『안철수컴퓨터바이러스연구소-바이러스 정보 (go AHN)』 252번
 제  목:[정보] 대만.708(Taiwan.708) 바이러스                        
 올린시각:97/11/12 13:50  읽음: 151 관련자료 없음
 -----------------------------------------------------------------------------


* 대만.708 바이러스

1) 이름: 대만.708(Taiwan.708)
2) 다른이름: 
3) 제작지: 외국 ( 1990년 1월 대만 )
4) 국내발견: 1990년 6월
5) 종류: 파일(COM), 기생형, 비상주형
6) 증상: 감염 파일의 작성 시간 62초로 변경.
         매월 8일 하드 디스크 데이터 파괴
7) 내용:


외국산 파일 바이러스로 감염 파일을 실행하면 전체 
디렉토리를 찾아 4개의 COM 파일을 감염시킨다. 감염
된 파일을 실행하면 하드 디스크 존재 여부를 조사해 
하드 디스크가 없으면 현재 드라이브의 주디렉토리부
터, 하드 디스크가 있으면 하드 디스크의 주디렉토리
부터 모든 서브디렉토리를 찾아 COM 파일을 찾는다. 

감염된 파일은 파일 작성 초는 62초가 된다. 특징적인 
증상으로 매달 8일이 되면 하드 디스크가 없는 컴퓨터
에서는 사용중인 드라이브를, 하드 디스크가 있다면 
하드 디스크의 처음 320 섹터의 내용을 삭제한 후 다
음과 같은 메시지를 출력한다.

"Greetings from National Central University !
 Is today sunny?"


『안철수컴퓨터바이러스연구소-바이러스 정보 (go AHN)』 253번
 제  목:[정보] 대만.743(Taiwan.743) 바이러스                        
 올린시각:97/11/12 13:50  읽음: 159 관련자료 없음
 -----------------------------------------------------------------------------


* 대만.743 바이러스

1) 이름: 대만.743(Taiwan.743)
2) 다른이름: 
3) 제작지: 외국 ( 1990년 1월 대만 )
4) 국내발견: 1990년 6월
5) 종류: 파일(COM), 기생형, 비상주형
6) 증상: 감염 파일의 작성 시간 62초로 변경.
         매월 8일 하드 디스크 데이터 파괴
7) 내용:


대만에서 발견된 외국산 파일 바이러스로 감염된 파일
을 실행하면 하드 디스크 존재 여부를 조사해 하드 디
스크가 없으면 현재 드라이브의 주디렉토리부터, 하드 
디스크가 있으면 하드 디스크의 주디렉토리부터 모든 
서브디렉토리를 찾아 COM 파일을 찾아 감염시킨다. 

한번에 3개의 COM 파일을 감염시키는데 감염된 파일은 
파일 작성 초는 62초가 된다. 특징적인 증상으로 매달 
8일이 되면 하드 디스크가 없는 컴퓨터에서는 사용중
인 드라이브를. 하드 디스크가 있다면 하드 디스크의 
처음 320 섹터의 내용을 삭제한 후 다음과 같은 메시
지를 출력한다.

"Greetings from National Central University !
 Is today sunny?"


8) 변형

- 한국변형 대만.743(Taiwan.743.Kr) 바이러스

1992년 2월 한성호씨가 최초로 발견한 변형 바이러스
로 감염된 파일이 실행되면 3개의 COM 파일을 감염시
킨 후 시스템의 동작이 정지한다. 감염 파일 내부에는 
다음과 같은 문자열이 포함되어 있다.

"I love Jeong-a Shin"


『안철수컴퓨터바이러스연구소-바이러스 정보 (go AHN)』 254번
 제  목:[정보] 대만.752(Taiwan.752) 바이러스                        
 올린시각:97/11/12 13:51  읽음: 271 관련자료 없음
 -----------------------------------------------------------------------------


* 대만.752 바이러스

1) 이름: 대만.752(Taiwan.752)
2) 다른이름: 
3) 제작지: 외국 ( 1990년 1월 대만 )
4) 국내발견: 1990년 6월
5) 종류: 파일 ( COM ), 기생형, 비상주형
6) 증상: 매월 8일 하드 디스크 데이터 파괴.
         파일 3개 감염 후 시스템 정지
7) 내용:


1990년 1월 대만에서 최초로 발견된 파일 바이러스로 
감염 파일을 실행하면 하드 디스크 존재 여부를 조사
해 하드 디스크가 없으면  현재 드라이브의  주디렉토
리부터, 하드 디스크가 있으면 하드 디스크의 주디렉
토리부터 모든 서브디렉토리를 찾아 COM 파일을 찾는
다. 

