『안철수컴퓨터바이러스연구소-바이러스 정보 (go AHN)』 301번 제 목:[정보] FK.II.920 바이러스 올린시각:98/02/23 14:33 읽음: 205 관련자료 없음 ----------------------------------------------------------------------------- * FK.II.920 바이러스 1) 이름: FK.II.920 2) 다른이름: 3) 제작지: 한국 4) 국내발견: 1998년 1월 조춘구씨 5) 종류: 파일 ( COM ), 기생형, 비상주형 6) 증상: CMOS 데이터 파괴, 문자열 출력 7) 내용: 사설 BBS 등을 통해 확산되고 있는 변형 바이러스로 PS-MPC 바이러스와 유사한 바이러스이다. 감염된 파일이 실행되면 현재 디렉토리의 모든 COM 파일들을 감염시키며, 감염된 파일 크기는 920 byte 늘어난다. 감염된 파일의 작성날짜는 변경되지 않으나 읽기 전용 속성은 지워진다. 특징적인 증상으로 매일 밤 11시에 감염된 파일이 실행되면 하드 디스크 의 CMOS 데이터를 파괴하고 다음과 같은 문자열이 출력된다. "Good Night..?" 감염된 파일 내부에는 다음과 같은 문자열이 암호화되어 있다. "(c) Copyleft 1998 1.10 by SVS/COREA [F.K Virus].MOV(Master Of Virus) (God damn it.........)" 『안철수컴퓨터바이러스연구소-바이러스 정보 (go AHN)』 302번 제 목:[정보] FK.III.5249 바이러스 올린시각:98/02/23 14:34 읽음: 261 관련자료 없음 ----------------------------------------------------------------------------- * FK.III.5249 바이러스 1) 이름: FK.III.5249 2) 다른이름: 3) 제작지: 한국 4) 국내발견: 1998년 2월 차중기씨 5) 종류: 파일 ( COM, EXE ), 기생형, 비상주형 6) 증상: CMOS 데이터 파괴, 문자열 출력 7) 내용: 사설 BBS 등을 통해 확산되고 있는 변형 바이러스로 PS-MPC 바이러스와 유사한 바이러스이다. 감염된 파일이 실행되면 현재 디렉토리의 모든 COM, EXE 파일들을 감염시키며, 감염된 파일 크기는 5249 byte 늘어난다. 감염된 파일의 작성날짜는 변경되지 않으나 읽기 전용 속성은 지워진다. 특징적인 증상으로 매일 밤 11시에 감염된 파일이 실행되면 하드 디스크 의 CMOS 데이터를 파괴하고 다음과 같은 문자열이 출력된다. "Good Night?????????" 감염된 파일 내부에는 다음과 같은 문자열이 암호화 되어 있다. "(c) Copyleft 1998 1.10 by MOV(Master Of Virus) of SVS/KOREA [F.K 2.B Virus] (Good luck......)" 『안철수컴퓨터바이러스연구소-바이러스 정보 (go AHN)』 303번 제 목:[정보] 폭풍(Storm) 바이러스 올린시각:98/02/23 14:38 읽음: 419 관련자료 없음 ----------------------------------------------------------------------------- * 폭풍 바이러스 1) 이름: 폭풍(Storm) 2) 다른이름: Storm.1153 3) 제작지: 외국 ( 1993년 6월 미국 ) 4) 국내발견: 1994년 3월 이시훈씨 5) 종류: 파일 ( COM ), 상주형, 기생형 6) 증상: 매년 3월 3일 문자 추락 현상 발생 7) 내용: 1993년 6월 미국에서 처음 발견된 외국산 바이러스로 감염된 파일이 실행 되면 메모리에 상주하며, 이후 실행되는 모든 COM 파일을 감염시킨다. 감 염된 COM 파일의 크기는 1153 Byte 늘어난다. 감염된 파일은 파일의 시간중 초가 62초로 변경된다. 이러한 현상만으로 도 바이러스 감염 여부를 확인할 수 있다. 도스 버전 3.0 이하인 시스템 은 감염되지 않는다. 감염 후 특징적인 증상은 매년 3월 3일 감염이 파일 실행된 후 1시간이 지나면 도스 화면의 문자들이 한 문자씩 추락하는 현상이 발생한다. 