CIH 바이러스

최근 수정 시각:

분류


1. 소개2. 증상3. 특징4. 대한민국에서는5. 진영호 체포, 그 이후...

1. 소개[편집]

파일:attachment/cheninghau.jpg

이 사람이 바로 전세계 PC를 초토화시킨 장본인. 하지만 안철수연구소에는 평생의 은인

진단명 Win95/CIH. 1999년, 전세계의 PC를 초토화시키면서 사람들에게 컴퓨터 바이러스가 얼마나 무서운지 인식시켜준 바이러스[1]

당시, 대만의 대동대학(大同大學)에 재학 중이던 학생인 첸잉하오(陳盈豪, 진영호)가 만든 바이러스로, Intel 32비트 어셈블리어(Turbo Assembler)로 작성되어 있다. [2]

이 사건 이후 2000년 이후에 생산된 메인보드에는 바이오스 변조(또는 손상) 방지 기술이 적용하게 되었다.

2. 증상[편집]


각종 컴퓨터 바이러스 증상을 영상으로 모아둔 danooct1의 유튜브에 업로드된 실행영상. 이 영상은 한국인 유저가 해당 영상에 자막을 제안해서, 정식 한글 자막으로도 볼수 있다.


가상머신에서 실행한 결과. 참고로 알집 설치 파일은 CIH 바이러스에 감염된 상태다. 따라서 실행해서 설치를 진행하다가 블루스크린이 뜨거나 설치 후 몇 초 지난 후 블루스크린이 뜨기도 한다.

Windows Me에서 실행시

바이러스가 감염된 상태에서 매년 4월 26일 Windows의 부팅이 완료되면 즉시 BIOS와 하드디스크의 모든 데이터를 날려버린다. 따라서 컴퓨터 본체 전원 버튼을 백날 눌러보거나 뒷쪽 전원 스위치를 백날 올렸다 내렸다 해봐야 본체에는 전원 불만 올라오고 화면에 아무것도 뜨질 않는다. 망했어요

당시 유행하던 부트 바이러스류는 끽해봐야 하드디스크의 MBR[3] 이나 FAT[4] 인덱스 등을 날려버리는 것이었기 때문에 EEPROM 내부에 저장된 펌웨어를 조작하는 이 바이러스는 그야말로 신세계였다.

체르노빌 원전 폭발이 4월 26일이었기 때문에 당시 언론에서는 '체르노빌 바이러스' 등으로 소개했지만, 체르노빌 원전과는 아무 관련이 없다. 바이러스의 이름인 CIH는 제작자의 이름(Chen Ing-Hau)에서 따온 것이다.

컴퓨터 상의 모든 실행파일에 감염을 시키는데, 종래의 바이러스와는 달리 파일 속에서 빈 공간을 찾아 덮어쓰는 방식을 썼기 때문에 바이러스에 감염됐다고 파일 용량의 차이가 발생하지 않는다.[5] 작업 관리자를 보면 바이러스가 실행되고 있다는 것을 알 수 있다. 만약 바이러스 시작후에 랜덤으로 용용 프로그램을 시작하면 앞으로 그 용용 프로그램 대신에 CIH 바이러스가 실행된다. 그리고 4월 26일에 바이러스에 감염된 용용 프로그램을 시작하면 블루스크린이 발생하고 Vxd에서 어쩌고저쩌고 호출되었습니다 라고 쓰여있다. 아무키나 누르면 작업표시줄만 보일 뿐 PC가 먹통이 되어있다. 그대로 재부팅하면 끝.

바이러스 코드의 용량은 딸랑 1KB. 이 1KB 용량으로 코딩된 바이러스가 전세계 컴퓨터를 초토화시켰으니...

3. 특징[편집]

후술할 아래 항목의 경우를 제외하면 바이러스 감염이 되었다는 티가 전혀 나지 않기 때문에, 당시 유명하던 주요 쉐어웨어(MoviePlayer, Winamp 등)의 정식 배포판이 바이러스에 감염된 채로 통신망에 배포되어 수많은 PC에 감염을 시켰다. 국내의 경우도 학습용 CD 등에 바이러스가 감염된 채로 프로그램이 CD에 수록[6]되어 팔려나가 바이러스를 전파시켰다.

하지만 몇 가지 버그가 있었다.

  1. Winzip Self Extractor로 만든 실행 압축파일에 감염되면, CRC 체크에서 에러를 내며 실행압축을 작동시킬 수 없다. 따라서 컴퓨터 사용자는 파일에 변화가 생겼음을 알 수 있다.

  2. 인터넷 익스플로러에서 아이디, 패스워드, 텍스트 등을 입력하는 폼이 포함되어 있을 경우 동작이 매우 느려진다.

  3. 2와 같은 이유로, 스타크래프트에서 멀티 플레이어 모드를 선택 시 멀티플레이 타입 선택창[7]이 매우 늦게 뜬다.
    1~3번에 대해서 정리하자면, 진영호는 감염된 파일에 영향이 전혀 없게끔 설계했으나 생각대로 돌아가지 않은 것이다.

