대위치(Absolute sector # 656-661)에 바이러스가 전염
2). 그곳(전염위치)에 화일이 있거나 없거나 상관없이 전염
3). 볼륨라벨을 (c) Brain으로 바꾸지 않음
4). FAT(File Allocation Table)에 Bad Cluster Marking을 하지 않음
5). Hard Disk FAT의 전 Sector를 16 Sector 씩 Shift 시킴
6). (0 Sector를 16 Sector로, 1 Sectot를 17로)
7). original Brain virus는 플로피 디스크에 만 감염되나 변종은 풩盧디스크
에도 감염되게 변경됨 (Hard Disk로 Booting이 안됨)
8). 9ISKCOPY가 안됨 (DOS 파라메타 변경)
9). DATA DISK의 DATA 가 이유없이 깨짐
10).실제로 Brain 계열에서는 7킬로바이트의 주기억장치를 점유함
11).변형 Brain에 의해서 파괴된 데이터는 복구 되지 않음
- Hard Disk FAT의 전 Sector를 16 Sector 씩 Shift 시킨 변형 Brain일 경우는
디스크 유틸리티를 이용하여 다시 역순으로 16 Sector를 0 Sector로,
17 Sectot를 1로,.... Sector Copy를 하면 됨.
(그러나 끝부분에 있는 16 Sector의 Data는 복구 불가능)
나. 종류
1). Brain-B/Hard Disk Brain/Houston Virus
- 하드 디스크 감염
2). Brain-C
- Brain-B 에서 "(c) Brain" Label 이 삭제됨
3). Clone Virus
- Brain-C에서 original boot copyright label 저장
4). Clone-B
- Clone Virus를 92.5.5 이후에 FAT를 파괴하도록 수정
다. 참고 : Ashar
5-1-5 Dark Avenger 바이러스
1989년 9월, Bulgaria 에서 발견되었다.
1. 특징
가. open 되는 모든 수행 파일(COM, EXE, SYS, OVL 등)을 감염
나. COMMAND.COM 파일도 감염됨
다. 파일 사이즈가 1775 바이트(hex 6efh) 미만은 감염되지 않음
라. 플로피나 하드디스크가 감염가능
마. INT 13h, 40h, 41h를 가로챔
바. 이 바이러스는 Jerusalem 바이러스와 유사성은 없지만 사이즈는 비슷함
사. 감염된 프로그램은 다음 메세지가 포함되어 있음
"The Dark Avenger, copyright 1988, 1989"
"This program was written in the ty of Sofia.
Eddie lives.... Somewhere in Time!"
2. 감염경로
가. 감염된 프로그램이 수행되면 자신을 시스템 메모리 영역에 상주시킴
나. 이후 Open되는 수행 파일을 감염시킴
3. 감염증상
가. 일반적인 증상
= 1775 바이트 이상인 모든 실행 파일의 사이즈가 증가함
= 디스크 입출력 속도가 현저하게 저하
= 사용가능 시스템 메모리 옆₂껦감소
= 감염된 파일은 사이즈는 증가하나 파일의 날짜/시간 및 속성은 변경 안됨
- COM 파일 감염시 앞 3바이트를 바이러스 위치로 분기하도록 JMP 명령으로
대치하고 뒷부분에 1800 바이트 바이러스 코드를 첨가
- EXE 파일 감염시 header를 변경하고 파일을 16의 배수로 만든 다음
뒷부분에 바이러스를 첨가 (파일 사이즈가 1800 ?? 1815 바이트 증가)
나. 활동후 증상
= 디스크의 boot sector에 계수기를 가짐
= 16회 감염시마다 디스크의 boot sector를 random하게 한 sector에 복사함
- 파굘껦sector는 프로그램이건 데이타 파일이건 복구 불가능
- 복사된 Sector는 위의 메세지가 포함되어 있음
= 시스템이 자주 다운 됨
= 하드 디스크로 부팅이 안되는 경우가 있음
4. 감염여부검진
가. 검진 프로그램 이용
- ViruScan V36+, F-Prot, IBM Scan, Pro-Scan
- V3
나. 디스크 유틸리티를 이용하여 위에 있는 메세지를 확인
5. 복구방법
가. 전원을 내리고 write-protected 디스켓으로 부팅
나. 주의해서 복구 프로그램을 이용하여 바이러스를 제거
- M-DAV, CleanUp, Pro-Scan 1.4+, F-Prot
- V3
다. 제거 완료후 다시 검진 프로그램으로 확인
6. 예방대책
가. 출처불명의 소스로 부터의 프로그램은 실행시키지 말 것
나. 실행가능 코드를 내포한 디스크는 교환하지 말 것
다. 메모리의 배치와 프로그램 파일 크기를 감시할 것
5-1-6 Jerusalem 바이러스
파생된 바이러스로는, Jerusalem-B Virus , Jerusalem-C Virus , Jerusalem-D Virus
Jerusalem-E Virus , century virus , century-B virus
13일의 금요일 Virus , black hall , Hebrew Virus ,comvirus
1987.10, Jerusalem의 Hebrew 대학에서 발견되었다.
