1997년 8월에 안랩에 입사했을 때 바이러스 분석은 모두 종이에 프린트해서 일일히 손으로 종이에 적어 나가는 형태로 했습니다.

참... 이때는 안철수연구소로 바뀌기 전인 2000년 이전이라 회사이름은 띄어쓰기도 안한 '안철수컴퓨터바이러스연구소'(아.. 길다)입니다.


예전 자료를 정리하다가 입사하고 얼마되지 않아 분석한 것으로 보이는 종이를 찾았습니다.



지금은 ?!

이렇게 일일히 종이에 프린트 했다가는 종이 낭비 엄청납니다.
악성코드 크기가 엄청 커졌으니까요.

이때가 그립네요.

지금도 예전 분석자료는 몇몇 분석가만 접근할 수 있는 분석실에 보관되어 있습니다

Posted by mstoned7

댓글을 달아 주세요

  1. 남도향 2009.09.24 17:30  댓글주소  수정/삭제  댓글쓰기

    참 정겨운 종이이군요^^ 군대에서도 전산실에서 일할때 저런식으로 했었던 기억이.. (2005년이었던)

  2. HS 2009.09.27 11:02  댓글주소  수정/삭제  댓글쓰기

    우와...+_+ 예전에는 저런식으로 분석정보를 기록했나 보군요..
    ㅋ COM 파일의 연결형태에.. 저런 그림이 들어간건.. 후위형이라는건가요..?ㅋㅋㅋ


2007년에 발견된 바이러스 샘플이지만 확인이 필요해서 타사 진단명을 보다가 Xema가 보이네요.


V3 진단명을 유심히 본 사람들이라면 V3에 유독(?) Xema가 많은걸 알 수 있습니다.

Xema(안랩에서는 제마라고 읽습니다.) 의 비밀을 살짝 얘기하자면...
안랩 분석가가 마땅히 지을 이름이 없을 때 붙이기 위해 만든 진단명입니다.
- 참고로 Xema는 순우리말을 변형한 겁니다.

Win-Trojan/Xema.variant (이건 다수의 변형을 1개의 진단명으로 사용해서 증상이 제각각입니다.)
Win-Trojan/Xema 등은 모두 지을 이름이 마땅하지 않아 지은거죠.

이 악성코드 제일 첫 이름이 V3에서 Win-Trojan/Xema였을 겁니다.
안랩에서 이후 추가 분석하다가 바이러스임이 밝혀졌고 진단명을 변경했죠.
하지만, 보통 다른 회사에서 진단명을 먼저 지을 경우 거기에 따르는 관례(?)에 따라 몇몇 업체에서 이전 진단명인 Xema를 선택한 걸로 보입니다. 

Posted by mstoned7

댓글을 달아 주세요

  1. viruslab 2009.09.22 17:12  댓글주소  수정/삭제  댓글쓰기

    Sophos 에서도 사용하는게 보이더군요.^^

  2. 물여우 2009.09.22 21:05 신고  댓글주소  수정/삭제  댓글쓰기

    전에 카페에서 안랩에서 일종의 휴리스틱처럼 설명한 답변을 본 적이 있는데, 사전 예방적인 진단값은 아니었군요. ㅠ-ㅠ


고 노무현 대통령


1997년 6월 18일 부산에서 개최되었던 IT전시회인 SEK 안철수연구소(당시 안철수컴퓨터바이러스 연구소)로 중년신사가 방문했다고 한다. 부산 지역구 국회의원 후보로 나왔지만 낙선하고 야인 생활을 하던 시기라고 한다. 그는 전시회에서 V3를 구매했고 5공 청문회 스타인 '노무현'이라는걸 사람들이 알아보고 제품을 공짜로 주려고했지만 "그래서야 우리 소프트웨어 기업이 밥먹고 살 수 있겠습니까"라며 지갑에서 돈을 꺼냈다고 한다.

이 얘기는 2005년에도 알려졌었다.


[기사]

- SW 제값주고 사는 대통령

http://stock.mt.co.kr/view/mtview.php?no=2009052513485845395&type=1&HEV1


이 사진은 1997년 당시 찍었던 사진

1997년 안철수연구소 부스를 방문한 노무현 전 대통령

1997년 안철수연구소 부스를 방문한 야인 시절 노무현 전 대통령



1997년 6월 18일이면 입사하기 전이다. (본인은 1997년 8월 1일 입사)
당시 직원수가 20명도 안되었을거다.


Posted by mstoned7

댓글을 달아 주세요

  1. 코프 2009.05.30 03:02  댓글주소  수정/삭제  댓글쓰기

    그 대통령을 지금은 볼 수가 없습니다...


국내에 무료 백신 출시가 붐이다.

개인용 백신 시장의 대부분을 차지하고 있던 안랩의 입장에서는 아쉽지만(?) 시대의 흐름 같다.