  4. 윈도우 NT계열에는 절대로 감염 및 활동하지 못한다.
    첫번째 이유는 이 바이러스의 파일 감염 방식에 있다. 윈도우 NT 시대로 오면서 많은 실행 파일들이 빈 공간을 거의 만들지 않게 되면서, 파일 속에서 빈 공간을 찾아 감염시키는 방식은 생명력을 잃었다. 두번째 이유는 CIH 바이러스가 윈도우 9x/Me 시절에 존재했던 운영체제 버그[8][9]를 이용해 시스템을 장악해 파일 감염, 시스템 파괴 활동을 일으켰는데 이 버그는 윈도우 NT 계열로 오면서 말끔히 패치되었다. 다만, 윈도우 XP에서 작동하게 할 방법이 있긴하다.


하지만 당시 국내 환경은 서버가 아닌 이상[10] 대부분 Windows 95 아니면 Windows 98이었다.

4. 대한민국에서는[편집]

1998년 4월 26일에 제작되어 통신망을 통해 유포되었다. 국내에는 1998년 6월에 상륙.

백신 업계에서는 바이러스의 위험성이 큰 것을 파악하고, 언론에 바이러스의 위험성을 경고했으나 언론은 가볍게 무시하고.....

1999년 4월 26일. 대재앙이 시작되었다. 우리나라 관공서, 회사 사무실, 가정용 PC 할 것 없이 수많은 컴퓨터가 먹통이 되는 상태가 되어버렸다. [11] 그리고 백신업체 및 데이터 복구업체 역시 폭발적으로 쏟아지는 복구상담에 패닉상태가 되고... 사무실 PC가 죽어버렸으니 당장에 업무를 할 수가 없는 사태가 벌어진 것이다. 메인보드의 바이오스가 담긴 플래시 롬을 날려버렸기 때문에 전문적인 장비와 기술[12]이 없는 일반인은 손쓸 도리가 없다.

안철수연구소하우리소프트 등 당시 국내의 몇 안 되는 백신 관련 소프트웨어 업체는 이 날부터 그야말로 대전쟁을 치렀고 이들 회사의 인지도 및 주가는 폭등했다.

5. 진영호 체포, 그 이후...[편집]

첫 활동을 개시한 이후, 현지 경찰에 바로 체포됐다.[13] 백신 프로그램이 값도 비싸면서 제대로 바이러스 치료를 해주지 않았던 것에 대해 앙심을 품고 바이러스를 만들었다고 진술했다. 하지만, 그의 행위를 범죄로 규정할 수 있는 법규가 그 시대에서 존재하지 않았기에 풀려나서, 미국리눅스 관련 회사에 스카웃되어 엔지니어로 활동한 이후, 현재는 본국으로 돌아와 GIGABYTE에서 엔지니어로 활동하고 있다. 기가바이트의 전매특허인 듀얼 바이오스는 이 때문에 생겨난 듯?

그리고 더 이상 바이러스는 만들지 않겠다며 반성하는 의미로 CIH 바이러스를 치료해주는 백신을 만들어 배포했으며, 그 이후 CIH 외의 다른 바이러스도 치료하는 백신도 만들어 배포했다.

[1] 안철수안철수연구소 대표 증언으로, 저 바이러스 소식이 바로 대한민국 최초로 IT뉴스가 9시 뉴스데스크를 탄 날이라고 한다.[2] 바이러스의 원시 프로그램(소스 코드)은 이곳에 공개되어 있다.[3] Master Boot Record. 하드디스크의 0번 섹터(통상 512바이트)에 존재. 부팅 후 가장 먼저 수행되는 프로그램인 부트 로더(Boot Loader)와 파티션 구성 정보가 들어있다.[4] File Allocation Table. FAT12/FAT16/FAT32 파일 시스템에서 파일들의 정보를 보관하는 테이블이다.[5] 파일을 감염시키는 기존 DOS 시절 바이러스의 경우 감염이 되면 파일의 용량이 KB 단위로 조금 커진다.[6] CD 그것도 CD-ROM은 한 번 기록하면 삭제나 변경할 수 없다. 여러번 쓰기 작업이 가능한 CD는 CD-RW 뿐이다.[7] 모뎀으로 할지, IPX 플레이로 할지, 배틀넷으로 할지 선택하는 화면[8] 커널모드에서만 사용 가능했던 Privileged Instruction를 사용자 모드의 일반 응용 프로그램에서 충분히 사용할수 있었던 버그[9] Ring0 권한 취득은 사실상 합법적 루트였기에 MS에 의해 막을수가 없었다. 이는 디버거를 위한 서비스였기 때문이다[10] 중/소규모는 Windows NT, 대규모는 유닉스 기반이였다.[11] PC 30만 대가 피해를 입었다고 알려져 있다.[12] 바이러스에 감염되지 않은 동종의 바이오스가 탑재된 메인보드 및 롬 라이터가 필요함.[13] 바이러스 코드속에 CIH Source : TTIT of TATUNG in Taiwan이라는 주석이 존재하며, 대동대학 본교에서도 우리학교에서 이런 바이러스를 만들었다고 자체적으로 보도를 했다.