VirDem
. 다른 이름 : Virdem
. 제작 : 1986년
. 제작국 : 독일
. 제작자 : Ralf Burger
1986년 최초의 IBM-PC (MS-DOS) 컴퓨터바이러스인 브레인(Brain) 바이러스가 파키스탄에서 탄생합니다.
https://xcoolcat7.tistory.com/1107
브레인 (Brain) 바이러스 - 파키스탄에서 탄생한 최초의 IBM PC 호환 컴퓨터 바이러스
* Brain 바이러스 Brain (브레인) 바이러스는 Pakistan Brain, (c) Brain 등으로도 불리며 1986년에 처음 발견되었다.(제작자 인터뷰에 따르면 1984년에 아이디어가 떠올랐고 1986년 9월에 최종 버전을 만들었
xcoolcat7.tistory.com
하지만, 컴퓨터바이러스 개념을 여러나라에서 개발하기 시작했고 그중 독일인의 활동이 활발했습니다.
Ralf Buger는 Burger 바이러스로 겹쳐쓰기 바이러스를 개념증명 합니다.
https://xcoolcat7.tistory.com/1119
Burger 바이러스 .. Ralf Burger의 개념 증명 겹쳐쓰기 컴퓨터 바이러스
* 1986년 한편 독일에서는 ... 1986년 파키스탄 형제가 브레인 바이러스를 제작했을 때 독일에서는 해커들이 컴퓨터 바이러스를 주제로 연구해서 발표했습니다. (독일 해커들이 브레인 바이러스를
xcoolcat7.tistory.com
Ralf Burger는 또 다른 바이러스인 VirDem 를 제작했습니다.
* VirDem
VirDem은 1986년 제작된 데모용 컴퓨터바이러스입니다.
http://virus.wikidot.com/virdem
Virdem - The Virus Encyclopedia
Click here to edit contents of this page. Click here to toggle editing of individual sections of the page (if possible). Watch headings for an "edit" link when available. Append content without editing the whole page source. Check out how this page has evo
virus.wikidot.com
https://www.f-secure.com/v-descs/virdem.shtml
Virdem | F-Secure Labs
Based on the settings of your F-Secure security product, it will either move the file to the quarantine where it cannot spread or cause harm, or remove it.
www.f-secure.com
http://wiw.org/~meta/vsum/view.php?vir=1506
Online VSUM - VirDem Virus
Virus Name: VirDem Aliases: VirDem 2 V Status: Endangered Discovered: 1986-1987 Symptoms: .COM growth; messages Origin: Germany Eff Length: 1,236 Bytes Type Code: PNC - Parasitic Non-Resident .COM Infector Detection Method: AVTK, F-Prot, ViruScan, Sweep, P
wiw.org
http://virus.wdfiles.com/local--files/virdem/virdem.txt
독일 이외에 알려진건 Ralf Burger의 책이 출판된 1990년입니다.
* 분석
1) 메시지
영어를 일부 포함한 독일어 메시지를 포함하고 있습니다.
| Virdem Ver.: 1.0 (Generation 1) aktiv. Kopireid VirWare 1986 If you can't help yourself, try 05932/5451 !!!!! Good luck !!!!! Dies ist ein Demoprogramm fur Computerviren. Geben Sie nun bitte eine Zahl ein. Wenn Sie richtig raten, d걊fen Sie Weiterarbeiten Die Zahl liegt zwischen 0 und Bedauerlicherweise war Ihre Antwort nicht richtig. Mehr Gl갷k beim n꼊hsten Mal .... Bravo. Richtige Antwort. Sie d걊fen Weiterarbeiten. Alle Ihre Programme sind nun durchseucht. |
1.05 버전 메시지입니다.
| This is Burger Destroy-Virus V.1.05 This Version has a minor bug! Bot virus-writer do not sleep and soon we will see the full version that'll be able to kill all of your harddisk!!! Be aware of the evil and do not beleave those fucking antivirals and all other bustards here We have the right to kill PC's and we will do it for ever!!! PC's are for nothing, just like Antivirus-Writers are!!! |
1.06 버전 메시지입니다.
| Virdem Ver.: 1.06 (Generation 0) aktiv. Copyright by R.Burger 1986,1987 Tel.: 05932/5451 Dies ist ein Demoprogramm fuer Computerviren. Geben Sie nun bitte eine Zahl ein. Wenn Sie richtig raten,duerfen Sie weiterarbeiten. Die Zahl liegt zwischen 0 und Bedauerlicherweise war Ihre Antwort nicht richtig. Mehr Glueck beim naechsten Mal .... Bravo. Richtige Antwort. Sie duerfen weiterarbeiten. Alle Ihre Programme sind nun infiziert. |
2) 코드
코드는 NOP (90h)로 시작합니다.
