LBC 바이러스, 1989년 - 하드 디스크 초기화 시킨 한국산 컴퓨터 바이러스

LBC 바이러스

다른이름 : Korea, NjhtoLbc, Virse

 

발견 : 1989년 8월

제작지 : 한국

 

한국에서 제작된 컴퓨터 바이러스 중 최초로 전국적으로 확산되었으며, 하드디스크 감염 시 부팅 및 인식 불가로 많은 사람들이 하드 디스크를 포맷해 큰 피해를 입힘

* LBC 바이러스

LBC 바이러스는 1989년 8월 발견된 한국산 컴퓨터바이러스입니다.

Honey 바이러스가 뒤늦게 발견되기 전까지, 한국에서 제작된 최초 컴퓨터바이러스로 잘못 알려졌습니다.

 

https://xcoolcat7.tistory.com/92255

Honey, 1989 - 한국에서 최초 제작된 컴퓨터 바이러스

 

마이크로소프트웨어지 1989년 11월호에 '백신 II 브레인 바이러스와 LBC 바이러스 퇴치 프로그램'에 소개되었습니다. 이 내용에 따르면 LBC 바이러스는 소프트월드 1989년 9월호 '하드 디스크를 파괴하는 LBC 바이러스', 컴퓨터 매거진 1989년 10월호 기획테마 '브레인 변형 바이러스와 그 예방책', 매경 PC 저널 1989년 10월호 '당신의 하드 디스크는 안전합니까?'에 소개되었다고 합니다. 

 

해당 기사에서는 하드 디스크의 원리를 설명하고 복구 방법까지 소개했습니다. 당시 한국에서는 20 MB (GB 아님) 하드디스크를 주로 사용했지만, 하드 디스크 없는 컴퓨터도 많았습니다. (저도 당시 하드 디스크가 없는 컴퓨터를 사용했습니다.)

 

한국에는 1988년 Brain 바이러스에 이어 1년 만에 등장한 신종 컴퓨터 바이러스였습니다.

 

피해

LBC 바이러스는 원래 플로피 디스크 드라이브만 감염 시키려고 제작되었습니다. 하지만, 버그로 (뒤에서 설명) 감염 하드디스크로는 부팅 할 수 없었고, 파티션 정보도 없어 플로피 디스크 드라이브로 부팅해도 하드 디스크를 인식할 수 없었습니다

 

당시 컴퓨터 잡지에서도 하드 디스크를 복구하는 방법을 다루지 않았고, 많은 사용자들도 LBC 바이러스에 감염된 하드 디스크를 복구하지 못하고 다시 포맷해 데이터를 포기했다고 합니다.

 

AI도 잘 모르는 내용들 

역시 오래된 컴퓨터바이러스라 AI도 잘못된 답변을 합니다.

 

ChatGPT는 완전 엉터리 답변을 합니다.

1. 컴퓨터 바이러스: LBC 바이러스 LBC라는 이름의 악성코드는 과거 몇몇 악성 소프트웨어 보고서에서 나타나곤 했습니다. 주로 Windows 환경에서 이메일 첨부파일이나 악성 프로그램 설치를 통해 감염됩니다. 특징: 시스템 파일을 감염시키거나, 실행 프로그램을 변조 네트워크를 통해 다른 컴퓨터로 전파 가능 정보 탈취 또는 시스템 성능 저하 유발 예방 방법: 최신 백신 프로그램 사용 의심스러운 이메일 첨부파일 열지 않기 운영체제 및 프로그램 보안 업데이트 유지

 

도스 부트 바이러스인데 Winodws 환경에서 이메일 첨부파일이나 악성 프로그램 설치를 통해 감염된다고 합니다.게다가 파일을 감염 시키고 네트워크로 전파되는 기능까지 포함되어 있다고 합니다. (너무 심한 거짓말입니다.)

 

 

Claude.AI도 다소 부정확합니다.

아, 1989년 한국에서 발견된 LBC 바이러스군요! 한국 컴퓨터 바이러스 역사에서 중요한 의미를 갖는 바이러스입니다. LBC 바이러스 (1989년) 기본 정보 발견: 1989년 한국 유형: 부트섹터 감염형 바이러스 (Boot Sector Virus) 플랫폼: MS-DOS 시스템 명명: LBC는 "Love Bug Computer"의 줄임말로 알려짐 감염 메커니즘 감염 대상: 플로피 디스크의 부트섹터 전파 방식: 감염된 플로피 디스크로 부팅 시 메모리에 상주 지속성: TSR(Terminate and Stay Resident) 형태로 메모리 상주 주요 특징 페이로드 발현 조건: 특정 날짜나 조건 충족 시 증상: 화면에 메시지 출력 또는 시스템 동작 방해 파괴성: 비교적 낮음 (당시 기준)

 

LBC는 무슨 의미인지 모르는데 "Love Bug Computer"라고 잘못 얘기합니다. 페이로드 부분도 틀렸는데, 날짜나 조건 충족 때 증상 발생 기능은 없습니다. 

