악성코드/Malware Archaeology - 악성코드 고고학

Brain 바이러스 - 최초의 IBM PC 호환 컴퓨터 바이러스

쿨캣7 2023. 4. 18. 05:15
728x90
반응형

* Brain 바이러스

 

Brain (브레인) 바이러스는 Pakistan Brain, (c) Brain 등으로도 불리며 1986년에 처음 발견되었다.

(제작자 인터뷰에 따르면 1984년에 아이디어가 떠올랐고 1986년 9월에 최종 버전을 만들었다고 한다.)

. Brain (computer virus)

https://en.wikipedia.org/wiki/Brain_(computer_virus)

 

Brain (computer virus) - Wikipedia

From Wikipedia, the free encyclopedia 1986 IBM PC boot sector computer virus Brain is the industry standard name for a computer virus that was released in its first form on 19 January 1986,[1] and is considered to be the first computer virus for the IBM Pe

en.wikipedia.org

 

파키스탄인 형제 Amjad Farooq Alvi와 Basit Farooq alvi 가 제작했으며 당시 Amjad는 24세, Basit 는 19세였다고 한다. 컴퓨터 매장을 운영하던 중 자신이 작성한 컴퓨터 프로그램의 불법 복제본이 유포되는 것을 발견했고 고객에게 어떻게 교훈을 줄 수 있는지에 대해 생각하고 제작했다고 한다.

 

문제는 1-2년 후에 전 세계로 자신이 제작한 컴퓨터 바이러스가 퍼져나갔다.


현재도 동일한 건물에서 살고 있으며 2011년 F-Secure의 Mikko Hypponen 씨가 방문했다.

 

. Brain: Searching for the first PC virus in Pakistan

https://www.youtube.com/watch?v=lnedOWfPKT0

Brain virus제작자인터뷰

 

 

Brain 바이러스는 360 킬로바이트(2D) 플로피 디스크만 감염시키고 하드디스크는 감염시키지 않는다.
플로피 디스크도 바이러스 뒷부분으로 저장할 수 있는 공간을 확인하고 없으면 감염을 포기한다.


감염된 디스켓은 볼륨 라벨이 '(c) Brain'으로 변경되며 배드 섹터가 만들어지고 바이러스 뒷부분과 원래 부트 레코드가 저장된다.

 

다음과 같은 문자열을 포함하고 있다.

Welcome to the Dungeon (c) 1986 Amjads (pvt) Ltd VIRUS_SHOE RECORD V9.0 Dedicated to the dynamic memories of millions of viruses who are no longer with us today - Thanks GOODNESS!!! BEWARE OF THE er..VIRUS : this program is catching program follows after these ....$#@%$@!!

 

Brain virus 의 특징적 문자열

 

Brain 바이러스에 감염된 상태에서 부트 레코드를 읽을 경우 정상 부트 레코드를 보여줘 자신의 존재를 숨긴다. 이를 보통 스텔스 기법이라고 한다. 현재는 루트킷(Rootkit)이라는 표현이 사용된다.

 

728x90

 

 

*  한국 발견 Brain 바이러스는 Ashar  인가 ?

 

 

한때 이 바이러스를 Ashar라고 잠깐 불린적 있는데 바이러스 뒷부분에 (c) ashar와 같은 문자열이 존재해 Brain 바이러스의 변형인 Ashar가 국내에 발견된게 아닌가 생각한 듯 하지만 원형 Brain 바이러스에도 이 문자열을 포함하고 있어 원형 Brain 바이러스에 한국에 유입된 것으로 보인다.

 

 

바이러스 뉴스 1호에는 '브레인 바이러스는 여러 가지 변형이 발견되었고 그 중의 한 변형인 아샤 바이러스(Ashar virus)가 국내에 들어와 88년 5월부터 퍼지기 시작했다.'라고 되어 있다. 바이러스 뉴스 2호까지 Ashar로 표기되지만 이후 자료에는 Ashar라는 표현 대신 Brain 바이러스로 표기되어 있다.

 

이 바이러스를 디스어셈블한 자료에도 Ashar로 표현되어 있는데 Brain 바이러스와 동일하다.

 

 

*  한국의 컴퓨터바이러스 백신 탄생



1988년 봄 한국에 최초로 유입된 컴퓨터 바이러스로 안철수 씨가 백신(Vaccine), 최철용 씨가 Doctor를 제작해 1988년 7월 마이크로소프트웨어지에 공개했다.