『안철수컴퓨터바이러스연구소-바이러스 정보 (go AHN)』 306번 제 목:[정보] ExcelMacro.Laroux 바이러스 올린시각:98/03/13 14:51 읽음: 502 관련자료 없음 ----------------------------------------------------------------------------- * 엑셀매크로.Laroux 바이러스 1) 이름: 엑셀매크로.Laroux(ExcelMacro.Laroux) 2) 다른이름: 3) 제작지: 외국(1996년 7월) 4) 국내발견: 1997년 3월 5) 종류: 매크로 6) 증상: 7) 내용: 국내에서 처음 발견된 외국산 엑셀매크로 바이러스로 국내외에서 피해가 계속 되고있다. 이 바이러스는 VBA(Visual Basic for Applications)로 제작되었으며, 다 양한 국가의 언어로 만들어진 엑셀에서도 정상적으로 작동한다. 이 때문 에 한글 엑셀에서도 정상적으로 작동하며 많은 곳에서 이 바이러스 때문 에 많은 피해를 입었다. 다음의 두 가지 매크로를 가진다(한글 엑셀에서는 도구(T) -> 매크로(M) 을 선택하면 볼 수 있다). "PERSONAL.XLS!.auto_open,PERSONAL.XLS!.check_files" 이 바이러스에 감염된 파일이 오픈되면 엑셀 프로그램의 시작 경로(일반 적으로 \MSOFFICE\EXCEL\XLSTART)에 PERSONAL.XLS라는 파일이 생성된다. 이 파일에는 바이러스를 구성하는 매크로를 가지고 있는데 엑셀이 실행될 때마다 자동으로 실행되므로 이 파일을 치료하지 않으면 계속 바이러스 가 확산된다. 감염 증상이외에 특이한 증상은 없으나 엑셀 작업에 여러 가지 에러가 발생하는 것으로 보고되고 있다. 『안철수컴퓨터바이러스연구소-바이러스 정보 (go AHN)』 307번 제 목:[정보] ExcelMacro.Laroux.E 바이러스 올린시각:98/03/13 14:52 읽음: 466 관련자료 없음 ----------------------------------------------------------------------------- * 엑셀매크로.Laroux.E 바이러스 1) 이름: 엑셀매크로.Laroux.E(ExcelMacro.Laroux.E) 2) 다른이름: 3) 제작지: 외국(1996년 후반) 4) 국내발견: 1997년 12월 황재윤씨 5) 종류: 매크로 6) 증상: PLDT.XLS 파일 생성 7) 내용: 엑셀매크로 바이러스의 변형으로 감염시 'PERSONAL.XLS' 파일이 생성되는 원형에 비해 이 바이러스는 'PLDT.XLS' 파일이 생성된다. 이 바이러스 역시 VBA(Visual Basic for Applications)로 제작된 관계로 다양한 국가의 언어로 만들어진 엑셀에서도 정상적으로 작동한다. 물론 한글 엑셀에서도 정상적으로 작동한다. 다음의 두 가지 매크로를 가진다(한글 엑셀에서는 도구(T) -> 매크로(M) 을 선택하면 볼 수 있다). "PLDT.XLS!.auto_open,PLDT.XLS!.check_files" 감염된 파일이 오픈되면 엑셀 프로그램의 XLStart 디렉토리(일반적으로 \Program Files\Microsoft Office\Office\XLStart)에 PLDT.XLS 파일이 생 성된다. 이 파일에는 바이러스를 구성하는 매크로를 가지고 있는데 엑셀이 실행될 때마다 자동으로 실행되므로 이 파일을 치료하지 않으면 계속 바이러스가 확산된다. 감염 증상이외에 특이한 증상은 없으나 엑셀 작업에 여러 가지 에러가 발생하는 것으로 보고되고 있다. 또한, Excel97Macro.Laroux.E 바이러스도 98년 1월에 발견되었으며 증상 은 동일하다. 『안철수컴퓨터바이러스연구소-바이러스 정보 (go AHN)』 309번 제 목:[정보] J&M 바이러스 올린시각:98/03/13 14:54 읽음: 228 관련자료 없음 ----------------------------------------------------------------------------- * J&M 바이러스 1) 이름: J&M 2) 다른이름: 3) 제작지: 1994년 봄(체코) 4) 국내발견: 1994년 12월 박모수씨 5) 종류: 부트(플로피/하드 디스크 주부트섹터) 6) 증상: 기본 메모리 2Kbyte 감소. 