Vienna 바이러스 , 1987년 ... 이론적으로만 가능한 62 초

 

이름 : Vienna virus

. 다른이름 : Charlie, Dos-62

. 1987년

 

.  특징 : 비상주형 , PATH 내 COM 파일을 찾아 감염

             감염된 파일은 파일 생성 시간을 62초로 변경

             파일 감염 시킬 때 1/8 확률로 5 바이트 손상해 실행되면 시스템 재부팅

 

* Vienna 바이러스

정말 비엔나에서 발견되었는지도 확실하지 않습니다.

나중에 컴퓨터바이러스가 발견된 지명은 가급적 사용하지 않기로 결정되어 비엔나 바이러스는 바람직한 이름은 아니지만, Vienna 바이러스가 널리 알려져서 그대로 사용된 것으로 추정됩니다.

 

바이러스뉴스 1,2 호 등 1990년 초에 발행된 국내 책에서는 1988년 4월 모스크바의 유네스코 어린이 컴퓨터 여름 캠프에서 처음 발견되었다고 하지만, 다른 자료를 보면 1987년에 제작되고 1988년 초에 발견되었다고 합니다

 

 

http://virus.wikidot.com/vienna

Vienna - The Virus Encyclopedia

 

'일부 자료에 따르면 비엔나의 한 고등학생이 실험 목적으로 이 바이러스를 개발했다고 합니다. 이 바이러스를 처음 발견한 사람은 프란츠 스워보다였습니다. 스워보다가 랄프 버거로부터 바이러스를 받았다는 정보가 유출되었지만, 버거는 스워보다로부터 바이러스를 받았다고 주장했습니다. 랄프 버거는 컴퓨터 재부팅 대신 멈춤 현상을 유발하는 변종을 개발했습니다.' 라고 되어 있습니다.

 

흥미로운 점은 이 바이러스 발견자와 관련된 논쟁입니다.

Ralf Burger는 Franz Swoboda에게 받았다고 하지만, Franz 는 부인했다고 합니다.

Ralf Burger는 바이러스 샘플을 Bernt Fix에게 샘플을 전달했습니다.

일부 수정된 버전이 Ralf Burger의 책에 실립니다.

원래 비엔나 바이러스는 1/8 확률로 5 바이트를 변형해 재부팅하게 만들지만, 수정된 버전은 공백 (20h)로 변경해서 뒤에 코드에 따라 다르겠지만, 프로그램 제대로 실행되지 않게 됩니다.

 

* 잘못된 AI 정보

구글에서 Vienna 바이러스를 검색하면 AI 개요가 나오는데 잘못된 내용입니다.

 

 

첫번째 매크로 바이러스라는건 틀렸습니다. 매크로 바이러스는 1990년 대 중반에 등장합니다.

두번째, 'I'M THE VIENNA VIRUS' 를 출력하지 않습니다

세번째, 플로피 디스크로 전파도 완전히 틀린 말은 아니지만 적절하지는 않습니다.

 

* 분석

 

특징적인 문자열은 *.COM과 PATH= 정도입니다.

 

 

 

1) PATH 경로

 

이전에 나온 컴퓨터 바이러스는 현재 디렉토리나 상위 디렉토리에서 파일을 감염시킵니다.

 

https://xcoolcat7.tistory.com/1119

Burger 바이러스 .. Ralf Burger의 개념 증명 겹쳐쓰기 컴퓨터 바이러스

 

컴퓨터 바이러스의 확산을 위해서는 이런 방법은 다른 컴퓨터로 전파될 가능성이 낮습니다.

(사실 비상주형 바이러스가 한계가 있습니다만)

 

Vienna 바이러스는 PATH 경로에서 COM 파일을 찾아 감염시키므로, 적어도 동일 컴퓨터에서 많은 파일을 감염 시킬 수 있습니다. 하지만, 감염된 파일을 복사하지 않는 이상 다른 컴퓨터로 전파될 가능성은 높지 않습니다.

