러브 바이러스

1 개요

사랑하게 만드는 바이러스^[1]
손가락 발가락 오그리 토그리 만드는 바이러스 ^[2]
너무 사랑스러워서 아주그냥 죽여버리고 싶은 바이러스
얀데레 바이러스

정식명칭 LOVELETTER(러브레터) 혹은 ILOVEYOU(아이러브유). 시만텍에서는 VBS.LoveLetter.Var라고 분류하고 있다. 대한민국에는 러브바이러스로 많이 알려져 있다. 정확히 2000년에 처음 나와 전 세계적으로 유행했던 컴퓨터 바이러스로, 대한민국에도 수많은 컴퓨터가 감염되었다. 필리핀에서 처음 생긴 컴퓨터 바이러스이며, 제작자는 얼마 안돼 체포되었다.

제작자는 체포되었지만, 수많은 변종이 아직도 전세계에 떠돌고 있으며, 10년 이상 지난 지금도 하드디스크에 소중한 데이터를 꽉꽉 채우고 있는 사람들에겐 한번 감염되는 순간 그 공포는 충공깽 수준이다. 그 이유는 후술하다.

2 감염과 피해

제목 : I Love You

내용
kindly check the attached LOVELETTER coming from me

첨부파일
LOVE-LETTER-FOR-YOU.TXT.vbs

참고 영상
전자메일을 통해 감염되며, 위와같은 내용의 메일이 온다. 만악의 근원인 LOVE-LETTER-FOR-YOU.TXT.vbs를 실행하는 순간 감염된다.^[3]

가장 먼저 Outlook에 등록되어 있는 모든 메일주소로 위의 내용을 그대로 복제해서 보내며, 확장자가 vbs, vbe, js, css, wsh, sct, hta, jpg, jpeg, mp2, mp3인 모든 파일에 자신을 그대로 덮어씌워서 "I Love You"란 내용만이 적힌 스크립트 파일로 변해버리며, 원래있던 데이터는 모두 삭제된다. 이전 데이터는 완전히 삭제돼버리며 복구되지 않고, 남아있는건 "I Love You"란 단어뿐이다.... ^[4][5]아 그런 사랑 필요없는데

3 단순하지만 충공깽의 악성코드

이 악성코드는 다른 악성코드에 비해 커널에 접근하여 OS를 저세상으로 보낼 정도로 치명적인 악성코드는 아니다. 코드 자체도 Outlook에 접근하는 코드를 제외하면 그렇게 복잡하지 않다.

하지만 이 바이러스의 무서운 점은 이 바이러스가 "I Love You"라고 도배해버리는 파일들의 확장자다. 당장 초기버전만 해도 자바 스크립트 파일이나 HTML 파일은 코딩하는 사람들에게만 충공깽 이겠지만^[6], 그림파일인 JPEG와 MP3까지 날라갔다.

그런데 이후에 나오는 변종들은 이게 업그레이드 돼서 모든 그림파일 확장자와 모든 음악파일 확장자에, 비디오 파일 확장자까지 포함시키는 그야말로 충공깽 수준의 변종바이러스가 돌아다니고 있다.

하드디스크에 자기만의 소중한 데이터나 작업용 파일, 오덕용 자료 등 소중하게 모아온 자료들을 "I Love You"란 내용만 들어있는 10바이트 짜리의 vbs파일로 바꿔버리는 무자비함과, 간단한 코드때문에 강제종료할 틈도 없을 정도로 말그대로 순삭해버리는 괴랄같은 속도 때문에, 일단 한번이라도 당해본 사람은 vbs파일만 보더라도 공포를 느낄 정도(...)

바이러스에 감염된 순간 무언가 잘못됐다고 느껴서 강제종료 후 다시 컴퓨터를 켰을때 대부분의 그림, 음악, 비디오 파일들이 괴랄한 vbs파일로 바뀌어있고, 파일을 열어보면 뜨는 메세지는 "I Love You".

그리고 바이러스는 또 다시 가동된다...

4 동명의 다른 악성코드

4.1 Win95/Love

매월 1일마다 감염된 프로그램이 시작되면 PC의 메인보드에 내장된 내장 스피커에 비프 음으로 LG 로고송(사랑해요 LG)을 재생해 Win95/Love라는 진단명이 붙은 바이러스. 위 1번과 2번에 서술된 바이러스(VBS/Love_Letter)와는 다른 바이러스이다.헬지 사용자의 분노를 표현하기 위한 바이러스라 카더라

Windows 9x/Me 계열에서만 실행이 가능하다는 점과 실행 파일 섹션^[7] 사이의 빈 공간을 겹쳐 써 감염을 시킨다는 방식은 Win95/CIH (CIH 바이러스)와 매우 유사하다.

