Yale
. 다른이름 : Alemeda
. 발견 : 1987년 4월
. 특징 : Ctrl + Alt + Del 로 재부팅 할 때 플로피 디스크 감염 (감염성 극히 떨어짐)
. Alameda
http://virus.wikidot.com/alameda
Alameda - The Virus Encyclopedia
Click here to edit contents of this page. Click here to toggle editing of individual sections of the page (if possible). Watch headings for an "edit" link when available. Append content without editing the whole page source. Check out how this page has evo
virus.wikidot.com
. Yale
https://www.f-secure.com/v-descs/alameda.shtml
Yale | F-Secure Labs
Based on the settings of your F-Secure security product, it will either move the file to the quarantine where it cannot spread or cause harm, or remove it.
www.f-secure.com
https://wiw.org/~meta/vsum/view.php?vir=91
Online VSUM - Alameda Virus
Virus Name: Alameda Aliases: Mazatlan, Merritt, Peking, Seoul, Yale V Status: Rare Discovery: 1987 Symptoms: Floppy boot failures; resident-TOM; BSC Origin: California, United States Eff Length: N/A Type Code: RtF - Resident Floppy Boot Sector Infector Det
wiw.org
캘리포니아의 Merritt College에서 처음 발견되었다고 합니다. 또한 Yale University에서도 유명했다고 합니다.
Dr Alan Solomon 의 A Brief History of PC Viruses (1986-1993)에 따르면 이 바이러스는 널리 퍼지지 못했다고 합니다.
| Back in the US, an American was demonstrating a problem that has continued to dog US virus writers ever since - incompetence. The Lehigh didn't make it outside a small circle - neither did the Yale virus. This was another boot sector virus, but it only copied itself when you booted from an infected floppy, then put another floppy in to continue the boot process. No subsequent diskette was infected, and if the boot-up continued from a hard disk, there was no infection at all. Yale never spread at all widely, either. |
어떻게보면 당연한데 웜부팅으로 재부팅 할 때 감염시키므로 하드디스크가 없는 컴퓨터가 주로 타깃이 됩니다.
하드디스크 없는 컴퓨터라면 보통 A 드라이브에 자신이 주로 사용하는 MS-DOS 디스크를 꽂아두지 다른 디스크를 꽂아뒀을 가능성은 낮습니다.
다른 부트 바이러스가 디스크 입출력을 담당하는 인터럽트 13h를 가로채는데, 이 바이러스는 키보드와 관련된 인터럽트 9을 가로채서 Ctrl + Alt + Del을 누를 때 발생하는 웜부팅을 가로챕니다.
* POP CS 명령 ?!
특이하게 8086 에서만 지원하는 POP CS 명령을 사용해서 동작할 수 있는 컴퓨터가 매우 제한적입니다.
POP CS (0Fh) 명령은 8086까지만 사용된 명령으로 현재는 다르게 해석됩니다.
실제 코드는 아래와 같습니다
06 PUSH ES
0F POP CS
1E PUSH DS
07 POP ES
80286 (AT) 이상의 시스템에서는 코드를 제대로 인식 못해 오동작하게 됩니다.
* 파괴적 행위 의도 ?!
디스크 포맷을 하려는 코드가 있었지만, 실제로 행하지 않습니다.
사용하지 않는 디스크 포맷 관련 데이터들입니다.
포맷 (AH = 5) 하려다가 그냥 디스크 쓰기를 합니다.
* 변형
VSUM에는 1.2 MB 플로피디스크 감염, 일정 횟수 부팅 했을 때 하드디스크 포맷 등이 있는데 아래 변형에서는 해당 코드를 찾지 못했습니다. (놓쳤을 수도 있습니다.)
F-Prot 진단명 기준입니다.
1) Yale.B
JMP 가 EBh가 아닌 E9h가 사용되어 일부 코드가 뒤로 밀렸습니다.
(원형은 EB74, B형은 E97500)
아마 다른 어셈블러를 사용해 제작한 걸로 보입니다.
2) Yale.D
POP CS (0F)가 NOP (90)으로 대체되었습니다.
3) Yale.H
Yale.D 과 동일하며 JMP 코드만 다릅니다.
Yale.D는 EB7690 (JMP xxxx , NOP) 이지만 Yale.H는 NOP이 생략되었습니다.
디스어셈블러 옵션을 다르게 한 것으로 보입니다.
* 다음은...
다음 컴퓨터바이러스는 또 미국의 대학교입니다.
시기적으로는 이 바이러스가 더 빨리 제작되었을 수도 있습니다.
'보안위협 (악성코드) > Malware Archaeology - 악성코드 고고학' 카테고리의 다른 글
| VirDem , 1986년 ... Ralf Burger의 또 다른 데모용 바이러스 (0) | 2025.03.25 |
|---|---|
| Rushhour 바이러스 , 1986년 - 또 다른 독일인의 데모용 바이러스 (1) | 2025.03.04 |
| Burger 바이러스 .. Ralf Burger의 개념 증명 겹쳐쓰기 컴퓨터 바이러스 (0) | 2024.03.16 |
| 브레인 (Brain) 바이러스 - 파키스탄에서 탄생한 최초의 IBM PC 호환 컴퓨터 바이러스 (0) | 2023.04.18 |
| 악성코드 고고학(Malware Archaeology)의 시작 (0) | 2020.06.19 |