한번에 4개의 COM 파일을 감염시키는데 감염된 파일은 
파일 작성 초는 62초로 변경된다. 특징적인 증상으로 
매달 8일이 되면 하드 디스크가 없는 컴퓨터에서는 사
용중인 드라이브를, 하드 디스크가 있다면 하드 디스
크의 처음 320 섹터의 내용을 삭제한 후 다음과 같은 
메시지를 출력한다.

"DOOM I Greetings from National Central University !"


『안철수컴퓨터바이러스연구소-바이러스 정보 (go AHN)』 255번
 제  목:[정보] 666 바이러스                                         
 올린시각:97/11/24 15:15  읽음: 257 관련자료 없음
 -----------------------------------------------------------------------------

* 666 바이러스

1) 이름: 666
2) 다른이름:
3) 제작지: 한국
4) 국내발견: 1995년 8월
5) 종류: 파일(COM, EXE), 기생형, 상주형, 암호화
6) 증상: 부팅 장애
7) 내용:


감염된 COM, EXE 파일이 실행되면 암호를 해독한 후 프로그램이 
실행된 횟수를 검사하여 66번 이상 실행했을 경우 주부트섹터를 
암호화시켜 하드 디스크로 부팅되지 않는다.  

특징적인 증상으로 감염된 파일이 실행되면 해당 디렉토리에 있
는 모든 파일의 크기가 0byte로  변한다. 단, 실행 횟수가 66번 
미만일 때는  기본 메모리에  상주한 후 기본  메모리의 크기를 
10Kbyte 감소시킨다.

기본 메모리에 상주 후  실행된 파일 1개만을 감염시킨다. 그러
나 바이러스 자체가 문제가  있어 기본 메모리에 상주하지 않는 
경우가 많다. 감염된 파일 내부에는 다음과 같은 문자열이 포함
되어 있다.

"666 Virus,..Have a good times !"

『안철수컴퓨터바이러스연구소-바이러스 정보 (go AHN)』 256번
 제  목:[정보] 안티텔.B(AntiTel.B) 바이러스                         
 올린시각:97/11/24 15:16  읽음: 163 관련자료 없음
 -----------------------------------------------------------------------------

* 안티텔.B 바이러스

1) 이름: 안티텔.B(AntiTel.B)
2) 다른이름:
3) 제작지: 외국 ( 1991년 6월 스페인 )
4) 국내발견: 1991년 11월 김기범씨
5) 종류: 부트(플로피/하드 주부트섹터), 은폐형
6) 증상: 기본 메모리 1 Kbyte 감소, 메시지 출력
7) 내용:


국내에 발견된 것은 안티텔 바이러스의 변형인 안티텔.B 바이러
스로 플로피 디스크와  하드 디스크의 주부트섹터에 감염되는데 
감염된 디스크로 부팅하면 기본  메모리가 1 Kbyte 줄어들고 사
용되는 모든 플로피 디스크를 감염시킨다.

은폐형 바이러스로 바이러스가 상주하고 있을 때 감염된 디스크
를 읽으려고 하면 원래의 내용을 대신 보여준다.
 
특징적인 증상으로 감염된 하드 디스크로  401번째 부팅을 시도
하면 부트 섹터를 제외한 0 - 5번 트랙과 마지막 트랙의 데이터
를 삭제한 후 다음과 같은 메시지를 출력한다. 단, 이 문자열은 
암호화되어 있기 때문에 볼 수 없다.