직접 분석을 해 보지는 않았지만 여러 정황과 시대적 배경(1999년 말)을 감안하면 소스 코드가 공개되었던 CIH 바이러스의 코드를 일부 수정해 감염 증상^[8]만 바꾼 바이러스가 아닐까 추정된다(자세한 내용은 후에 가지고 있는 샘플을 리버싱해 본 후에 추가할 예정). 실제로 이 당시 많은 바이러스들이 CIH 바이러스의 코드를 참조하거나 모태로 한 경우가 많았다. 크리스마스 바이러스로 알려졌던^[9] Win32/Kriz 역시 소스 코드를 살펴 보면 Win95/CIH 를 모태로 하고 있다. ^[10]

4.2 Win32/FunLove.4099

2000년대 초반에 굉장히 활동력이 강했던 파일 감염 바이러스. 네트워크 파일 공유를 통해 재감염이 일어날 수 있었기 때문.

파리떼 바이러스(Win32/Parite) 이전 세대에 님다 바이러스(Win32/Nimda)와 더불어 가장 전파력이 강했던 바이러스이다. 인터넷 자료실 등에서 게임 등을 다운로드 받아보면 이 바이러스에 감염된 경우가 많았다.

Win98 이상이라면 작업관리자를 실행했을 때 램에 상주된 FLCSS.exe 라는 파일을 확인할 수 있으며 감염파일 내부에는 ～Fun Loving Criminal～ 이라는 메시지가 있다.

1. ↑ 이런 낭만적인 의미로 쓰는 경우가 많기 때문에, 컴퓨터 바이러스를 의미하는 러브바이러스는 정말 찾기 힘들다. 러브레터 바이러스라고 검색하면 자료는 적지만 좀 더 명확하게 바이러스 정보를 분별해낼 수 있다.
2. ↑ 위의 낭만적인 내용에 중2병이 믹스되는 순간... 검색해보면 많이 나온다(...)
3. ↑ 과거 이 때 쯤의 웜 바이러스들은 메일로 확산될 때 대부분 이런 식으로 이중 확장자를 사용해 보내졌다(예: .txt.vbs, .jpg.exe, .jpg.scr, .mp3.scr, .jpeg.hta 등). 아웃룩 익스프레스에서 기본적으로 확장자를 감추기 때문이며, 이 웜의 경우는 vbs 파일의 아이콘이 텍스트 문서의 아이콘과 유사해 더욱 잘 속을 수 밖에 없었다.
4. ↑ 삭제된 파일은 파일 복구 프로그램을 이용해도 복구가 불가능하다. 바이러스가 파일을 삭제하기 전 파일의 내용을 바이러스 코드로 덮어씌운 다음 삭제하기 때문. 즉, 파일을 파일 복구 프로그램으로 찾아서 복구해도 바이러스 코드로 수정된 파일이 복구되는 것이다.
5. ↑ 그나마 불행 중 다행인 것은 확장자가 mp2, mp3인 파일은 바이러스가 삭제시키지 않고 숨겨놓기만 해서 탐색기의 폴더 옵션을 조정해서 숨겨진 파일도 보이게 한 뒤 파일 속성에서 숨김 특성을 풀면 원래대로 복구시킬 수 있다.
6. ↑ 작업파일 열어보니 코드 싹 지워져있고 "I Love You"만 남아있을때 느껴지는 허탈감과 충격과 공포는 관련업계 종사자라면 뼈저리게 알 것이다(...)
7. ↑ 정보를 담고 있는 하나의 블록 단위라고 이해하면 된다. 일반적인 윈도우 실행 파일(PE)은 명령어를 담고 있는 code 섹션(.text), 상수 값이나 변수 초기값을 담고 있는 data 섹션(.data), 아이콘 등 내장 리소스 데이터를 담고 있는 리소스 섹션(.rsrc), 실행 파일의 포인터 정보를 담고 있는 재배치 섹션(.reloc)으로 구성된다.
8. ↑ 전문 용어로 payload(페이로드)라고 부른다. Payload(페이로드)란 화물을 뜻하는 영어 단어인데, 컴퓨터 네트워크에서는 패킷의 실제 데이터를, 컴퓨터 바이러스에서는 활동 시 나타나는 악의적인 감염 증상을 뜻한다.
9. ↑ 매년 12/25일 CIH와 똑같은 하드 디스크 데이터 및 롬 바이오스 파괴 증상을 일으킨다.
10. ↑ Win32/Kriz 바이러스는 윈도우 NT 계열에서도 동작하는데, 이는 CIH 바이러스가 이용했던 인터럽트 테이블을 이용한 Ring0 권한 획득 버그가 NT 계열에서는 먹히지 않아, 대신 kernel32.dll 파일을 수정하는 방식으로 시스템을 장악해 NT 계열에서도 동작되게 만들었다. 물론 감염 방식도 CIH 바이러스의 겹쳐쓰기 방식 대신 섹션을 새로 추가해 코드를 담는 방식으로 바뀌었다. (즉, 감염되면 파일 크기가 증가한다)