1. 특징
가. COM 또는 EXE 프로그램을 감염
나. 감염된 프로그램은 1813 바이트(.COM), 1808 바이트(.EXE) 사이즈를 증가시킴
다. 감염된 프로그램은 변형되어 메모리에 상주
라. 플로피나 하드디스크가 감염가능
마. INT 21h 번을 가로챔
바. INT 8h을 가로채서 감염된 프로그램 수행 이후 30 분마다 factor 10에 의해
시스템의 속도가 감소함
사. 메모리 상주하며 warm-reboot(CTL-ALT-DEL)후에도 계속 상주 가능
아. .EXE 파일일 경우는 바이러스 버그로 인해 계속해서 감염이 됨
자. Suriv 3.00 바이러스를 기초로 만들어진 것으로 생각됨
2. 감염경로
가. 감염된 EXE 및 COM 파일 수행시 메모리 상주
나. 이후 수행시키는 파일마다 파일크기를 증가시키면서 감염.
3. 감염증상
가. 일반적인 증상
- 시스템의 일반적인 속도저하
- 사용가능 시스템 메모리 용량이 감소
- COM 파일들은 한번만 감염
: 앞부분에 감염되며 사이즈가 1808 증가
- EXE 파일들은 계속해서 감염
: Header 파일을 변경하고 뒷부분에 감염되며 사이즈가 1813 증가
나. 13일의 금요일 증상
- INT 21h의 파일 삭제 기능을 이용하여 수행되는 프로그램을 삭제
- 일부 버젼은 하드디스크상의 모든 데이터 파괴
4. 감염여부검진
가. 검진 프로그램 이용
- ViruScan, F-Prot, IBM Scan, Pro-Scan, VirexPC 1.1+, AVTK 3.5+
- V2plus, V3
나. Disk Utility 및 Debug 이용
- 파일내 "sUMsDos" 문자열이 3번 이상 나타나면 감염
5. 복구방법
가. 삭제된 파일 복구
- Disk Utility를 이용하여 복구 (파일 UNDELETE 기능 이용)
나. 감염된 파일 복구
- 감염된 실행가능 파일은 감염되지 않은 프로그램으로 교체
- V2PLUS, V3 프로그램으로 복구
- 복구 프로그램 이용
Scan/D/A, M-JRUSLM, Saturday, CleanUp, UnVirus, F-Prot,
VirexPC 1.1+, Pro-Scan 1.4+
6. 예방대책
가. 출처불명의 소스로 부터의 프로그램은 실행시키지 말 것
나. 실행가능 코드를 내포한 디스크는 교환하지 말 것
다. 메모리의 배치와 프로그램 파일 크기를 감시할 것
7. 변종
가. 증상 및 특징
= 어떤 변종은 화면이 스크롤되고 화면의 좌하단에 까만 Black Box가 생김
= Jerusalem-B 경우
- .EXE 파일을 재 감염시키지 않음
- .COM 및 .EXE 파일외에 .SYS 및 .OVL 파일도 감염시킴
- Jerusalem B 바이러스의 모든 변종이 시스템 속도를 느리게 하진 아님
나. 종류
1). A-204
. ID 스트링이 "sUMsDos"에서 "*A-204*"로 변경됨
. 몇 개의 명령문이 검진을 피하기 위해 변경됨
. 30분 동안 메모리 상주후 시스템 속도를 느리게 함
. 화면에 black box가 나타남
. 출처 : Delft, The Netherlands
2). Anarkia
. ID 스트링이 "sUMsDos"에서 "ANARKIA"로 변경됨
. 시스템껦느리게 하는 정도를 더 크게 했지만 정상 동작 않음
. 화면에 black box가 나타나지 않음
. 활동시기를 13일의 화요일로 변경
. 출처 : Spain