매년 11월 15일 하드 디스크 포맷. 7) 내용: 이 바이러스는 1994년 봄에 체코에서 처음 발견된 이후 1994년 가을 독일 에서도 널리 발견되었다. 플로피 디스크와 하드 디스크의 주부트섹터를 감염시키는데 감염된 디스 크로 부팅하면 기본 메모리 크기가 2Kbyte 줄어들며, 이후 사용하는 디스 크를 감염시킨다. 감염 후 특징적인 증상은 매월 11월 15일이 되면 하드 디스크를 포맷하는 증상이 있으며, 감염된 데이터에는 "J&M"이라는 문자열이 포함되어 있다. 『안철수컴퓨터바이러스연구소-바이러스 정보 (go AHN)』 310번 제 목:[정보] 정주.3584(ZhengZhou.3584) 바이러스 올린시각:98/03/13 14:55 읽음: 267 관련자료 없음 ----------------------------------------------------------------------------- * 정주.3584 바이러스 1) 이름: 정주.3584(ZhengZhou.3584) 2) 다른이름: 3) 제작지: 외국(중국으로 추정) 4) 국내발견: 1998년 1월 19일 하나컴퓨터 5) 종류: 부트/파일(플로피, 하드 디스크 주부트섹터), 상주형 6) 증상: 기본 메모리 2Kbyte 감소. 매년 11월 15일 하드 디스크 포맷. 7) 내용: 1993년 중국 정주대학에서 만들어진 것으로 추정되는 부트/파일 바이러스 로 감염 이후 실행되는 파일들을 감염시키며, 감염된 파일 크기는 3528 byte 늘어난다. 감염 파일의 파일 작성 날짜와 속성은 변경되지 않으며, 내부에 분석을 방해하는 데이터를 가지고 있어 디버깅을 잘못했을 경우는 다음과 같은 메시지를 출력한 후 디스크를 초기화한다. "Do not turn OFF the computer when WOLF is working !" 또한, 초기화가 끝나면 다음과 같은 메시지를 출력한다. "Insert DOS diskette in drive A:" "Strike any key when ready ..." 감염 파일 내부에는 다음과 같은 문자열이 포함되어 있다. "Zheng Zhou, China. 1993 Thank for your helping, Good-bye !" 『안철수컴퓨터바이러스연구소-바이러스 정보 (go AHN)』 311번 제 목:[정보] ExcelMacro.Laroux.Kr 바이러스 올린시각:98/03/13 15:46 읽음: 717 관련자료 없음 ----------------------------------------------------------------------------- * 한국변형 엑셀매크로.Laroux 바이러스 1) 이름: 한국변형 엑셀매크로.Laroux(ExcelMacro.Laroux.Kr) 2) 다른이름: 3) 제작지: 한국 4) 국내발견: 1998년 2월 박종혁씨 5) 종류: 매크로 6) 증상: VIRUS.XLS 파일 생성. 메시지 출력 7) 내용: 이 바이러스는 한국에서 최초로 제작된 변형 엑셀매크로 바이러스로 다음 의 두 가지 매크로를 가진다(한글 엑셀에서는 도구(T) -> 매크로(M)을 선 택하면 볼 수 있다). "Virus.XLS!.auto_open Virus.XLS!.Check_virus Virus.XLS!.MassageVirus" 이 바이러스에 감염된 파일이 오픈되면 엑셀 프로그램의 XLStart 디렉토 리(일반적으로\Program Files\Microsoft Office\ Office\XLStart)에 VIRUS.XLS라는 파일이 생성된다. 이 파일에는 바이러스를 구성하는 매크로를 가지고 있는데 엑셀이 실행될 때마다 자동으로 실행되므로 이 파일을 삭제하지 않으면 계속 바이러스가 확산된다. 감염 후 VIRUS.XLS 파일이 생성는 것 이외에 감염된 시스템에서 오전 10 시, 오전 12시, 오후 3시, 오후 8시에 파일이 오픈될 때 화면에 빨간색 글씨로 "바이러스에 감염되었음. 매크로바이러스를 잡아라"라는 메시지가 출력된다. 하지만, 자체 버그로 인해 메시지가 출력되다가 에러가 발생한다. 이후 Excel97Macro.Laroux.Kr 바이러스도 발견되었으며, 증상은 ExcelMacro.Laroux.E 바이러스와 동일하다. 