CIH 바이러스
"오늘의AI위키"의 AI를 통해 더욱 풍부하고 폭넓은 지식 경험을 누리세요.
1. 개요
CIH 바이러스는 1998년 대한민국에서 처음 발견된 컴퓨터 바이러스로, 윈도우 9x 운영체제를 감염시켜 하드 디스크의 데이터를 파괴하고 BIOS를 손상시키는 특징을 가지고 있다. 이 바이러스는 PE 파일 형식을 통해 전파되었으며, 1999년 4월 26일에 아시아 지역에서 급속도로 확산되어 큰 피해를 입혔다. CIH는 하드 디스크의 첫 번째 메가바이트를 0으로 덮어쓰고, 특정 BIOS를 공격하여 컴퓨터를 사용 불능 상태로 만들 수 있었다. CIH 바이러스는 다양한 변종을 가지고 있으며, 대한민국을 포함한 여러 국가의 사이버 보안 인식 제고 및 관련 법규와 정책 변화에 영향을 미쳤다.
더 읽어볼만한 페이지
- 1990년대 해킹 - 나타스
나타스는 다형성 코드와 스텔스 기능을 가진 1992년 멕시코 발견 바이러스로, MBR, 부트 섹터, COM, EXE 파일 등을 감염시켜 확산하며 미국 시크릿 서비스 시스템을 감염시키고 아메리카, 유럽, 아시아, 대한민국 등지로 확산되었다. - 1990년대 해킹 - 멀리사 웜
멜리사 웜은 1999년 이메일을 통해 빠르게 확산되어 인터넷 트래픽 급증과 이메일 시스템 마비 등의 사회·경제적 피해를 야기한 컴퓨터 웜으로, 웜과 바이러스에 대한 경각심을 높이는 계기가 되었다. - 2000년대 해킹 - 님다
2001년에 발견된 님다는 전자 우편, 네트워크 공유, 감염된 웹사이트, IIS 서버 취약점, 백도어 등 다양한 경로를 통해 빠르게 확산된 강력한 컴퓨터 웜으로, 이메일 읽기만으로도 감염될 수 있고 발신자 주소 위장이 가능하여 피해를 키웠다. - 2000년대 해킹 - ILOVEYOU
ILOVEYOU는 2000년 5월 전 세계에 막대한 피해를 준 웜 바이러스로, "I LOVE YOU"라는 제목의 이메일과 악성 첨부파일, 사회 공학적 기법, 윈도우 시스템 취약점 등을 이용하여 빠르게 확산되어 컴퓨터 바이러스 역사상 가장 파괴적인 사례 중 하나로 기록되었다. - 컴퓨터 바이러스 - 님다
2001년에 발견된 님다는 전자 우편, 네트워크 공유, 감염된 웹사이트, IIS 서버 취약점, 백도어 등 다양한 경로를 통해 빠르게 확산된 강력한 컴퓨터 웜으로, 이메일 읽기만으로도 감염될 수 있고 발신자 주소 위장이 가능하여 피해를 키웠다. - 컴퓨터 바이러스 - ILOVEYOU
ILOVEYOU는 2000년 5월 전 세계에 막대한 피해를 준 웜 바이러스로, "I LOVE YOU"라는 제목의 이메일과 악성 첨부파일, 사회 공학적 기법, 윈도우 시스템 취약점 등을 이용하여 빠르게 확산되어 컴퓨터 바이러스 역사상 가장 파괴적인 사례 중 하나로 기록되었다.