3). Anarkia-B
. 활동시기가 10월 12일인 Anarkia 바이러스
4). Jerusalem-C
. 시스템 속도를 느리게 하지 않는 Jerusalem 바이러스
5). Jerusalem-D
. 1990년 이후 13일의 금요일에 FAT를 파괴하는 Jerusalem-C
6). Jerusalem-E
. 1992년에 활동하는 Jerusalem-D
7). Mendoza
. Jerusalem-B 바이러스 근거
. .EXE 파일을 계속해서 감염시키지 않음
. 활동 시기는 매년 7월 ?? 12월 (수행 프로그램의 10%만 삭제)
8). Puerto
. Mendosa 바이러스와 유사
. .EXE 파일을 계속해서 감염시킴
. ID 스트링 "sUMsDos"이 포함됨
9). Spanish JB
. Jerusalem 바이러스와 유사
. .COM 파일은 1808 바이트 사이즈가 증가
. .EXE 파일은 1808 혹은 1813 바이트 사이즈가 증가
(재 감염시 항상 1808 바이트 첨 )
. ID 스트링 "sUMsDos"이 포함되어 있지 않음
. Black Box가 생기지 않음
. 출처 : Spain
10).Jerusalem DC
. Jerusalem B 바이러스와 유사
. ID 스트링 "sUMsDos"이 00h 문자로 대치됨
. 30분 동안 메모리 상주후 시스템 속도를 30% 느리게 함
. Black Box가 화면의 좌측 하단에 나타남
. .EXE 파일을 계속해서 감염시킴
. 활동시기가 없이 감염되면 즉시 수행 파일을 삭제함
. 출처 : Washington, DC, USA
다. 참고 : Payday, Suriv 3.00, Frere Jacques, Westwood
5-1-7 LBC 바이러스
1989년 발견되었다.
대부분 국산 바이러스로 보고있다.
1. 특징
가. 0 섹터의 내용이 11 섹터(트랙:0, 면:1, 섹타:3)에 복사되어 있음.
나. Lbc Virus 자신이 0 섹터(트랙:0, 면:0, 섹타:1)에 들어 있음
다. Map으로 조사해 보면 bad cluster 가 나타나지 않음
라. 메모리 크기를 2 K 감소
마. 원래 플로피 디스크만 감염되게 제작되었으나 저작자의 실수로
하드 디스크의 Master Boot record(Partition Table)를 파괴함
2. 감염경로
가. 감염된 디스크로 부팅하면 바이러스 프로그램이 메모리에 상주
나. 상주후 INT 13h 수행시 플로피 디스크를 감염시킴
(시스템 디스켓이 아니라도 감염됨)
3. 감염증상
가. C: 드라이브로 부팅이 안됨
나. A: 드라이브로 부팅을 해도 C: 드라이브가 동작하지 않음
(Invalid Drive Spec 메세지가 출력껦
다. 플로피 디스크에서 이상한 소리가 좀 나거나 갑자기 read가 안되는
경우가 발생할 수 있음
4. 감염여부검진
가. Debug 이용
a>또는 c> 에서 debug
-l100 0 0 1
-d
-d
-d
ogram message
Njh to LBC
이렇게 해보면 좌측 텍스트부근에 위와 같이 ...Eh.... 문자가 나타나면
감염된 것임.
(원래는 ms-dos로 나타나거나 pctools등 포멧한 유틸리티명이 나타남)
나. Utility 이용 (PCTOOLS, NORTON, MACE)
View Edit 기능으로 들어가 Boot Sector에서 Debug 에서와 같은 메세지가
나타나면 바이러스에 감염된 것임.