 

 

제미나이 : 제미나이는 비교적 정확한 답변을 합니다.

LBC 바이러스는 1989년경 국내에서 처음 발견된 1세대 컴퓨터 바이러스로, 당시 컴퓨터 사용자들 사이에서 엄청난 공포의 대상이었습니다.  1. 주요 특징 및 피해 파괴적인 증상: 단순히 플로피 디스크에만 머물던 초기 바이러스들과 달리, 하드 디스크(HDD)의 파티션을 파괴하여 컴퓨터 부팅과 인식을 불가능하게 만들었습니다. 감염 방식: 주로 플로피 디스크를 통해 전파되었으며, 감염된 디스크로 부팅하거나 파일을 복사할 때 하드 디스크로 옮겨갔습니다. 명칭의 유래: 바이러스 코드 내부에 들어있던 virus program message Njh to Lbc라는 문구에서 이름을 따와 'LBC 바이러스' 또는 해외에서는 'njhtolbc', 'Korea virus' 등으로 불렸습니다.  2. 역사적 의미 국내 최초 백신의 계기: 안철수 박사가 이 바이러스를 치료하기 위해 기존의 백신 프로그램인 Vaccine 2(V2)를 업데이트하며 대응했는데, 이는 훗날 한국의 대표적인 백신인 V3의 전신이 되었습니다. 국산 바이러스: 당시 해외 유입 바이러스가 주를 이루던 상황에서 국내에서 제작되어 짧은 시간에 전국적으로 확산된 대표적인 국산 바이러스로 기록되어 있습니다.

 

* LBC 바이러스 분석 

 

감염 검사 값

34 12는 브레인 바이러스의 감염 검사 값입니다. 45 68은 LBC 바이러스의 감염 검사 값입니다. 따라서, LBC 바이러스에 감염된 디스크는 Brain 바이러스에 감염되지 않습니다.

 

https://xcoolcat7.tistory.com/1107

브레인 (Brain) 바이러스 - 파키스탄에서 탄생한 최초의 IBM PC 호환 컴퓨터 바이러스

 

문자열 

 

유일하게 볼 수 있는 문자열은 'virse program   messge Njh to Lbc' 입니다. virse는 virus, messge는 message의 오타로 추정됩니다. 영어 오타 때문에 당시 바이러스 제작자가 중학생이 아니냐는 얘기도 있었습니다. Njh와 Lbc는 한국인 이니셜로 보입니다. 제작자 이름은 Njh인데 한국에서는 피해자 이름에서 Lbc 바이러스로 불립니다.

 

가해자(?) NJH씨와 피해자(?) LBC씨는 지금도 잘 살고 있겠죠 ? 누구인지 지금도 궁금합니다.

시작 

 

코드를 보면 COM 파일 처럼 100h에서 시작되고 어셈블리로 작성할 때 Org 를 100h에 맞춰서 제작했습니다.

메모리를 2 KB 줄이고 512 바이트 (200h)를 복사하고 점프합니다.

 

바이러스 인터럽트 13h  

 

디스크 입출력 인터럽트 13h (디스크 입출력)를 가로챕니다. 디스크 읽기가 호출될 때마다 디스크를 검사하여 감염되지 않은 디스크가 감지되면 원래의 부트 레코드를 디스크의 1번 면, 0번 트랙, 3번 섹터에 보관하고, 자신은 디스크의 0번 면, 0번 트랙, 1번 섹터에 복사합니다.

 

5.25인치, 360K 바이트의 플로피 디스크의 경우에 바이러스 프로그램은 부트 레코드의 자리에 위치하게 되고, 원래의 부트 레코드는 주 디렉토리의 마지막 섹터에 위치하게 됩니다.

 

감염 외에 의도된 증상은 없습니다. 하지만, 버그로 하드 디스크를 감염 시킵니다.

 

의도되지 않은 피해 (버그)

 

감염 시킬 때 드라이브를 검사를 합니다.

DL이 드라이브로 0 이면 A 드라이브, 1 이면 B 드라이브입니다.