 

2) 62 초

 

COM 파일을 찾아 감염 시킵니다.

 

 

 

파일 작성 초가 1Fh (31)인지 확인합니다.

MS-DOS는 초를 2초 단위로 계산해서 31 이면 62초가 됩니다. 정상적인 상황에서는 62초가 될 수 없죠.

 

감염된 파일은 파일 생성 시간을 62 초로 변경하는 전략은 파일을 열고 내용을 읽고 감염 여뷰를 확인하는 번거러움과 시간을 줄일 수 있습니다.

당시 컴퓨터는 속도가 느려서 COM 파일을 찾고 파일을 읽어 감염 여부를 확인하면 프로그램 실행 시간이 눈에 띄게 느려질 수도 있습니다.

물론 62초로 변경하는 바이러스가 비엔나 뿐만 아니라 이런 기법을 사용하는 다른 컴퓨터 바이러스에 감염된 파일은 감염 안됩니다.

 

파일 크기가 10 - 64,000 바이트인지 검사합니다.

 

3) 증상

 

 

1/8 확률로 앞에 5 바이트를 특정 주소로 점프하도록 변경합니다.

(앞에 5바이트가 손상되어 원래 값을 모르면 복구 할 수 없습니다.)

 

변형마다 덥어쓰는 5 바이트가 다양합니다.

 

헥사	명령	증상
EA F0 FF 00 F0	JMP F000:FFF0	재부팅
20 20 20 20 20	and [bx][si],ah	이후 코드에 따라 다름 (보통 멈춤) 원래 버전을 Ralf Burger 혹은 Bernt Fix 씨가 수정
CD 20 90 90 90	Int 20h, NOP	프로그램 종료
EA 0B 02 13 58	JMP 5813:020B	???? (멈출 듯)
40 41 49 44 53	inc ax inc cx dec cx inc sp push bx	@AIDS 이후 코드에 따라 다름 (보통 멈춤) 포르투갈 리스본에서 발견된 변형으로 과거 Lisbon 바이러스로 알려짐
90 90 90 90 90	NOP	이후 코드에 따라 다름 (보통 멈춤)
47 55 50 45 4B	inc di push bp push ax inc bp dec bx	GUPEK 이후 코드에 따라 다름 (보통 멈춤)

 

 

* 소스코드 공개

 

 

Ralf Burger 책에 소스코드가 공개되었습니다.

 

책을 확인해보니 소스코드가 아니라 디스어셈블 내용이 공개되었습니다.

 

책에는 겹쳐쓰는 5 바이트가 리부트 주소 대신 20 20 20 20 20 으로 바뀌었습니다.

 

소스코드 공개로 수 많은 변형이 쏟아집니다.

 

국내에서 출판된 책에도 이 바이러스의 소스코드가 공개되었는데, 국내 출판된 책 버전은 파일 손상 시켜 재부팅하는 기능이 빠져있습니다.

 

우리나라에서 제작된 변형도 이들 책에 실린 소스코드를 바탕으로 제작되었을 겁니다.

 

* 변형

 

변형은 진단을 피하기 위한 코드 수정 부터, 소스코드를 바탕으로 변경된 것 까지 다양합니다.

종류가 많아서 다음에 정리하겠습니다.

 

 

* 되돌아보면...

 

비상주형 COM 파일 감염 바이러스라 다른 시스템으로 전파 가능성은 낮습니다.

Vienna 바이러스 역시 명성은 높지만 일반 컴퓨터 사용자가 접할 가능성이 매우 높지는 않았을 듯 합니다.

 

그래도 여러나라에 퍼진 듯 합니다.

1988년에 불가리아에서도 발견되었네요.

 

https://bontchev.nlcv.bas.bg/papers/factory.html

The Bulgarian and Soviet Virus Factories

 

* 다음은 ...

다음 바이러스는 13일의 금요일과 관련있습니다.