『안철수컴퓨터바이러스연구소-바이러스 정보 (go AHN)』 312번 제 목:[정보] 비엔나(Vienna) 바이러스 올린시각:98/03/24 15:37 읽음: 161 관련자료 없음 ----------------------------------------------------------------------------- * 비엔나 바이러스 1) 이름: 비엔나(Vienna) 2) 다른이름: 3) 제작지: 외국 (1988년 4월 오스트리아) 4) 국내발견: 1990년 6월 5) 종류: 파일(COM), 비상주형, 기생형 6) 증상: 1/8 확률로 5 byte를 겹쳐씀 7) 내용: 1988년 4월 소련에서 열린 UNESCO 여름 어린이 컴퓨터 캠프에서 처음 발견되었다. 바이러스 출처를 추적한 결과 오스트리아의 비엔나에 있는 고등학생이 제작한 것으로 밝혀졌다. 이후 이 바이러스의 소스가 책으로 출판되면서 많은 변형 바이 러스가 만들어졌다. 감염 파일이 실행될 때마다 파일을 한 개의 COM 파일을 감염시 키는데 COM 파일 크기가 10 - 64000 byte인 파일만 감염된다. 감염된 파일의 크기는 648 byte 늘어나며, 현재 디렉토리에서 더이상 감염시킬 파일이 존재하지 않으면 경로를 뒤져 지정된 디렉토리에서 감염시킬 파일을 찾는다. 감염된 파일은 1/8의 확률로 파일에 5 byte 겹쳐쓰며, 이후 시 스템이 재부팅된다. 『안철수컴퓨터바이러스연구소-바이러스 정보 (go AHN)』 313번 제 목:[정보] 비엔나(Vienna).575 바이러스 올린시각:98/03/24 15:38 읽음: 123 관련자료 없음 ----------------------------------------------------------------------------- * 비엔나.575 바이러스 1) 이름: 비엔나.575(Vienna.575) 2) 다른이름: 3) 제작지: 한국 4) 국내발견: 1996년 4월 5) 종류: 파일(COM), 비상주형, 기생형 6) 증상: 7) 내용: 모든 COM 파일을 감염시키며, 현재 디렉토리와 경로에서 감염되 지 않은 COM 파일을 감염시킨다. 감염된 COM 파일의 크기는 575 byte 늘어난다. 단, COM 파일 크기가 0 - 64000 byte인 파일만 감염된다. 『안철수컴퓨터바이러스연구소-바이러스 정보 (go AHN)』 314번 제 목:[정보] 비엔나(Vienna).576 바이러스 올린시각:98/03/24 15:38 읽음: 143 관련자료 없음 ----------------------------------------------------------------------------- * 비엔나.576 바이러스 1) 이름: 비엔나.576(Vienna.576) 2) 다른이름: 3) 제작지: 한국 4) 국내발견: 1994년 8월 5) 종류: 파일(COM), 비상주형, 기생형 6) 증상: 7) 내용: 모든 COM 파일을 감염시키며, 현재 디렉토리와 경로에서 감염되 지 않은 COM 파일을 감염시킨다. 단, COM 파일 크기가 100 byte 이상인 파일만 감염시킨다. 『안철수컴퓨터바이러스연구소-바이러스 정보 (go AHN)』 315번 제 목:[정보] 비엔나(Vienna).645 바이러스 올린시각:98/03/24 15:39 읽음: 170 관련자료 없음 ----------------------------------------------------------------------------- * 비엔나.645 바이러스 1) 이름: 비엔나.645(Vienna.645) 2) 다른이름: 3) 제작지: 외국 4) 국내발견: 1996년 7월 5) 종류: 파일(COM), 비상주형, 기생형 6) 증상: 7) 내용: 모든 COM 파일을 감염시키며, 현 디렉토리와 경로에서 감염되지 않은 COM 파일을 감염시킨다. 감염된 COM 파일 크기는 645 byte 늘어난다. 단, COM 파일 크기가 10 - 64000 byte인 파일만 감염시킨다. 