안철수 씨의  '(c)Brain의 분석과 대책'

최철용 씨의 '바이러스 예방주사'

 

반응형


*  변형

Brain 바이러스는 다양한 변형이 존재한다.

1989년 한국에서 발견된 변형은 바이러스 뒷부분을 NULL (00)로 채워 볼륨 라벨을 '(c) Brain'으로 변경되지 않고 디스켓 특정 위치에 바이러스 뒷부분가 저장되어 결과적으로 해당 위치에 원래 데이터가 파괴된다. 이 변형은 기존 백신에서 진단/치료 가능하므로 다른 이름은 없다.

(개인적으로는 이 변형 브레인 바이러스에 감염되면서 빡쳐 컴퓨터 바이러스에 관심을 가지게 되었다.)


- Brain.B (Ashar ?) - F-Prot 진단명

Brain 메시지를 ashar로 수정했다.

 

ashar로 변경된 Brain.B 바이러스

바이러스 뒷부분에 'ⓒ 1986 ashar & ashars' 문자열이 존재한다.

(원래 (c)1986 Brain & Amjads (pvt)' )


초기에 한국에서 발견된 변형을 Ashar라고도 했는데 국내에 발견된 변형에서는 Ashar 문자열을 포함하고 있지만 ashar로 볼륨 라벨을 변경 시키는 변형은 보고된 바 없다.


- Brain.C : F-Prot 진단명

Brain 바이러스의 특징적 문자열 대신 정상 부트레코드와 유사하다.

하지만, 에러 메시지가 부트 레코드 중간에 와서 정상 부트 레코드와는 다르다.



- Brain.D (F-Prot 진단명)

D.C.L로 문자열을 수정했다.

 



- Brain.E (F-Prot 진단명)

제작자의 주소와 전화번호를 담고 있다. 

Welcome to the Dungeon © 1986 Basit & Amjads (pvt). BRAIN COMPUTER SERVICES 730 NIZAM
    BLOCK ALLAMA IQBAL TOWN LAHORE-PAKISTAN PHONE: 430791,443248,280530. Beware of this VIRUS.... Contact us for vaccination...

 


여러 보고서에서 언급하는 Brain 바이러스에는 제작자 연락처가 포함되어 있다고하는 변형으로 추정된다.

 

여러 자료를 참고해서 주소를 포함한 버전이 먼저 발견되었는지 나중에 발견되었는지 알 수 없었다.

(ChatGPT도 모름)


- Brain.F (F-Prot 진단명)

Singapore 문자열을 포함하고 있다.

 



- Brain.G (F-Prot 진단명)

1988 L.H.V 문자열을 포함하고 있다.

 


- Brain.J (F-Prot 진단명 기준)

Brain.E 바이러스에서 SUB 명령이 다른 OP 코드로 수정되었다.

(동일한 명령이므로 동작은 동일하다.)


아마도 특정 백신 프로그램의 진단을 피하기 위해 수정된 것으로 보인다.

Brain.E

00000017E: 2D0700 sub ax,7

Brain.J

0000017E: 83E807  sub ax,7

- 미확인 변형들

 

바이러스 뉴스 1,2호에는 변형에 대한 정보가 존재하지만 샘플을 확인할 수 없었다.

 

당시 외국 자료  중 잘못된 내용이 많았고 그 외국 자료를 참고한 바이러스 뉴스 1,2호 내용이 잘못되었을 가능성도 있다.

 

Ashar 바이러스 : 하드 디스크를 감염 시킬 수 있다. VIRUS_SHOE RECORD, v9.0 과 같은 문자열 존재. 외국 자료에는 Ashar 바이러스가 하드 디스크를 감염시킨다고 되어있지만 국내에서 발견된 Ashar 바이러스가 하드 디스크 감염 기능이 없어 추가 자료를 확인해 Brain 바이러스로 판단 한 듯 싶음.

Ashar.B : 플로피 디스크만 감염되고 v9.0이 v9.1로 변경

Brain.B : 하드 디스크도 감염

Brain.C : Brain.B 에서 볼륨 라벨을 바꾸지 않게 변형

Clone : 원래 부트 레코드가 가지고 있던 도스 버전 표시를 그대로 가지고 있도록 Brain.C 바이러스 변형

Clone.B : Clone 바이러스를 변형해 1992년 5월 5일 FAT를 파괴

 


이외 Brain 바이러스를 분석해서 제작되었다고 추정되는 컴퓨터 바이러스는 다수 존재한다.