      ~
"Campana Anti-TELEFONICA (Barcelona)"

『안철수컴퓨터바이러스연구소-바이러스 정보 (go AHN)』 257번
 제  목:[정보] 아주사(Azusa) 바이러스                               
 올린시각:97/11/24 15:17  읽음: 161 관련자료 없음
 -----------------------------------------------------------------------------

* 아주사 바이러스

1) 이름: 아주사(Azusa)
2) 다른이름: 홍콩(Hongkong)
3) 제작지: 외국 ( 1991년 2월 홍콩 )
4) 국내발견: 1992년 2월 박근우씨
5) 종류: 부트 (플로피/하드 주부트섹터)
6) 증상: 32번째 부팅시 1번 직/병렬 포트 작동 불능.
         기본 메모리 1 Kbyte 감소,
7) 내용:
 

대표적인 부트 바이러스인  돌(Stoned) 바이러스의 변형으로 플
로피 디스크와 하드 디스크의 주부트섹터를 감염시킨다. 감염된 
디스크로 부팅하면 기본 메모리를 1 Kbyte 줄인 후 사용되는 디
스크를 감염시킨다.

그런데 원래 부트 영역을 저장하는 위치가 360 Kbyte 에서는 끝
부분에 해당하지만 다른 용량의 디스크는 중간 부분에 해당하므
로 해당 부분의 데이터가 손상될 가능성이 높다.

특징적인 증상은 감염된 디스크로 32번째 부팅할 때마다 1번 병
렬 포트와  1번 직렬 포트가 작동되지 않게 하여 시스템에 연결
된 프린터나 모뎀, 마우스 등이 작동하지 않게 만든다.

『안철수컴퓨터바이러스연구소-바이러스 정보 (go AHN)』 258번
 제  목:[정보] 신토불이(Sintoboolee) 바이러스                       
 올린시각:97/11/24 15:18  읽음: 346 관련자료 없음
 -----------------------------------------------------------------------------

* 신토불이 바이러스

1) 이름: 신토불이(Sintoboolee)
2) 다른이름:
3) 제작지: 한국
4) 국내발견: 1995년 2월 문영천씨
5) 종류: 파일 ( COM ), 상주형, 기생형
6) 증상: 화면이 스크롤 된다.
7) 내용

감염된 파일이 실행되면 기억장소에  상주해서 실행되는 COM 파
일을 감염시킨다.  단, 홀수달(1월, 3월, 5월, 7월, 9월, 11월)
에 실행했을때는 바이러스가 상주하지 않는다.

기억장소에 상주할 때 특정  부분에 상주하는데 이 영역을 다른 
프로그램에서 사용될 수 있으며,  이럴 경우 시스템이 정지하는 
경우도 발생한다.  COMMAND.COM 파일은 감염시키지 않으며 감염
된 파일 크기는 585 byte 늘어나며, 감염된 파일 내부에는 다음
과 같은 문자열이 존재한다.

"message to FM-date of go soyoung & Toong-bo kang sa
 Sintoboolee (c)cusk19632acb"


『안철수컴퓨터바이러스연구소-바이러스 정보 (go AHN)』 259번
 제  목:[정보] FK.658 바이러스                                      
 올린시각:97/11/24 15:18  읽음: 249 관련자료 없음
 -----------------------------------------------------------------------------

* FK.658 바이러스

1) 이름: FK.658
2) 다른이름:
3) 제작지: 한국
4) 국내발견: 1997년 10월 김재완씨
5) 종류: 파일 ( COM, EXE ), 비암호화, 비상주형, 기생형
6) 증상: 메시지 출력
7) 내용:


사설 BBS 등을 통해 급속히  확산되고 있는 한국산 파일 바이러
스로 이야기 7.3/7.5 크랙  파일이라는 제목으로 사용자들을 현
혹시켜 많은 피해가 보고되고 있다. 

겹쳐쓰기 바이러스이므로 감염된  파일은 다른 파일만 감염시킨 
후 정상적으로 실행되지 않으며,  감염된 파일도 삭제해야만 하
므로 많은 실행 파일이 손상된다.

감염된 파일이 실행되면 모든 디렉토리를 찾는데 파일을 감염시
킨 후 "Incorrect DOS  version"이라는 메시지를 출력하고 해당 
프로그램을 실행 종료한다. 단 읽기 전용파일은 감염시킬 수 없
으며, 매달 31일에는 다음과 같은 메시지를 출력한다.

