"손 대지 마시오" 박물관 속 악성코드들

CSO

인터넷 아카이브의 아키비스트(archivist)이자 소프트웨어 큐레이터인 제이슨 스콧, 그리고 F-시큐어(F-Secure) 수석 연구원 미코 하이포넌은 초기 바이러스를 확인할 수 있는 일련의 악성코드 리스트를 구성했다. 여기 소개된 몇 가지 외에도 앞으로 또 다른 리스트가 공개될 예정이다.

에이즈 552(AIDS 552)

위키아(Wikia)에 따르면, 에이즈.552는 터보 파스칼 3.01a(Turbo Pascal 3.01a)로 쓰여진 컴퓨터 바이러스로, COM 파일을 겹쳐쓴다(overwrite). 에이즈는 또한 MS-DOS 해당 파일 시스템(corresponding file system) 취약점을 공략한 최초의 바이러스라고도 알려져 있다.

앰뷸런스(AMBULANCE)

앰뷸런스에 감염되면 스크린에 ASCII 앰뷸런스 드라이브가 나타나면서 경보가 울리다가 곧 충돌이 발생한다.

아리아나(ARIANNA)

트렌드 마이크로(Trend Micro)에 따르면, 이 바이러스는 감염된 프로그램을 실행하거나, 컴퓨터의 감염된 파티션을 실행할 때 전파된다. 아리아나 바이러스에 감염된 파일을 실행할 경우 int 2f(ax=FE01) 이후의 ax값이 0인지를 확인해 현재 위치가 메모리 내부인지를 먼저 확인한다. 메모리 내부임이 확인될 경우 감염된 프로그램을 실행시킨다. 바이러스 코드는 상위 메모리 영역에 남아 있는다.

CASC-SIM

CASC-SIM.COM은 코어 퍼블리싱(Core Publishing)에서 윈도우용으로 개발한 마스터 해커(Master Hacker)와 관계된 COM 파일이다. CASC-SIM.COM은 보안 등급 "알 수 없음"에 인기도는 별 하나다.

씨씨(CeCe)

패트리샤 호프먼(Patricia Hoffman)의 '바이러스 정보 요약 리스트(Virus Information Summary List)'에 따르면, 씨씨는 다른 소프트웨어 파일과 결합해 스스로를 숨기며 자기 복제 기능을 지닌 감염 파일과 함께 실행되는 소프트웨어로 소개되어 있다. 씨씨 바이러스의 첫 감염 사례는 1995년 7월에 발견되었으며 어디서 시작됐는지, 감염원 등은 알려져 있지 않다.

센티피드(CENTIPED)

CENTIPED.THM는 마이크로소프트가 윈도우 용으로 개발한 마이크로소프트 홈 에센셜 98 그리팅스 워크숍(Microsoft Home Essentials 98 Greetings Workshop)과 관련된 THM 파일이다. 보안 등급 "알 수 없음"에 인기도는 별 하나다.

코스모스-G(COSMOS-G)

솔브소프트(Solvusoft)는 코스모스-G에 대해 다음과 같이 언급했다. 코스모스-G는 마스터 해커 인터넷 테러리즘(Master Hacker Internet Terrorism EXE 파일) COM 파일로, 코어 퍼블리싱이 윈도우용으로 개발했다. COSMOS-G.COM의 가장 최신 버전은 1.0.0.0이며 윈도우 NT용으로 제작됐다. 이 COM 파일 역시 보안 등급 "알 수 없음"에 인기도는 별 하나다.


CSC-SIMX

CSC-SIMX.COM는 FIRST(Forum of Incident Response and Security Teams, 사건 대응 및 보안팀 포럼)과 관계된 COM 파일로 AFIWC/NIST에서 윈도우용으로 개발했다. 이 COM 파일은 보안 등급 "알 수 없음"에 인기도는 별 하나다.

덴즈코(Denzuko)

덴즈코는 1988년의 인도네시아 부트 섹터 바이러스다. '브레인(Brain)' 바이러스를 찾아내 파괴한다. 초기 '선충(Nematodes)' 바이러스 가운데 하나다. 선충 바이러스란 다른 바이러스를 찾아내 파괴하는 바이러스나 웜을 말한다.

