CIH 바이러스

상위항목 : 바이러스(컴퓨터)

1 소개

이 사람이 바로 전세계 PC를 초토화시킨 장본인. ~~하지만 안철수연구소에는 평생의 은인~~

진단명 Win95/CIH. 1999년 전 세계 퍼스널컴퓨터를 초토화시키면서 사람들에게 컴퓨터 바이러스가 얼마나 무서운지 인식시켜준 바이러스^[1]

당시 대만의 대동대학(大同大學)에 재학중이던 학생인 천잉하오(陳盈豪, 진영호)가 만든 바이러스로, Intel 32비트 어셈블리어(Turbo Assembler)로 작성되어 있다. ^[2]

2 증상

바이러스가 감염된 상태에서 매년 4월 26일 컴퓨터를 켜는 즉시 플래시롬 및 하드디스크의 모든 자료를 날려버린다. 따라서 컴퓨터 스위치를 백날 눌러봐야 본체에는 전원 불만 올라오고 화면에 아무것도 뜨질 않는다.^[3]~~망했어요~~

당시 유행하던 부트 바이러스류는 끽해봐야 하드디스크의 MBR^[4] 이나 FAT^[5] 인덱스 등을 날려버리는 것이었기 때문에 EEPROM 플래시 메모리 내에 저장된 펌웨어를 조작하는 이 바이러스는 그야말로 신세계였다.

체르노빌 원전 폭발이 4월 26일이었기때문에 당시 언론에서는 '체르노빌 바이러스' 등으로 소개했지만, 체르노빌 원전과는 아무 관련이 없다. 바이러스의 이름인 CIH는 제작자의 이름(Chen Ing-Hau)에서 따온 것이다.

컴퓨터상의 모든 실행파일에 감염을 시키는데, 종래의 바이러스와는 달리 파일속에서 빈 공간을 찾아 덮어쓰는 방식을 썼기 때문에 바이러스에 감염됐다고 파일 용량의 차이가 발생하지 않는다. ^[6]

바이러스 코드의 용량은 딸랑 1KB. 1KB짜리 용량이 전세계 컴퓨터를 초토화시켰으니..

3 특징

후술할 아래 항목의 경우를 제외하면 바이러스 감염이 되었다는 티가 전혀 나지 않기때문에, 당시 유명하던 주요 쉐어웨어(MoviePlayer, Winamp 등)의 정식 배포판이 바이러스에 감염된 채로 통신망에 배포되어 수많은 PC에 감염을 시켰다. 국내의 경우도 학습용 CD등에 바이러스가 감염된 채로 프로그램이 CD에 수록^[7] 되어 팔려나가 바이러스를 전파시켰다.

하지만 몇가지 버그가 있었다.

Winzip Self Extractor로 만든 실행 압축파일에 감염되면, CRC 체크에서 에러를 내며 실행압축을 작동시킬 수 없다. 따라서 컴퓨터 사용자는 파일에 변화가 생겼음을 알 수 있다.

2. 인터넷 익스플로러에서 아이디, 패스워드, 텍스트 등을 입력하는 폼이 포함되어 있을경우 동작이 매우 느려진다.

3. 2와 같은 이유로, 스타크래프트에서 멀티플레이어 모드를 선택 시 멀티플레이 타입 선택창^[8] 이 매우 늦게 뜬다.

1~3번에 대해서 정리하자면, 진영호는 감염된 파일에 영향이 전혀 없게끔 설계했으나 생각대로 돌아가지 않은 것이다.

4. 윈도우 NT계열에는 감염 및 활동하지 못한다.

첫번째 이유는 이 바이러스의 파일 감염 방식에 있다. 윈도우 NT 시대로 오면서 많은 실행 파일들이 빈 공간을 거의 만들지 않게 되면서, 파일 속에서 빈 공간을 찾아 감염시키는 방식은 생명력을 잃었다. 두번째 이유는 CIH 바이러스가 윈도우 9x/Me 시절에 존재했던 운영체제 버그를 이용해 시스템을 장악해 파일 감염, 시스템 파괴 활동을 일으켰는데 이 버그는 윈도우 NT 계열로 오면서 패치되었다.

하지만 당시 국내환경은 서버가 아닌이상^[9] 대부분 윈도우 95 아니면 윈도우 98이었다. 그저 눈물..

4 대한민국에서는

1998년 4월 26일에 제작되어 통신망을 통해 유포되었다. 국내에는 1998년 6월에 상륙.

백신 업계에서는 바이러스의 위험성이 큰것을 파악하고 언론에 바이러스의 위험성을 경고했으나 언론은 가볍게 무시하고.....