다. 검진 프로그램 이용
- ViruScan V61+ 이후 버젼
- V2PLUS 혹은 V3
5. 복구방법
가. 감염된 Diskette 복구방법
1). 감염되지 않는 디스켓을 a:드라이브에 넣고 boot하거나 C:드라이브
에서 Boot 한다.
2). b:드라이브에 새로운 디스켓을 넣고 format 한다음 a:드라이브에
감염된 디스켓을 넣고 file copy를 하면 복구 됨.
(주의). diskcopy는 절대 사용치 말것.
3). 카피한 다음에는 바로 프로텍트를 붙일것.
나. Hard Disk 복구방법
1). Master Boot Sector 복구
-. A: 드라이브로 부팅 (감염되지 않은 DOS)
-. DOS의 FDISK 명령어 수행
-. DOS 파티션을 부트용으로 하나 만듬
-. A: 드라이브로 재 부팅 (감염되지 않은 DOS)
-. Disk Utility(Norton Utility)를 기동
-. 절대 섹타 카피
(실린드:0, 면:1, 섹타:3 ===> 실린드:0, 면:0, 섹타:1)
2). FAT 복구
= Disk Utility (Norton Utility 등)로 FAT에 바이러스가 복사해둔
프로그램 부분을 ??아 FAT 복사본을 Sector 단위로 그 위치에 복사.
- 즉 논리 Sector 59를 논리 Sector 18에 복사 (20M HDD 경우)
- 단, FAT 복사본도 같이 오염되어 있으면 오염된 2 Sector에 해당
되는 데이타는 복구할 방법이 없음.
- 거의 대부분을 회복시킬수 있으나 일부는 잃어 버릴 수도 있음.
다. 복구 프로그램 이용
V2plus, Killer, MDISK,
6. 예방대책
가. 디스켓에서 바이러스 검사후 미감염 디스켓은 write-protect
나. 외부로부터 온 디스크는 부트디스크로 사용하지 말 것
다. 하드디스크 사용자는 절대 A: 에서 부트하지 말 것
라. 게임 디스크는 거의 감염된 것으로 생각하고 대처할 것
7. 변종
가. 증상 및 특징
1). 기억 장소 3K 감소
2). 디스켓 끝에 한개의 불량 클러스터 만듬
3). 일정 시간껦메세지 출력
4). 메세지가 변경됨
나. 종류
1). LBC II
5-1-8 Stoned Virus |
Stoned-B, Stoned-C, Stoned-D, Stoned II 등으로 변종이 생겼다.
(별칭 : Hawaii, Marijuana, New Zealand, San Diego, Smithsonian)|
1988년 2월, New Zealand 에서 발견되었다.
1. 특징
가. Diskette 일 경우 : 0 섹터의 내용이 tr:0 he:1 Se:3 에 복사되어 있음
나. Hard 일 경우 : 0 섹터의 내용이 tr:0 he:0 Se:7 에 복사되어 있음
다. Stoned Virus 자신이 0 섹터에 들어 있음
라. 메모리 크기를 2 K 감소
마. 원종 Stoned는 360K 5 4/1" 디스켓 만 감염시키고 명백한 피해도 없음
2. 감염경로
가. 감염된 디스크로 부팅하면 바이러스 프로그램이 메모리에 상주
나. 상주후 INT 13H 번 가로채고 Access하는 디스켓을 감염시킴
3. 감염증상
가. 매 8회 시스템 부팅중 한번은 다음 메세지를 화면에 표시
"Your computer is now stoned. Legalize Marijuana"
나. 디스크 입출력 속도가 현저하게 느려짐
다. 디스켓일 경우
- 0 섹터의 내용이 ROOT DIR 부분(tr:0 he:1 Se:3)에 복사되어 있어
치명적인 데이타 손실은 없음
라. 하드 디스크일 경우
- 0 섹터의 내용이 FAT 부분(tr:0 he:0 Se:7)에 복사되어 있어 1 섹타
분의 데이타 손실
- 손실된 부분의 데이타를 읽을때 에러 발생
4. 감염여부검진
가. Debug 이용
a>또는 c> 에서 debug
-l100 0 0 1
-d
-d
-d
is now Stoned!