"(c) Copyleft 1997 10.29 by SVS/COREA
 [F.K Virus].MOV(Master Of Virus)"

『안철수컴퓨터바이러스연구소-바이러스 정보 (go AHN)』 260번
 제  목:[정보] 펨페.1811(Pempe.1811) 바이러스                       
 올린시각:97/11/27 18:51  읽음: 156 관련자료 없음
 -----------------------------------------------------------------------------

* Pempe.1811 바이러스

1) 이름: 펨페.1811(Pempe.1811)
2) 다른이름:
3) 제작지: 외국
4) 국내발견: 1997년 11년 김봉수씨
5) 종류: 파일 ( EXE ), 기생형, 상주형
6) 증상: 메시지 출력
7) 내용: 


제작지에 대한 정보는 알려져 있지 않은 외국산 파일  바이러스
로 Pempe.1811 이라는 이름이 붙은 이유는 감염된 파일  내부에 
"Pempe" 와 같은 문자열이 존재하기 때문이다.

상주형 바이러스로 감염된 파일이 실행되면 기억장소에  상주한 
후 실행, 파일 생성, 파일 삭제, 파일 이름 변경, 디렉토리  생
성, 디렉토리 삭제, 디스크  용량 얻기, 드라이브 변경  작업시  
감염된다.  DIR 명령만으로도 파일이 감염되며, 감염된 파일 크
기는 1811 byte 늘어난다.

바이러스 분석이 어렵게 디버깅 방지루틴이 바이러스 내부에 포
함되어 있으며, 감염된 파일이 최초 실행된 후 20분마다 화면에 
박스 문자와 "PEMPE","AMACC (Makati,Phils) [PM]"가 출력된다. 

단, 이 메시지는 바이러스 내부에 암호화되어 있으므로  감염된 
파일 내부에서는 볼 수 없다. 감염된 파일 내부에는 다음과  같
은 문자열이 포함되어 있다.

"PEMPE 1.2"

『안철수컴퓨터바이러스연구소-바이러스 정보 (go AHN)』 261번
 제  목:[정보] Kaczor.4444 바이러스                                 
 올린시각:97/11/27 18:51  읽음: 291 관련자료 없음
 -----------------------------------------------------------------------------

* Kaczor.4444 바이러스

1) 이름: Kaczor.4444
2) 다른이름: Pieck.4444
3) 제작지:  외국 ( 1996년 3월 스칸디나비아 )
4) 국내발견: 1997년 1월 이규현씨
5) 종류: 부트 ( 하드 주부트섹터 ), 파일 ( EXE )
         암호화, 기생형, 상주형, 은폐형
6) 증상: 3월 3일 화면이 떨림.
7) 내용: 


1996년 3월 스칸디나비아에서 처음 발견된 것으로 알려진  외국
산 파일 바이러스로  Kaczor.2016 바이러스의 변형으로  알려져 
있다. 원형은 폴란드에서 제작된 바이러스로 알려져있다.

EXE 파일만 감염되며, 주부트섹터도 감염되므로 부팅할  때마다 
바이러스가 상주하게 된다. 단,  이때 기본 메모리는  줄어들지 
않는다. 

도스에서 파일과 관련되는 대부분의  기능(파일 열기, 파일  쓰
기, 파일 복사)이 수행될 때 해당 파일을 감염시킨다. 바이러스
가 상주해 있다면 파일의 감염여부를 확인할 수 없는데 이 까닭
은 파일 관련기능에 은폐 기법을 사용하기 때문이다. 

감염된 파일 크기는 4444 byte 늘어나며, 특징적인 증상은 매년 
3월 3일이 되면 화면이 떨리는 증상이 있다. 암호화 바이러스로 
암호를 풀어보면 내부에 다음과 같은 문자열이 포함되어 있다.

"Zrobione.
 Wersja
 Kodowanie
 Licznik HD
 K a c.z,o r!!t e s t"

『안철수컴퓨터바이러스연구소-바이러스 정보 (go AHN)』 262번
 제  목:[정보] Trivial.934 바이러스                                 
 올린시각:97/11/27 18:52  읽음: 187 관련자료 없음
 -----------------------------------------------------------------------------

* Trivial.934 바이러스

1) 이름: Trivial.934
2) 다른이름:
3) 제작지: 한국
4) 국내발견: 1997년 10월 조춘구씨
5) 종류: 파일 ( COM ), 겹쳐쓰기형
6) 증상: - 
7) 내용:


COM 파일(COMMAND.COM 파일 포함)만 감염되는 파일  바이러스로 
현재 디렉토리에 있는 모든 COM 파일의 앞부분 934 byte를 겹쳐
쓰며 주디렉토리로 옮겨 다시 모든 COM 파일을 감염시킨 후  프
로그램을 종료한다.