- 메가닥터 (http://megadoctor.megapass.net/part4/main.jsp, 메가패스 사용자에게 제공. 바이러스체이서(닥터웹) + PC지기 엔진)

- Avast! (http://www.avast.com/eng/download-avast-home.html, 체코 Alwil 사의 개인 무료버전, 특이하게 한글판이 있음)

- 알약 (http://alyac.altools.co.kr/main, 알툴바 설치 되므로 필요 없으면 제외 가능, 비트디펜더 + PC지기 엔진)

- 야후! 툴바 실시간 무료 백신 (야후에서 '무료백신'으로 검색, 바이러스체이서(닥터웹) + PC지기 엔진)

--------

겉으로 보기에도 메가닥터, 알약, 야후! 툴바 실시간 무료 백신은 닮았는데 3개 제품의 제작사가 비전파워사이기 때문이다.

관련기사)

무료백신 '숨은 손'이 움직인다 (전자신문)
http://www.etnews.co.kr/news/detail.html?id=200801080156



Posted by mstoned7

댓글을 달아 주세요


악성코드 역사 2000년이 3개월 만에 나왔습니다.
그동안 이런 저런 이유로 바빠서 이제야 글을 올리게되었네요.

안랩 홈페이지에 있습니다.



악성코드 역사 2000년

Posted by mstoned7

댓글을 달아 주세요

휴...
오랜 기간 동안 바빠서 못 썼는데...
악성코드 역사 1999년이 끝났습니다.

최근으로 오면서 자료가 많아서 이것 저것 정리할 게 많네요.

방금 자료를 넘겼으니 곧 안랩 홈페이지에 자료가 올라갈 것으로 보입니다.

1999년을 정리하면 메일, 네트워크를 통한 새로운 전파 방법 그리고 취약점 이용 등 악성코드의 패러다임 변화이다.

* 악성코드의 역사

http://kr.ahnlab.com/info/securityinfo/infoView.ahn?seq=9252&category=01

* 1999년 내용

http://kr.ahnlab.com/securityinfo/infoView.ahn?seq=10493&category=01
Posted by mstoned7

댓글을 달아 주세요

사용자 삽입 이미지

한국산 최초 허니 바이러스 드롭퍼


한가지 알아둘 점은 이 샘플을 진단 못한다고해서 제품이 안 좋은건 아니라는 점이다.

이 샘플은 1989년 초에 발견된 한국산 최초의 바이러스인 Honey virus 의 드롭퍼로 트로이목마로 분류되어 한동안 V3 에도 추가되지 않았고 (예전에는 V3 는 바이러스만 추가되었음) 예전 플로피 디스크 정리하다가 발견되어 2006년 3월에 V3 에 반영된 샘플이다.

트로이목마를 실행한다고해도 현재 윈도우 환경에서는 제대로 실행되지도 않는다.

그냥 흥미차원에서 테스트 해 본것 ~



Posted by mstoned7

댓글을 달아 주세요

오늘(2007년 3월 6일)은 미켈란젤로 바이러스(Michelangelo virus)의 활동일이다.
미켈란젤로 바이러스는 이제 멸종된 바이러스로 요즘 출시되는 시스템에는 달려있지도 않는 플로피 디스크로만 전파되는 부트 바이러스이다.

3월 6일이 1992년 미켈란젤로 바이러스 소동이 있었던 날이라는걸 기억하는 사람이 얼마나있을까 ?

동아일보에 [책갈피 속의 오늘] 1992년 미켈란젤로 바이러스 소동이라고 기사화 되어서 다시 한번 생각해 본다.

http://www.donga.com/fbin/output?n=200703060062



본문의 내용 중 안철수연구소 홈페이지에 올려진 내용으로 인용된 자료는 필자의 '악성코드 역사'에서 가져온 부분으로 보인다.

‘미국의 모 백신업체는 최소 500만 대의 컴퓨터가 이 바이러스에 감염되어 있다고 밝혔다. 하지만 실제 피해는 1만 대였다. 미켈란젤로 바이러스 특수로 상당수의 백신업체가 엄청난 매출 신장을 올렸다.’

참고로 이 내용은 Virus Bulletin (http://www.virusbtn.com)에서 인용한 자료이다. (원본 문서에는 출처가 모두 기록되어있지만 홈페이지에 올려질 때는 빠져버렸다.)
미국의 모 백신업체는 McAfee 인걸로 알고 있다.

하지만, 백신업체의 엄청난 매출 신장만 기록되어 있는데 이후 백신 업체들끼리 사람들에게 공포심을 줄 수 있는 과장된 내용은 자제하자는 업계 룰이 성립된 시기이기도 한다.

ps.

최초 발견은 1992년 1월이 아니라 1991년 4월이다. 활동일 이후에 발견되어 1991년에는 피해가 없었으며 1992년 3월 6일에 CNN 등을 통해 대대적으로 조심하라고 알려졌다.