『안철수컴퓨터바이러스연구소-바이러스 정보 (go AHN)』 316번 제 목:[정보] 비엔나(Vienna).1018 바이러스 올린시각:98/03/24 15:39 읽음: 267 관련자료 없음 ----------------------------------------------------------------------------- * 비엔나.1018 바이러스 1) 이름: 비엔나.1018(Vienna.1018) 2) 다른이름: 3) 제작지: 한국 4) 국내발견: 1994년 7월 5) 종류: 파일(COM), 비상주형, 기생형 6) 증상: 디스크 데이터 파괴 7) 내용: 도스버전이 2.0 이상이고 감염 파일이 실행된 요일이 일요일이 면 감염된다. 현 디렉토리와 경로에서 아직 감염되지 않은 COM 파일을 감염시킨다. 감염된 COM 파일의 크기는 1018 byte 늘어나는데 감염후 특징적 인 증상은 감염 파일의 실행 날짜가 9, 10, 11, 12월의 9일인 경우 '삑' 소리를 출력하며, 이후 0번 실린더 1섹터만큼 포맷한 다. 감염 파일을 1 - 8 월에 실행시켰을 경우에는 디스크의 데이터 를 파괴하지만 하드 디스크의 데이터는 제외된다. 『안철수컴퓨터바이러스연구소-바이러스 정보 (go AHN)』 317번 제 목:[정보] 시스터보(SysTurbo) 바이러스 올린시각:98/03/24 15:40 읽음: 337 관련자료 없음 ----------------------------------------------------------------------------- * 시스터보 바이러스 1) 이름: 시스터보(SysTurbo) 2) 다른이름: BoxBox, V3SCAN.1633, V3, UVScan.1750 3) 제작지: 한국 4) 국내발견: 1994년 8월 5) 종류: 파일(COM, EXE), 상주형, 기생형 6) 증상: 7) 내용: 이 바이러스는 1994년 8월 하이텔의 OS 동호회 자료실에 등록된 'SYSTURBO.EXE'라는 파일에서 최초로 발견된 대표적인 한국산 바이러스 시리즈이다. 감염 파일 내부에는 특징적인 문자열이 없기 때문에 등록되었던 감염 파일의 이름을 따서 명명되었다. 제작자가 소스를 공개했기 때문에 현재까지도 많은 변형 바이러 스가 제작, 발견되고 있으며, 일부는 외국에서도 발견되고 있 다. 외국 백신에서는 BoxBox, V3SCAN.1633, V3, UVScan.1750 바 이러스 등으로 진단되기도 한다. 감염 파일이 실행되면 기억장소에 상주한 후 실행되는 COM, EXE 파일을 감염시킨다. 실행되는 파일 이름이 V3나 SCAN으로 시작 하는 파일은 감염시키지 않으며, 암호를 풀어보면 "V3SCAN"과 같은 문자열이 포함되어 있다. 『안철수컴퓨터바이러스연구소-바이러스 정보 (go AHN)』 318번 제 목:[정보] 시스터보(SysTurbo).II.2044 바이러스 올린시각:98/03/24 15:41 읽음: 642 관련자료 없음 ----------------------------------------------------------------------------- * 시스터보.II.2044 바이러스 1) 이름: 시스터보.II.2044(SysTurbo.II.2044) 2) 다른이름: FCL.1852, Systurbo.Nop.2044 3) 제작지: 한국 4) 국내발견: 1997년 01월, 임동연씨 5) 종류: 파일(COM, EXE), 암호화, 상주형, 기생형 6) 증상: 매년 12월 19일, 1997년 12월 3일 CMOS 데이터 삭제 7) 내용: 바이러스 앞부분은 회오리 바이러스의 특성을 가지고 있으며, 감염 파일이 실행될 때 12월 19일과 1997년 12월 3일 경우 또는 (어떤 불특정)바이러스가 작동하고 있지 않으면 CMOS 데이터를 삭제한다. 감염 사실을 은폐하는 기능을 가지고 있으나 내부 버그로 작동 하지 않는다. 파일 실행 및 파일 열기시 감염되며, 감염된 파일 의 크기는 대략 2074 byte 늘어난다. 단, 다음과 같은 파일 이름으로 시작하는 파일은 감염에서 제외 된다. "HW, V3, F-, J2, T2, TK, TV, TB, WC, CO, DE, VI, FI, GI, RA, FE, MT, BR, WI" 감염 파일 내부의 암호를 풀어보면 다음과 같은 문자열이 포함 되어 있다. "[FCL virus ] Nice Meet You See AgainNO WORK LAW"