Friday_the_13th
다른이름 : Friday, South African, Virus-B
| 주) 이 바이러스는 13일의 금요일 바이러스로도 알려진 예루살렘 (Jerusalem) 바이러스와는 상관 없습니다. 코드를 자세하게 분석하지 않아 놓치거나 잘못된 내용이 포함될 수 있습니다. 확인되면 바로 수정하겠습니다. |
지난 번에는 비상주형 Vienna 바이러스에 대해 알아 봤습니다.
https://xcoolcat7.tistory.com/91571
Vienna 바이러스 , 1987년 ... 이론적으로만 가능한 62 초
이름 : Vienna virus. 다른이름 : Charlie, Dos-62. 1987년 . 특징 : 비상주형 , PATH 내 COM 파일을 찾아 감염 감염된 파일은 파일 생성 시간을 62초로 변경 파일 감염 시킬 때 1/8 확률로 5 바이트 손상해 실행되
xcoolcat7.tistory.com
이번에도 비상주형 바이러스입니다.
그리고, 유럽, 미국이 아닌 남아프리카 공화국에서 발견된 바이러스입니다.
* Friday_the_13th 바이러스
Friday_the_13th 바이러스는 1987년 혹은 1988년에 발견된 비상주형 COM 파일 감염 컴퓨터 바이러스입니다.
(1987년이 맞을 듯 합니다.)
초기 바이러스의 정확한 크기가 자료 마다 다릅니다.
419 (F-Secure), 512 (VSUM)
Friday
http://virus.wikidot.com/friday
Friday - The Virus Encyclopedia
Click here to edit contents of this page. Click here to toggle editing of individual sections of the page (if possible). Watch headings for an "edit" link when available. Append content without editing the whole page source. Check out how this page has evo
virus.wikidot.com
Friday 13th Virus
https://wiw.org/~meta/vsum/view.php?vir=532
Online VSUM - Friday 13th Virus
Virus Name: Friday 13th Aliases: Friday The 13th COM, South African, Virus B V Status: Rare Discovered: November, 1987 Symptoms: .COM growth; floppy disk access; file deletion Origin: Republic of South Africa Eff Length: 512 Bytes Type Code: PNC - Parasiti
wiw.org
Virus Bulletin 1991년 7월호에는 408, 416, 419, 544 바이트 변형이 있다고 합니다.
https://www.virusbulletin.com/uploads/pdf/magazine/1991/199107.pdf
샘플을 보니 408 바이트에서 623 바이트까지 변형이 존재합니다.
이 바이러스는 널리 퍼지지 않아 정보가 별로 없습니다.
Virus Bulletin 1990년 4월호에 언급된 정도입니다.
https://www.virusbulletin.com/uploads/pdf/magazine/1990/199004.pdf
* 분석
1) 외형
INFECTED, *.COM , COMMAND.COM 정도 외에는 특징적인 문자열이 없습니다
2) 감염
실행된 현재 경로에서 COM 파일을 감염시킵니다.
따라서, 다른 시스템으로 전파는 제한적입니다.
그리고 읽기전용 파일에 대한 처리가 없어서 읽기 전용 파일을 감염 시킬 수 없습니다.
3) 증상
13일의 금요일에 파일을 삭제합니다.
시스템 날짜를(AH = 2Ah) 얻어 13일 (0Dh) 의 금요일 (0 = 일요일 .... 5 = 금요일)이면 파일을 삭제 (AH = 41h)합니다.
읽기 전용 파일은 삭제할 수 없습니다.
* 변형
1) Friday_the_13th.540.A (Virus-B)
Virus Bulletin 1991년 7월 호에 따르면 South African 바이러스의 변형이라고 표기되어 있어 있습니다.
https://www.virusbulletin.com/uploads/pdf/magazine/1991/199107.pdf
540 바이트 변형에서 'INFECTED', 'WARNING!!!! THIS PROGRAM IS INFECTED WITH VIRUS-B!
IT WILL INFECT EVERY .COM FILE IN THE CURRNET SUBDIRECTORY!' 와 같은 문자열을 포함하고 있습니다.
코드를 보면 실행되면 메시지를 출력합니다.
2) Friday_the_13th.540.E
Friday_the_13th.540 샘플에서 문자열 부분을 공백 (20h)으로 교체했습니다.
하지만, 화면 출력 코드는 그대로 있어 실행되면 공백이 출력됩니다.
3) Friday_the_13th.613
1992년에 만들어진 변형으로 추정됩니다.
일요일에 메시지를 출력합니다.
문자열은 XOR 0x03으로 암호화되어있습니다.
암호를 풀면 스페인어가 출력됩니다.
"ENET N 37 Virus benigno - Por EDGE BAND!
Realizado por un alumno del Enet 37 (?) 25/5/92
Hmmm.. Te parece usar la computadora un Domingo?
Presiona una tecla....'
구글 번역에 따르면 "EDGE BAND 제공. Enet 학생이 만들었습니다. 일요일에 컴퓨터를 사용하는 것에 대해 생각해 보셨나요 ? 키를 누르세요"라고 합니다.
일요일에 컴퓨터 사용하는걸 이상하게 생각했나봅니다.
아무래도 당시에는 컴퓨터로 일하는 경우가 많아서 그런게 아닐까 싶네요.
3) Friday_the_13th.623
속성 처리 기능이 추가되어 읽기 전용 파일을 감염 시킬 수 있고, 삭제도 가능합니다.
하지만, 여전히 현재 경로에 위치하는 COM 파일만 감염 시킬 수 있습니다.
* 다음은...
다음은 1987년 이탈리아입니다.
https://xcoolcat7.tistory.com/91612
핑퐁 (Pingpong) 바이러스 , 1987 ... 공이 돌아다닌다 ?!
Pingpong다른 이름 : Bouncing Ball, Bouncing Dot, Italian, Italian-A, Ping-Pong, VeraCruz 1987년이탈리아 * Pingpong (핑퐁) 바이러스Pingpong 바이러스는 1987년 이탈리아에서 제작된 것으로 추정됩니다. 부트 바이러스로
xcoolcat7.tistory.com
'보안위협 (악성코드) > Malware Archaeology - 악성코드 고고학' 카테고리의 다른 글
| 핑퐁 (Pingpong) 바이러스 , 1987 ... 공이 돌아다닌다 ?! (2) | 2025.06.03 |
|---|---|
| Vienna 바이러스 , 1987년 ... 이론적으로만 가능한 62 초 (3) | 2025.05.06 |
| Lehigh 바이러스 , 1987 ... 리하이 대학 내 COMMAND.COM만 노린 바이러스 (0) | 2025.04.29 |
| Yale (Alameda) 바이러스 , 1987 ... 한편 미국에선 (1) | 2025.04.15 |
| VirDem , 1986년 ... Ralf Burger의 또 다른 데모용 바이러스 (0) | 2025.03.25 |