아무것도 안하는 코드이며, 감염 표시입니다.
감염된 파일은 세대 (Generation)을 포함하고 있고, 9 가 되면 메시지를 출력합니다.
변형에 따라 다른데 영어 혹은 독일어 문자열입니다.
A 드라이브에서 COM 파일을 찾아 감염시킵니다.
COM 파일 앞부분에 바이러스를 덮어쓰고, 바이러스 크기 만큼 원래 코드는 파일 끝으로 이동합니다.
그리고, 원래 코드를 복구 시켜주는 코드가 추가로 붙게 됩니다.
복구 코드는 바이러스 내에 존재하므로 굳이 감염된 파일 끝에 추가하지 말고, 바이러스가 실행될 때 메모리 내에서 해당 코드를 복사하면 될 겁니다.
* 문제 발생
COM 파일의 최대 길이는 65,535 (FFFFh) 바이트입니다.
이 바이러스는 메모리 F800h 에 감염 시킬 파일을 읽어 들입니다.
만약 COM 파일 크기가 64 KB에 근접한다면 다른 파일을 F800h에 읽는 과정에 코드가 손상됩니다.
* VirDem 변형들
해당 변형은 자세히 분석하지 않고 차이점만 퀵하게 봤습니다.
1) VirDem.463
메시지가 전혀 없이 순수(?) 감염만 됩니다.
다른 변형은 감염 여부 확인을 위해 파일 시작이 NOP (90h)으로 시작하는지 검사하지만, 이 변형은 다른 부분을 확인합니다.
2) VirDem.736
Generation 값을 저장하지만, 독일어 혹은 영어 메시지는 제거되었습니다.
3) VirDem.824
바이러스 길이만 좀 다른 변형입니다.
* 마치며
VirDem 바이러스는 1986년에 제작된 데모용 바이러스입니다.
이외 1986년에 독일에서 제작된 컴퓨터바이러스로는 Bernd Fix의 RushHour 바이러스도 있습니다.
https://xcoolcat7.tistory.com/91503
Rushhour 바이러스 , 1986년 - 또 다른 독일인의 데모용 바이러스
Rushhour 바이러스 Bernd Fix 씨가 1986년에 제작한 컴퓨터바이러스입니다.이때만해도 많은 컴퓨터 전문가 사이에도 컴퓨터바이러스는 도시 전설로 간주되었습니다.하지만, 일부 사람들은 컴퓨터바
xcoolcat7.tistory.com
https://de.wikipedia.org/wiki/Rushhour_(Computervirus)
Rushhour (Computervirus) – Wikipedia
Rushhour Name Rushhour Aliase RUSHHOUR, Rush Hour Bekannt seit 1986 Erster Fundort Deutschland Virustyp Dateivirus Autoren Bernd FixPseudonym: „Foxi“ Dateigröße 457 Bytes Wirtsdateien KEYBGR.COM Verschlüsselung nein Stealth nein Speicherresident ja
de.wikipedia.org
1986년까지 IBM PC에서는 브레인 바이러스 외에는 모두 개념 증명 바이러스였습니다.
1987년에는 개념 증명이 아니라 본격적인 컴퓨터 바이러스들이 등장합니다.
다음에는 미국에서 발견된 바이러스입니다.
'보안위협 (악성코드) > Malware Archaeology - 악성코드 고고학' 카테고리의 다른 글
| Rushhour 바이러스 , 1986년 - 또 다른 독일인의 데모용 바이러스 (1) | 2025.03.04 |
|---|---|
| Burger 바이러스 .. Ralf Burger의 개념 증명 겹쳐쓰기 컴퓨터 바이러스 (0) | 2024.03.16 |
| 브레인 (Brain) 바이러스 - 파키스탄에서 탄생한 최초의 IBM PC 호환 컴퓨터 바이러스 (0) | 2023.04.18 |
| 악성코드 고고학(Malware Archaeology)의 시작 (0) | 2020.06.19 |
| 여기는 고전 악성코드 분석 입니다. (0) | 2014.01.31 |