Pingpong
다른 이름 : Bouncing Ball, Bouncing Dot, Italian, Italian-A, Ping-Pong, VeraCruz
1987년
이탈리아
* Pingpong (핑퐁) 바이러스
Pingpong 바이러스는 1987년 이탈리아에서 제작된 것으로 추정됩니다.
부트 바이러스로 플로피 디스크와 하드 디스크 도스 부트 레코드에 감염됩니다.
단, FAT 종류를 검사하기 때문에 32 MB 이상의 용량으로 포맷된 디스크에는 감염되지 않습니다.
초기 컴퓨터 바이러스 중 하나입니다.
. Ping-Pong virus Wkikpedia
https://en.wikipedia.org/wiki/Ping-Pong_virus
Ping-Pong virus - Wikipedia
From Wikipedia, the free encyclopedia Boot sector computer virus Ping-Pong virusAliasBoot, Bouncing Ball, Bouncing Dot, Italian, Italian-A, VeraCruz, Ping-Pong.A, Ping-Pong.B, Ping-Pong.CTypeComputer virusSubtypeBoot sector virusAuthorsUnknownPlatformDOS T
en.wikipedia.org
https://www.f-secure.com/v-descs/pingpong.shtml
Ping-Pong | F-Secure Labs
Based on the settings of your F-Secure security product, it will either move the file to the quarantine where it cannot spread or cause harm, or remove it.
www.f-secure.com
http://virus.wikidot.com/pingpong
Pingpong - The Virus Encyclopedia
Click here to edit contents of this page. Click here to toggle editing of individual sections of the page (if possible). Watch headings for an "edit" link when available. Append content without editing the whole page source. Check out how this page has evo
virus.wikidot.com
https://wiw.org/~meta/vsum/view.php?vir=1048
증상은 다음과 샅습니다.
. 기본 메모리 크기를 2 KB 줄입니다.
. 디스크에 배드 클러스터가 생성됩니다.
. 까만점이 돌아다닙니다.
2) 한국 상황
1990년 1월 한국에서도 발견되었습니다.
마이크로소프트웨어지 1990년 2월호 '핑퐁 바이러스 및 1701/1704 바이러스 국내 잠입'으로 소개되었습니다.
당시에는 잡지사로 바이러스 의심 디스크를 보냈습니다.
(1990년은 PC 통신 사용자도 적었습니다.)
당시 한국에서는 한국에서 제작된 V2Plus와 함께 McAfee VirusScan이 널리 사용되었습니다.
마이크로소프트웨어지 1990년 3월호에 Pingpong 바이러스의 상세한 분석 내용일 실렸습니다.
당시 한국에는 Brain, LBC, Jerusalem, Stoned 바이러스가 퍼지고 있었습니다.
* 분석
1) 외형
부트 레코드에 'IBM 3.3' 외 다른 문자열은 없습니다
부트 레코드 종료 표시 (55h AAh)도 없습니다.
2) 구조
1 KB (1,024 바이트)를 꽉 채웠습니다.
| 주소 | 설명 |
| 0 - 0093h | 초기화 (메모리 크기 줄이기, 바이러스 뒷부분 읽기, 바이러스 코드 복사, Int 13h 후킹) |
| 00D0h | 신규 Int 13h (특정 조건일 때 화면에 점 튀는 함수 호출, 디스크 감염) |
| 200h | FAT 읽어서 빈 공간에 배드클러스터 표시 후 바이러스 뒷부분과 정상 부트 레코드 저장 |
| 2B3h | Int 8 (키보드) 후킹 |
| 2DFh | 돌아다니는 점 표시 |
2) 감염
플로피 디스크와 하드디스크 도스부트 레코드를 감염 시킵니다.
FAT 종류를 검사해서 조건에 맞지 않으면 감염시키지 않습니다.
따라서, 40 MB 이상 용량의 하드디스크는 감염되지 않습니다.
| 0239 F606F87D80 TEST BYTE PTR [7DF8],80 ; HDD ? 023E 7423 JZ 0263 ; 0240 BEBE81 MOV SI,81BE ; Partition Table 0243 B90400 MOV CX,0004 0246 807C0401 CMP BYTE PTR [SI+04],01 ; 12 bit FAT ? 024A 740C JZ 0258 024C 807C0404 CMP BYTE PTR [SI+04],04 ; 16 bit FAT ? 0250 7406 JZ 0258 0252 83C610 ADD SI,+10 0255 E2EF LOOP 0246 0257 C3 RET ; Return |
3) 8086 에서만 동작
Yale 바이러스처럼 8086 계열에서만 허용되는 명령으로 그 이상 시스템에서는 동작하지 않습니다.
https://xcoolcat7.tistory.com/91505
Yale (Alameda) 바이러스 , 1987 ... 한편 미국에선
Yale . 다른이름 : Alemeda. 발견 : 1987년 4월. 특징 : Ctrl + Alt + Del 로 재부팅 할 때 플로피 디스크 감염 (감염성 극히 떨어짐) . Alamedahttp://virus.wikidot.com/alameda Alameda - The Virus EncyclopediaClick here to edit conte
xcoolcat7.tistory.com
문제의 코드는 8E C8로 MOV CS,AX 입니다.
8086 에서는 이 코드가 해석됩니다.
하지만, 이후 시스템에서는 8E C8은 엉뚱한 코드가 됩니다.
4) 증상
공이 화면에 돌아다닙니다.
ping pong virus
https://www.youtube.com/watch?v=-XYgaJZOer8
* 평가
Pingpong 바이러스는 당시 여러나라로 퍼졌습니다만, 유명한 다른 바이러스보다는 제한적이었습니다.
게다가 8086 같은 하위 시스템에서만 감염되는 치명적(?) 한계도 존재합니다.
1991년부터 한국에서는 80286 시스템이 본격적으로 보급되기 시작했습니다.
다만 독특한 감염 증상은 컴퓨터 바이러스에 흥미를 느낀 장난기 많은 사람들의 관심을 끌었을 겁니다.
이후 정말 다양한 증상을 가진 컴퓨터 바이러스가 등장합니다.
* 다음은...
1987년 독일입니다.
힌트는 IBM 입니다.
'보안위협 (악성코드) > Malware Archaeology - 악성코드 고고학' 카테고리의 다른 글
| 13일의 금요일 (Friday_the_13th) 바이러스 , 1987, 남아프리카공화국에서 온 (4) | 2025.05.20 |
|---|---|
| Vienna 바이러스 , 1987년 ... 이론적으로만 가능한 62 초 (3) | 2025.05.06 |
| Lehigh 바이러스 , 1987 ... 리하이 대학 내 COMMAND.COM만 노린 바이러스 (0) | 2025.04.29 |
| Yale (Alameda) 바이러스 , 1987 ... 한편 미국에선 (1) | 2025.04.15 |
| VirDem , 1986년 ... Ralf Burger의 또 다른 데모용 바이러스 (0) | 2025.03.25 |