1999년 4월 26일. 대재앙이 시작되었다. 우리나라 관공서, 회사 사무실, 가정용 PC 할것없이 수많은 컴퓨터가 먹통이 되는 상태가 되어버렸다. ^[10]그리고 백신업체 및 데이터 복구업체 역시 폭발적으로 쏟아지는 복구상담에 패닉상태가 되고.. 사무실 PC가 죽어버렸으니 당장에 업무를 할 수가 없는 사태가 벌어진 것이다. 메인보드의 바이오스가 담긴 플래시 롬을 날려버렸기 때문에 전문적인 장비와 기술^[11]이 없는 일반인은 손쓸 도리가 없다.

안철수연구소와 하우리소프트등 당시 국내의 몇 안되는 백신 관련 소프트웨어업체는 이날부터 그야말로 대전쟁을 치렀고 이들 회사의 인지도 및 주가는 폭등했다.

5 진영호 체포, 그 이후...

첫 활동을 개시한 이후, 현지 경찰에 바로 체포됐다. ^[12] 백신 프로그램이 값도 비싸면서 제대로 바이러스 치료를 해주지 않았던 것에 대해 앙심을 품고 바이러스를 만들었다고 진술했다. 하지만, 대만 국내에서 바이러스 증상을 호소하는 사람이 별로 없었다는 이유로 풀려난뒤, 미국의 리눅스 관련 회사에 스카웃되어 엔지니어로 활동한 이후, 현재는 본국으로 돌아와 GIGABYTE에서 엔지니어로 활동하고 있다. ~~기가바이트의 전매특허인 듀얼바이오스는 이 때문에 생겨난 듯?~~

그리고 더이상 바이러스는 만들지 않겠다며 반성하는 의미로 CIH 바이러스를 치료해주는 백신을 만들어 배포했으며, 그 이후 CIH 외의 다른 바이러스도 치료하는 백신도 만들어 배포했다.

↑ 안철수 前 안철수연구소 대표 증언으로, 저 바이러스 소식이 바로 대한민국 최초로 IT뉴스가 9시 뉴스데스크를 탄 날이라고 한다.
↑ 바이러스의 원시 프로그램(소스 코드)은 이곳에 공개되어 있다.
↑ 이유는 BIOS가 삭제가 되기 때문이다.
↑ Master Boot Record. 하드디스크의 0번 섹터(통상 512바이트)에 존재. 부팅 후 가장 먼저 수행되는 프로그램인 부트 로더(Boot Loader)와 파티션 구성 정보가 들어있다.
↑ File Allocation Table. FAT12/FAT16/FAT32 파일 시스템에서 파일들의 정보를 보관하는 테이블이다.
↑ 파일을 감염시키는 기존 DOS시절 바이러스의 경우 감염이 되면 파일의 용량이 KB 단위로 조금 커진다.
↑ CD는 한번 기록하면 삭제나 변경할 수 없다.
↑ 모뎀으로 할지, IPX 플레이로 할지, 배틀넷으로 할지 선택하는 화면
↑ 중/소규모는 Windows NT 대규모는 UNIX기반이였다
↑ PC 30만 대가 피해를 입었다고 알려져있다.
↑ 바이러스에 감염되지 않은 동종의 바이오스가 탑재된 메인보드 및 롬 라이터가 필요함
↑ 바이러스 코드속에 CIH Source : TTIT of TATUNG in Taiwan이라는 주석이 존재하며, 대동대학 본교에서도 우리학교에서 이런 바이러스를 만들었다고 자체적으로 보도를 했다.

[1] 안철수 前 안철수연구소 대표 증언으로, 저 바이러스 소식이 바로 대한민국 최초로 IT뉴스가 9시 뉴스데스크를 탄 날이라고 한다.

[2] 바이러스의 원시 프로그램(소스 코드)은 이곳에 공개되어 있다.

[3] 이유는 BIOS가 삭제가 되기 때문이다.

[4] Master Boot Record. 하드디스크의 0번 섹터(통상 512바이트)에 존재. 부팅 후 가장 먼저 수행되는 프로그램인 부트 로더(Boot Loader)와 파티션 구성 정보가 들어있다.

[5] File Allocation Table. FAT12/FAT16/FAT32 파일 시스템에서 파일들의 정보를 보관하는 테이블이다.

[6] 파일을 감염시키는 기존 DOS시절 바이러스의 경우 감염이 되면 파일의 용량이 KB 단위로 조금 커진다.

[7] CD는 한번 기록하면 삭제나 변경할 수 없다.

[8] 모뎀으로 할지, IPX 플레이로 할지, 배틀넷으로 할지 선택하는 화면

[9] 중/소규모는 Windows NT 대규모는 UNIX기반이였다

[10] PC 30만 대가 피해를 입었다고 알려져있다.

[11] 바이러스에 감염되지 않은 동종의 바이오스가 탑재된 메인보드 및 롬 라이터가 필요함

[12] 바이러스 코드속에 CIH Source : TTIT of TATUNG in Taiwan이라는 주석이 존재하며, 대동대학 본교에서도 우리학교에서 이런 바이러스를 만들었다고 자체적으로 보도를 했다.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]