DENZ-SIM

솔브소프트에 따르면, DENZ-SIM.COM 역시 AFIWC/NIST에서 윈도우용으로 개발한 FIRST 관련 COM 파일의 일종이다. 이 COM 파일은 보안 등급 "알 수 없음"에 인기도는 별 하나다.

플레임(Flame)

카스퍼스키(Kaspersky)는 플레임(Flame)을 일종의 백도어, 웜과 유사한 기능을 하는 트로이 목마 바이러스로 설명하고 있다. 이 바이러스의 최초 감염 지점은 알려져 있지 않다. 감염된 웹사이트나 스피어피싱을 통해 감염될 가능성도 배제할 수 없다. 감염 경로가 어찌됐든, 한 번 감염되고 나면 USB 스틱이나 로컬 네트워크를 통해 확산될 수 있다.


플립(Flip)

감염된 파일을 통해 플립(Flip)과 접촉하게 될 경우, 플립은 재빨리 메모리 내에 플립의 카피가 이미 존재하는지, 메모리가 가득 찬 상태인지를 확인한다.
만일 메모리가 가득 찬 상태일 경우 바이러스는 작동을 멈춘다. 그렇지 않을 경우 메모리 안에 레지던트로 자리잡는다. 그리고 마스터 부트 레코드(MBR)가 감염되었는지 확인 후 감염되지 않았을 경우 이를 감염시킨다. 또한 실행된 모든 .com 또는 .exe 파일에 자신의 코드를 추가한다. .ovl 확장자명을 지닌 파일 역시 감염된 다른 파일에 의해 사용될 경우 마찬가지로 감염될 수 있다.

프롤(Froll)

프롤(Froll) 바이러스에 감염되면 스크린이 엉망이 되면서 PC 스피커로 혼란스런 잡음이 출력된다.

FUM-SIMD

FUM-SIMD.COM은 코어 퍼블리싱이 윈도우용으로 개발한 마스터 해커 COM 파일 유형이다. FUM-SIMD.COM의 알려진 최신 버전인 1.0.0.0은 윈도우 용으로 제작됐으며, 보안 등급 "알 수 없음"에 인기도는 별 하나다.

하(HA)

이 바이러스는 이름에서 알 수 있듯 사용자를 비웃으며 활성화된다.

힘(Hymn)

힘은 러시아 국가의 일부 구절을 재생하고 그 '저작권'으로 스크린을 겹쳐쓰는 바이러스다.

I13

솔브소프트는 당시 보고서에 다음과 같이 설명했다. I13.COM은 마이크로소프트가 윈도우용으로 개발한 MSDN 디스크 11과 관련된 COM 파일의 일종이다. 현재 알려진 I13.COM의 최신 버전은 윈도우용으로 제작된 1.0.0.0이다. I13.COM 역시 보안 등급 "알 수 없음"에 인기도는 별 하나다.

IWAG

IWAG는 위험한 메모리 상주형 다형성 기생 바이러스(memory resident polymorphic parasitic virus)는 아니다. IWAG는 INT 8, 17h, 21h, 2Fh를 엮어 액세스 된 EXE 파일의 종단에 입력된다.

쿠칵(Kukac)

F-시큐어는 이 바이러스군을 두 바이러스로 나눈다. 하나는 ‘터보 쿠칵(Turbo Kukac)’이라는 이름으로 알려진 512B 버전이며, 다른 하나는 터보-448이라 불린다. 두 바이러스 모두 COM 파일만을 감염시킬 수 있으며, 프로그램 충돌 문제를 야기한다.

쿠쿠(Kuku)

이 바이러스는 COM 파일을 검색해 파일 도입부에 입력되는 방식으로 작동한다. 이후 시스템 시간에 따라(1/8의 확률로) 프로그램을 통해 파일을 겹쳐쓰고, 실행된 프로그램은 키보드를 마비시키거나 암호를 풀어버리는, 혹은 스크린에 무수한 색상 선을 띄우는 등의 문제를 일으킨다. editor@itworld.co.kr