겹쳐쓰기 바이러스이므로 감염된 파일이 손상되며, 특별한 증상
이 없다. 감염된 파일 내부에는 다음과 같은 문자열이 포함되어 
있다.

"(c) Copyleft 1997 by MOV(Master Of Virus)of SVS COREA 
 Ha. Ha. [COMMAND Killer Virus] (Overwriting) Good luck"

『안철수컴퓨터바이러스연구소-바이러스 정보 (go AHN)』 263번
 제  목:[정보] FCL 바이러스                                         
 올린시각:97/11/27 18:53  읽음: 423 관련자료 없음
 -----------------------------------------------------------------------------

* FCL 바이러스

1) 이름: FCL
2) 다른이름: Level3
3) 제작지: 한국 
4) 국내발견: 1997년 3월 정재필씨
5) 종류: 파일 ( COM, EXE ), 다형성
6) 증상: 메시지 출력
7) 내용:


복잡한 암호화 기법을 사용하는 다형성 바이러스로  현재까지는 
FCL.4149, FCL.4228 바이러스 두 종류가 발견되었으며,  바이러
스에 포함된 내부 메시지의 일부인 "Frog man Cracker  Club"을 
참고하여 FCL 바이러스로 명명하였다.

FCL 바이러스는 외국산  바이러스인 Level3 바이러스의  소스를 
일부 변형한 변종 바이러스이므로 일부 외국 백신 프로그램에서
는 Level3 변형 바이러스로 진단하기도 한다.

감염된 파일이 실행될 때 메모리에 상주하며, 이후 프로그램 실
행 및 도스 명령어 등을 사용하면 파일을 감염시킨다. 또한  감
염된 파일 크기를 4944 byte 줄여 보여 주는데, 바이러스  자체
의 버그로 인해 실행시 일부 프로그램을 손상시킨다. 특히  486 
이하의 PC인 경우 펜티엄 PC에서 보다 많은 파일이 손상된다. 

파일 이름의 첫 두 글자가 다음과 같은 글자로 시작되는 파일들
은(HW, F-, FB, CL, WC, CO, TK, DE, TV, VS, V3, T2, NE,  HT, 
TB, VI, FI, GI, RA, FE, RX, MT, BR, IM, AV, PR, ST, AN, LE, 
J2, OS, OP, WI, BB, SV, AI, KA, KV, GU, NO, HI, PA, CH)  감
염시키지 않는데 대부분 자체 진단 기능을 가지고 있거나  백신 
프로그램들이다.

특징적인 증상으로 특정일이(FCL.4149는 매월 7일,  FCL.4228은 
12월 3일)에 다음과 같은 메시지를 출력하며, 프로그램  실행을 
종료하는데 이때 화면이 멈추면서 시스템이 정지된 것처럼 보인
다.

"Frog man Cracker cLub = FCL name : [MAINDE]
 We Must Love SVS!!!"

『안철수컴퓨터바이러스연구소-바이러스 정보 (go AHN)』 265번
 제  목:[정보] 아편걱정(Anxiety_Poppy) 바이러스                     
 올린시각:97/11/28 13:55  읽음: 466 관련자료 없음
 -----------------------------------------------------------------------------

* 아편걱정 바이러스

1) 이름: 아편걱정(Anxiety_Poppy)
2) 다른이름:
3) 제작지: 외국 ( 1997년 11월 )
4) 국내발견: 1997년 11월
5) 종류: 파일 ( EXE ) , 상주형, 기생형
6) 증상: 부정기적인 시스템 다운
7) 내용:


국내에서 최초로 발견된 윈도우 95 전용 바이러스이다.  아편걱
정이라는 이름으로 불리게된 이유는 바이러스 내부에 "Anxiety. 
Poppy.95 by VicodinES"라는 문자열이 포함되어 있기 때문이다.

이 바이러스는 1997년 11월 발견되었으며 외국과 동시에 발견되
어 1997년 11월 현재까지  대부분의 외국산 백신에서  진단조차 
하지 못한다.

