Lehigh
. 한글 이름 : 르하이, 리하이
. 다른이름 : Virus.DOS.Lehigh
. 발견 : 1987 가을 미국
. 특징 : COMMAND.COM 감염. 스택 공간에 복사되어 파일 크기를 증가시키지 않음
Yale 바이러스는 극도의 낮은 전파 방법을 사용했습니다.
https://xcoolcat7.tistory.com/91505
Yale (Alameda) 바이러스 , 1987 ... 한편 미국에선
Yale . 다른이름 : Alemeda. 발견 : 1987년 4월. 특징 : Ctrl + Alt + Del 로 재부팅 할 때 플로피 디스크 감염 (감염성 극히 떨어짐) . Alamedahttp://virus.wikidot.com/alameda Alameda - The Virus EncyclopediaClick here to edit conte
xcoolcat7.tistory.com
한편 다른 대학에서는 새로운 컴퓨터 바이러스 피해가 발생합니다.
* Lehigh 바이러스 발견
1987년 가을 리하이 (Lehigh) 대학에서 발견된 컴퓨터 바이러스입니다.
Home
Lehigh is a community of future makers. The 7,000+ undergraduate and graduate students on our picturesque campus are inspired to think deeply, driven to create pragmatic solutions, and encouraged to innovate collaboratively. Our faculty and staff are commi
www2.lehigh.edu
리하이 대학 Kenneth R. van Wyk (어떻게 읽어야 할까요 ?) 씨가 처음 발견했습니다.
https://www.sciencedirect.com/sdfe/pdf/download/eid/1-s2.0-0167404889900643/first-page-pdf
http://virus.wikidot.com/lehigh
Lehigh - The Virus Encyclopedia
Click here to edit contents of this page. Click here to toggle editing of individual sections of the page (if possible). Watch headings for an "edit" link when available. Append content without editing the whole page source. Check out how this page has evo
virus.wikidot.com
https://wiw.org/~meta/vsum/view.php?vir=782
Online VSUM - Lehigh Virus
Virus Name: Lehigh Aliases: Lehigh University V Status: Common Discovered: November, 1987 Symptoms: Corrupts boot sector & FAT, system hang Origin: Pennsylvania, United States Eff Length: N/A Type Code: ORaKT - Overwriting Resident COMMAND.COM Infector Det
wiw.org
* 특징
Lehigh 바이러스는 COMMAND.COM만 감염 시키며, 파일 크기는 증가시키지 않습니다.
COMMAND.COM 파일은 끝이 스택(Stack) 영역으로 비어있습니다.
(끝에 데이터로 보이는 영역도 보입니다.)
보수적으로 잡아서 공간이 D570h - CDA0h = 7D4h (2,004) 바이트 정도됩니다.
Lehigh 바이러스는 555 바이트로 스택 영역에 충분히 들어갑니다.
이런 기법은 COMMAND.COM 파일을 감염시킬 때 일부 도스 바이러스에서 이용했습니다.
* 분석
특징적 문자열은 a:\command.com 정도입니다.
가로챈 인터럽트 21h
실행 (0x4B)과 파일 찾기 (0x4E) 때 command.com 파일을 감염 시킵니다.
증상
COMMAND.COM 파일을 4번째 감염 시킬 때 증상이 발생합니다.
디스크에 쓰레기 데이터를 쓰고 (INT 26h) 0x1840 주소의 내용을 출력합니다.
* 변형
F-Prot 기준입니다.
다른 자료보면 여러가지 변형들이 있던데 그런 증상을 가진 샘플을 찾을 수 없었습니다.
Lehigh.B
B:\command.com 파일을 감염시킵니다.
Lehigh.C
C:\COMMAND.COM 파일을 감염시킵니다.
디스크 파괴 기능이 NOP 명령으로 대체( CD 26 9D -> 90 90 90 ) 되어 데이터 파괴를 하지 않습니다.
하지만, 화면 출력 기능은 그대로 있어 이상한 값이 출력될 수 있습니다.
* 의의
Lehigh 바이러스는 리하이 대학을 벗어나지 못했다고 합니다.
https://www.chaintech.network/blog/1987-lehigh-virus-the-first-virus-to-cause-direct-data-damage/
이 바이러스는 미국 리하이 대학 내에서만 성공적으로 퍼졌으며, 데이터 손상을 일으켰습니다.
파일 크기 증가 없이 COMMAND.COM 파일을 감염 시키는 기법을 소개했습니다.
명성에 비해 전파력은 떨어졌습니다.
* 다음은...
다시 유럽으로 돌아가겠습니다.
이번 바이러스도 유명한 편이지만 광범위하게 전파되지는 않았습니다.
소스코드가 공개되어 많은 변형이 발견되었습니다.
https://xcoolcat7.tistory.com/91571
Vienna 바이러스 , 1987년 ... 이론적으로만 가능한 62 초
이름 : Vienna virus. 다른이름 : Charlie, Dos-62. 1987년 . 특징 : 비상주형 , PATH 내 COM 파일을 찾아 감염 감염된 파일은 파일 생성 시간을 62초로 변경 파일 감염 시킬 때 1/8 확률로 5 바이트 손상해 실행되
xcoolcat7.tistory.com
'보안위협 (악성코드) > Malware Archaeology - 악성코드 고고학' 카테고리의 다른 글
| Vienna 바이러스 , 1987년 ... 이론적으로만 가능한 62 초 (1) | 2025.05.06 |
|---|---|
| Yale (Alameda) 바이러스 , 1987 ... 한편 미국에선 (1) | 2025.04.15 |
| VirDem , 1986년 ... Ralf Burger의 또 다른 데모용 바이러스 (0) | 2025.03.25 |
| Rushhour 바이러스 , 1986년 - 또 다른 독일인의 데모용 바이러스 (1) | 2025.03.04 |
| Burger 바이러스 .. Ralf Burger의 개념 증명 겹쳐쓰기 컴퓨터 바이러스 (0) | 2024.03.16 |