Posted by mstoned7

댓글을 달아 주세요

  1. 상다 2012.08.23 11:24  댓글주소  수정/삭제  댓글쓰기

    글에서 미켈란젤로바이러스 발견일을 1991년 4월이라고 라고 하셨는데, 이와관련 조선일보의 '안철수거짓말 논란' 보도 전에 위키피디어 '미켈란젤로바이러스'자료에서 발견일 날짜가 1991년 2월에서 4월로 변경되었다는 실증적이고 설득력있는 언급이 "나는 꼼수다"와 각종 인터넷자료에서 제보되고 있습니다. 확인바랍니다.

1986년 - 최초의 MS-도스 바이러스 출현

첫 IBM PC 호환 바이러스 혹은 MS-도스(MS-DOS, 이하 도스) 바이러스인 브레인 바이러스(Brain virus) 가 파키스탄에서 1986년에 제작되었다. 이 바이러스는 360 킬로바이트 용량의 5.25 인치 플로피 디스크만 감염시키는 부트 바이러스이다. 파키스탄인인 당시 26세의 앰자드 알비(Amjad Farooq Alvi)와 19세의 배시트 알비(Basit Farooq Alvi)가 제작한 것으로 자신이 만든 프로그램이 불법 복사되는 것을 처벌하기 위해서 바이러스를 만들어 1986년 초부터 퍼트렸다고 한다.  1987년에 10월쯤 미국의 델라웨이 대학(Delaware University)에서 최초 발견되었으며 1988년부터 전 세계로 퍼져나갔다. 브레인 바이러스는 한국에서도 최초로 발견된 바이러스이다. 현재 제작자와 관계된 회사는 파키스탄에서 계속 사업을 하고 있는 것으로 보인다. 

독일의 랄프 버거(Ralph Buger)가 도스에서 자신을 복제할 수 있는 프로그램을 구현하였다. 그의 첫 바이러스에 바이르뎀(VirDem)이란 이름을 붙였다. 이 바이러스를 12월 언더그라운드 컴퓨터 포럼(Chaos Computer Club)에서 발표했으며 이후 자신의 저서에 이 바이러스를 포함시킨다.

-----

[참고]

http://www.brain.net.pk/aboutus.htm

Posted by mstoned7

댓글을 달아 주세요

1980년대 중반까지 - 게임의 준비

컴퓨터 바이러스(이하 바이러스)의 가능성은 컴퓨터의 초창기 시절부터 대두되었다. 폰 노이만형 컴퓨터의 창시자인 존 폰 노이만(John von Neumann)은 1949년 'Theory and Organization of Complicated Automata' 논문을 통해 컴퓨터 프로그램이 자기 자신을 복제함으로써 스스로 증식 할 수 있는 가능성이 있다고 제시하였다. 1969년 후반에서 1970년 초반 유니박스 1108(Univax 1108) 시스템에 래빗(The Rabbit) 프로그램이 등장했다. 일종의 웜 프로그램으로 다른 컴퓨터로 퍼지진 않는다고 한다. 웜의 개념이 처음에 기억장소에서 복사되는 프로그램이라고 정의 내려졌던 것도 이들 프로그램의 영향으로 보인다.

1970년대 중반 네텍스(Tenex)에서 실행되는 크리퍼(The Creeper)가 나타났고 리퍼(The Reeper)라는 퇴치 프로그램도 등장했다. 세상에서 첫 백신프로그램이 탄생한 것이다. 

1975년 존 브러너(John Brunner)는 쇼크웨이브 라이더(The Shockwave Rider)에서 테이프웜(tapeworm)을 소개했다.

초기 자료는 참고한 문서마다 다소 다른 내용을 포함하고 있어 확실한 정리를 할 수 없었다. 다만 일반에 바이러스가 알려지기 전에 이미 자신의 복제 기능을 가진 프로그램이 존재했다는 점은 확실하다

1980년대는 컴퓨터가 대중화되고 컴퓨터 통신도 일반화되기 시작하면서 자기 복제 능력은 없지만 사용자의 데이터를 파괴하는 트로이목마(Trojan horse) 프로그램 유행했다. 이들 프로그램은 실행하면 디스크의 파일을 삭제하거나 포맷하는 부작용을 가지고 있다.

1982년 애플사의 8비트 컴퓨터인 애플 2 (Apple II) 컴퓨터에서 당시 15세의 고등학생인 리차드 스크렌타(Richard Skrenta)가 제작한 엘크 클로너(Elk Cloner)란 부트 바이러스가 발견되었다. 개인용 컴퓨터에선 최초의 바이러스로 알려져 있으며 디스켓의 부트 섹터를 감염시키는 바이러스라고 한다.

이 바이러스는 다음과 같은 메시지를 출력한다.

'Elk Cloner: The program with a personality

It will get on all your disks
It will infiltrate your chips
Yes it's Cloner!

It will stick to you like glue
It will modify ram too
Send in the Cloner!'

컴퓨터 바이러스란 용어가 정립된 1980년대 중반 이전에도 이미 바이러스, 웜, 트로이목마에 해당하는 악성코드가 존재했었다.

Posted by mstoned7

댓글을 달아 주세요