0184 FB            STI 0185 80FC02        CMP     AH,02                                                ; Read ? 0188 7575          JNZ     01FF 018A 80FA01        CMP     DL,01                                                ; Drive ?  018D 7F70          JG      01FF                                                 ; BUG !  018F 2E            CS: 0190 FE0E7C01      DEC     BYTE PTR [017C]                                      ;  0194 7569          JNZ     01FF 0196 2E            CS: 0197 C6067C0105    MOV     BYTE PTR [017C],05

 

이때 드라이브 비교를 JG로 합니다.

JG는 부호 있는(Signed) 비교입니다. 

80h = -128  →  -128 > 1  ???  →  "작다" → 점프 안 함 (통과!)

 

하드디스크 C드라이브는 80h으로  2진법으로 1000 0000으로 '음수'입니다.

 

8비트 부호 있는 정수에서 최상위 비트(MSB)가 1이면 음수입니다. 

80h는 부호 있는 정수로 -128이고, -128은 1보다 크지 않습니다.

 

제작자 의도는 1과 비교해 A, B 드라이브에서만 감염 시키려고 했습니다. 하지만, 하드디스크는 이 조건을 맞지 않아 감염을 시도합니다.

 

제작자가 JG 대신 JA로 비교했으면 하드디스크를 감염시키지 않습니다.

여러 외국 자료에는 이 바이러스의 드라이브 검사 기능을 보고 플로피 디스크만 감염 시킨다고 잘못 설명되어 있습니다. 

 

하드 디스크에 대한 처리 기능이 없는 LBC 바이러스는 원래 부트 레코드를 무조건 A 드라이브에서 읽으므로 감염된 하드 디스크로 부팅 할 수 없고, 바이러스 내 파티션 정보를 포함하지 않고 있어 인식도 되지 않았습니다. 

 

* 변형

 

LBC.B

 

LBC.B 바이러스는 마이크로소프트웨어지 1990년 4월 '변형 바이러스의 범람'에 소개되었습니다.

 

원래 LBC 바이러스의 처음 부분만 몇 바이트 바뀌어, 백신 프로그램의 진단을 피했다고 합니다. 하지만, 이 샘플이 과거 책에서 언급된 LBC.B 바이러스인지는 확실하지 않습니다.

 

변경된 코드를 보면 초기 점프 코드에서 90h 대신 01로, 33h대신 31h로 코드가 변경되었습니다.

 

33 C0와 31 C0 모두 XOR AX,AX로 동일한 명령이 실행됩니다.

 

즉, 동일한 코드를 실행하지만, 백신 진단 값을 피했습니다.

 

LBC.II (1989)

LBC.II 바이러스는 1989년 12월에 발견되었으며, LBC 바이러스를 분석해 다시 작성한 변형입니다.

LBC 바이러스와는 다르게 360 KB 플로피 디스크만 감염시킵니다.

 

다음 문자열을 포함하고 있습니다.

'good messge(virus) program   version 1.10'

 

바이러스 뒷부분은 구할 수 없어 더이상 분석하지 못했습니다.

 

* 퇴치 프로그램 

1989년 8월 여주 컴퓨터 시스템에서 LBC 바이러스 퇴치 프로그램인 킬러 (Killer)가 제작되었습니다. 플로피 디스크만 검사합니다.

 

 

1989년 10월 LBC 바이러스 퇴치 프로그램이 추가된 백신 II (Vaccine II)이 공개되었습니다. 백신 II는 브레인 바이러스와 LBC 바이러스 진단/치료 합니다.

 

당시 잡지에 공개된 소스코드를 보면 1988년 10월 1일에 제작되었습니다.

 

여기서 V3 (Vaccine III)로 연결됩니다. Vaccine에 LBC 바이러스가 추가되면서 Vaccine II가 되었고, Vaccine II에 파일 바이러스인 Jerusalem 바이러스 진단/치료 기능이 추가되면서 V2Plus로 바뀌었다가, 1991년 프로그램 전면 개정 후 Vaccine III로 이름이 바뀌고 현재까지 이어지고 있습니다. 

 

* 역사적 의의 

LBC 바이러스는 한때 한국에서 제작된 최초 컴퓨터 바이러스로 알려졌으며, 1989 여름부터 한국 전 지역에 퍼져 큰 피해를 줬습니다. 특히 하드디스크가 감염되면 부팅 안 되고 플로피 디스크로 부팅해도 하드 디스크가 인식되지 않아 많은 사람들이 데이터를 포기하고 포맷했습니다.

 

개인적으로는 Brain 바이러스와 함께 어릴 때 감염된 컴퓨터 바이러스입니다.