Denzuko (Den Zuk) : 인도네시아에서 제작된 바이러스.


Honey : 대한민국 최초로 제작된 바이러스


LBC (NjhtoLbc) :  1989년 대한민국을 강타한 바이러스. 하드디스크에 감염되면 버그로 부팅되지 않고 플로피 디스크로 부팅해도 하드디스크 인식을 할 수 없음

 

 

* 세계 최초 컴퓨터 바이러스 ?

 

보통 Brain 바이러스가 세계 최초 컴퓨터 바이러스로 알려져있다. 하지만, 기준을 어떻게 정하느냐에 따라서 맞을 수도 있고 틀릴 수 도 있다.

 

. 최초의 컴퓨터바이러스인가 ? 아니오.

 

다른 컴퓨터에도 컴퓨터 바이러스가 존재한다. 예를들어 애플2 컴퓨터 바이러스인 Elk Cloner 바이러스는 1981년에 제작되었다.

 

https://xcoolcat7.tistory.com/824

 

세계 최초 컴퓨터바이러스 중 하나인 Elk Cloner 바이러스 분석

* 세계 최초 컴퓨터 바이러스 중 하나 세계최초 컴퓨터 바이러스 얘기 중에 빠지지 않는 바이러스가 Richard Screnta 의 Elk Cloner 바이러스입니다. 1981년 8비트 애플2 컴퓨터용으로 제작되어 1982년 퍼

xcoolcat7.tistory.com

. 최초의 악성코드인가 ? 아니오.

 

악성코드 (Malware)는 자체 전파 기능이 없는 트로이목마 (Trojan horse)나 웜 (Worm)까지 포함하면 더 다양한 종류가 이미 존재했다.

 

. 최초의 IBM-PC (PC-DOS, MS-DOS) 바이러스인가 ? 예

 

1986년에 제작된 컴퓨터바이러스가 존재하지만 현재로써는 Brain 바이러스가 최초의 IBM-PC (MS-DOS) 컴퓨터 바이러스이다.

 

 

. 최초의 도스 바이리스인가 ? 예 혹은 아니오

 

최초 도스 (DOS) 바이러스로도 볼 수 있지만 보통 DOS가 PC-DOS, MS-DOS를 의미하지만 DOS가 Disk Operationg System으로 다른 컴퓨터의 OS 를 의미하기도 한다. 따라서 DOS가 MS-DOS (PC-DOS)로 한정 한다면 최초의 도스 바이러스이지만 다른 컴퓨터의 DOS를 의미하면 아니다.

 

 

* References


. The making of the first computer virus ? the Pakistani Brain
https://www.trtworld.com/magazine/the-making-of-the-first-computer-virus-the-pakistani-brain-32296

 

The making of the first computer virus — the Pakistani Brain

Amjad Alvi is remembered for writing the first free-range PC virus that went viral in an age before the internet. But he’s done so much more.

www.trtworld.com

. 컴퓨터 바이러스 예방과 치료 (지원우, 지산사, 1990)

 

. 컴퓨터 바이러스 분석, 제작 및 예처방 (박명순, 1990)

 

. 바이러스뉴스 1호 (안철수, 성안당, 1990)

 

. 바이러스 뉴스 2호 (안철수, 성안당, 1991)

 

. Malware of the 1980s: Looking back at the Brain Virus and the Morris Worm 


https://www.welivesecurity.com/2018/11/05/malware-1980s-brain-virus-morris-worm/

 

 

 

다음은 1986년 독일의 Ralf Burger가 제작한 Burger 바이러스입니다.

 

https://xcoolcat7.tistory.com/1119

 

Burger 바이러스 .. Ralf Burger의 개념 증명 겹쳐쓰기 컴퓨터 바이러스

* 1986년 한편 독일에서는 ... 1986년 파키스탄 형제가 브레인 바이러스를 제작했을 때 독일에서는 해커들이 컴퓨터 바이러스를 주제로 연구해서 발표했습니다. (독일 해커들이 브레인 바이러스를

xcoolcat7.tistory.com

 

728x90
반응형