최초의 윈도우 95용 바이러스로 알려진 보자(Boza)  바이러스와
는 달리 한글 윈도우 95에서도 정상적으로 작동하며 기억장소에 
상주하기 때문에 파일 감염 속도가 상당히 빠르다.

감염된 파일이 실행되면 기억장소에 상주한 후 윈도우나 도스창
에서 오픈되는 PE 포맷의 EXE 파일을 감염시킨다. 한편, 윈도우 
NT용 EXE 파일을 감염시킬 수는 있으나, 감염된 파일은  윈도우 
NT에서 동작하지 않는다.

제작자의 의도는 감염된 파일이 실행될 때마다 임의의 레지스트
리를 파괴하는 것이나 바이러스의 버그로 인해 실행되지는 않는
다. 참고로 메모리 상주시 버그로 인해 시스템이 자주 다운되는 
현상이 발생할 수도 있다.

V3Pro 97 를 사용하면 치료할 수 있지만 램상주시 이미  메모리
가 손상되어 있다면 메모리 치료후에도 문제가 생길 수  있으므
로, 치료할 때는 도스창이 아닌 도스 모드(시작 -> 시스템 종료 
-> MS-DOS 모드에서 시스템  재시작)에서 V3+로 치료하는  것이 
안전하다. 

『안철수컴퓨터바이러스연구소-바이러스 정보 (go AHN)』 266번
 제  목:[정보] 클리퍼(Clipper) 바이러스                             
 올린시각:97/12/10 16:21  읽음: 167 관련자료 없음
 -----------------------------------------------------------------------------

* 클리퍼 바이러스

1) 이름: 클리퍼(Clipper)
2) 다른이름: 예루살렘.1408, 오스트레일리아
3) 제작지: 외국 ( 1991년 6월 오스트레일리아 )
4) 국내발견: 1992년 6월 한종상씨
5) 종류: 파일 ( COM, EXE ), 기생형, 상주형
6) 증상: 매달 16일 사용하는 디스크 파괴
7) 내용


예루살렘 바이러스의 변형으로 감염된 파일이 실행되면 기본 메
모리에 상주한 후 실행되는 COM, EXE 파일을 감염시킨다.  감염
된 COM 파일의 크기는 1413 byte, EXE 파일의 크기는 16의 배수
가 된 후 1413 byte 늘어나므로 1413 - 1427 byte 늘어난다.

파일 이름에 'S'나 'V'자가 포함된 파일은 감염되지 않으며, 매
월 16일이 되면 현재 사용중인 디스크의 부트 영역 정보를 삭제
하여 하드 디스크로 부팅되지  않지만 하드 디스크를 32  Mbyte 
이상 분할하여 사용한 시스템은 피해가 발생하지 않는다.

『안철수컴퓨터바이러스연구소-바이러스 정보 (go AHN)』 267번
 제  목:[정보] Exebug 바이러스                                      
 올린시각:97/12/10 16:21  읽음: 296 관련자료 없음
 -----------------------------------------------------------------------------

* Exebug 바이러스

1) 이름: Exebug
2) 다른이름:
3) 제작지: 외국 ( 1992년 남아프리카공화국 )
4) 국내발견: 1996년 3월 최영주씨
5) 종류: 부트 ( 플로피/하드 주부트섹터 ), 은폐형
6) 증상: EXE 파일 파괴, 기본 메모리 1Kbyte 감소
7) 내용:


이 바이러스에 감염되면 원숭이 바이러스처럼 깨끗한  디스크로 
부팅해도 하드 디스크의 파티션 정보가 없기 때문에 C 드라이브
가 인식되지 않는다. 또한, 기본 메모리 크기가 1Kbyte  줄어든
다.

감염된 시스템은 CMOS 데이터에서 A 드라이브의 정보를  삭제되
므로 이 때문에 깨끗한 A:로 부팅해도 A:가 인식되지 않고 바로 
C:로 넘어간다.  따라서 바이러스에 감염된 시스템의 OS가 윈도
우 95라면 치료를 위해서는 CMOS 셋업에서 A:가 인식되게  변경
한 후 감염되지 않은 A:로 부팅하여 치료해야한다.

특징적인 증상으로는 임의의 EXE 파일에 하드 디스크를  파괴하
는 명령을 겹쳐쓰므로 이런 EXE 파일을 실행하면 하드 디스크가 
포맷된다.