.....LEGALISE MA
RIJUANA
이렇게 해보면 우측 텍스트부근에 위와 같은 문자가 나타나면 감염된 것임.
(원래는 MS-DOS로 나타나거나 PCTOOLS등 포멧한 유틸리티명이 나타남)
나. Utility 이용 (PCTOOLS, NORTON, MACE)
View Edit 기능으로 들어가 Boot Sector에서 Debug 에서와 같은 메세지가
나타나면 바이러스에 감염된 것임.
다. 검진 프로그램 이용
- ViruScan, CleanUp, F-Prot, IBM Scan, Pro-Scan, VirexPC, AVTK 3.5+
- V2plus, V3
5. 복구방법
가. 감염된 Diskette 복구방법
1). 감염되지 않는 디스켓을 a:드라이브에 넣고 boot하거나 C:드라이브에서
Boot 한다.
2). b:드라이브에 새로운 디스켓을 넣고 format 한다음 a:드라이브에 감염된
디스켓을 넣고 file copy를 하면 복구 됨.
(주의). diskcopy는 절대 사용하지말것 dos부분까지 카피되기때문에
3). 카피한 다음에는 바로 프로텍트를 붙일것.
나. Hard Disk 복구방법
1). Master Boot Sector 복구
-.Disk Utility(Norton Utility)를 기동
-.절대 섹타 카피
(실린드:0, 면:0, 섹타:7 ===> 실린드:0, 면:0, 섹타:1)
2). FAT 복구
-.Disk Utility (pctools, Norton 등)로 FAT에 바이러스가 복사해 둔
프로그램 부분을 ??아 FAT 복사본을 Sector 단위로 그 위치에 복사.
- 즉 논리 Sector 46를 논리 Sector 5 에 복사 (20M 하드 디스크 경우)
- 단, FAT 복사본도 같이 오염되어 있으면 오염된 2 Sector에 해당되는
데이타는 복구할 방법이 없음.
- 거의 대부분을 회복시킬수 있으나 일부는 잃어 버릴 수도 있음.
다. 복구 프로그램 이용
- CleanUp, MDisk, F-Prot, Pro-Scan 1.4+, DOS SYS command
- V2plus, V3
6. 예방대책
가. 디스크의 Virus 검사후 미감염 디스크에는 write-protect
나. 외부로터 온 디스크는 부트디스크로 사용하지 말 것
다. 하드디스크 사용자는 절대 A: 에서 부트하지 말 것
라. 게임 디스크는 거의 감염된 것으로 생각하고 대처할 것
7. 변종
가. 증상 및 특징
-.하드 디스크를 감염시키는 2가지 변종이 있음
-.메세지가 변경되거나 삭제됨
-.고밀도 디스켓을 감염시킴
나. 종류
1). Stoned-B
-.Stoned 바이러스와 같으나 다음 내용이 다름
-.partition table을 통해 하드 디스크를 감염시킴
-.RLL controller가 설치된 시스템이 감염되면 자주 시스템 명령
대기 상태가 됨
2). Stoned-C
-.Stoned 바이러스와 같으나 다음 내용이 다름
-.화면에 표시되는 메세지가 삭제됨
3). Stoned-D
-.Stoned 바이러스와 같으나 다음 내용이 다름
-.3.5" 및 5.25" 고밀도 디스켓을 감염시킴
4). Stoned II
-.Stoned 바이러스와 같으나 다음 내용이 다름
-.백신 프로그램에 의한 검진이 쉽게 되지 않도록 수정됨
-.감염된 디스켓의 끝부분에 위치한 메세지가 다음과 같이 변경됨
"Your PC is now Stoned! Version 2"
혹은 "Donald Duck is a lie."
-.변종 중 메세지가 완전히 삭제된 것도 있음
-.메세지의 "Version 2" 부분은 복제시 파괴될 수 있음
-.이 바이러스의 감염 방법껦Stoned 바이러스와 같음
-.바이러스 상주후 재 부팅시 random 하게 메세지 출력
-.하드 디스크의 partition table에 감염됨
-.때때로 partition table 및 데이타가 파괴되는 경우가 있음
댓글 없음:
댓글 쓰기