| CIH 바이러스 | |
|---|---|
| 개요 | |
 | |
| 명칭 | |
| 전체 이름 | CIH 바이러스 |
| 일반 명칭 | CIH 바이러스 |
| 기술 명칭 | 해당 사항 없음 |
| 다른 이름 | 체르노빌 (Chernobyl) 스페이스필러 (Spacefiller) |
| 분류 | |
| 유형 | 컴퓨터 바이러스 |
| 하위 유형 | 윈도우 9x |
| 발생 정보 | |
| 최초 발견일 | 해당 사항 없음 |
| 발견 장소 | 해당 사항 없음 |
| 제작 국가 | 타이완 |
| 제작자 | 천잉하오 (CIH) |
| 피해 규모 | |
| 경제적 피해 | 10억 신 타이완 달러 약 미국 달러 |
| 추가 정보 | |
| 참고 사항 | CIH 바이러스는 윈도우 9x 운영체제에서 작동하는 컴퓨터 바이러스이다. 체르노빌 바이러스라고도 불린다. |
2. 역사
CIH 바이러스는 1998년에 처음 등장하여 1999년 4월 26일에 아시아 지역을 중심으로 큰 피해를 입혔다. CIH는 호스트 컴퓨터의 시동 드라이브의 첫 1024KB를 0으로 채우고 특정 종류의 바이오스를 공격하여 컴퓨터를 작동 불능 상태로 만들었다. 그러나 기술적으로 BIOS 칩을 교체하고 하드 디스크 데이터를 복구하는 방법이 있었다.
CIH는 주로 윈도우 9x 계열 (95, 98, Me) 운영 체제에만 영향을 미쳤기 때문에, 현재는 해당 운영 체제의 사용 감소와 바이러스에 대한 인식 증가로 인해 과거만큼 큰 위협이 되지 않는다.
2001년에는 러브레터 웜의 변종이 CIH 바이러스의 드로퍼 루틴을 포함한 채 제니퍼 로페즈의 누드 사진으로 위장하여 유포되기도 했으며, 2002년 12월에는 CIH.1106이라는 변종이 발견되었지만 큰 영향은 없었다.
2. 1. 초기 발견 및 확산 (1998년 ~ 1999년)
1998년 6월, 대한민국에서 한 PC 통신 자료실에 올라온 동영상 뷰어 "무비 플레이어 1.46"을 통해 CIH 바이러스가 처음 발견되었다. 같은 해 9월, 야마하는 바이러스에 감염된 CD-R400 드라이브의 펌웨어 업데이트를 실시했다.[13] 10월에는 액티비전의 게임 신의 데모 버전이 미러 사이트 중 하나를 통해 감염되었다.[13]1999년 3월, 수천 대의 IBM 앱티바 PC가 CIH 바이러스에 감염된 채 출고되었다.[14] 7월, 원격 관리 도구인 백 오리피스 2000의 사본이 CIH에 감염된 채 DEF CON 7 참석자들에게 배포되었다.[6] 12월 31일, 야마하는 CIH 바이러스에 감염된 CD-R400 드라이브 소프트웨어 업데이트를 배포했다.[7]
2. 2. 1999년 4월 26일의 피해
1999년 4월 26일에 CIH가 아시아 지역에 급속히 확산되었다. CIH는 호스트 운영 체제 시동 드라이브의 첫 1024 KB를 0으로 채우고 특정 종류의 바이오스를 공격했다. 이로 인해 호스트 컴퓨터가 작동하지 않게 되었으며, 특히 초보자들이 사용하는 개인용 컴퓨터가 파괴되었다. 그러나 기술적으로 바이오스 칩을 교체할 수 있었고, 이후 하드 디스크 데이터를 복구하는 방법도 있었다.[14]2. 3. 현재 상황
CIH는 윈도우 9x (95, 98, Me) 운영 체제에만 영향을 미치기 때문에 현재는 이 운영체제들이 많이 쓰이지 않아 그리 큰 영향을 미치지 않는다.[13] 오래된 윈도우 9x 운영 체제에만 영향을 미친다는 사실과 위협에 대한 인식이 높아져서 과거만큼 널리 퍼져 있지 않다.2001년에는 러브레터 웜의 변종이 VBS 파일로 등장하여 CIH 바이러스의 드로퍼 루틴을 포함한 채 제니퍼 로페즈의 누드 사진으로 위장하여 인터넷에 유포되면서 다시 등장하기도 했다.
CIH.1106이라는 바이러스의 수정된 버전은 2002년 12월에 발견되었지만, 널리 퍼져 있지는 않으며 윈도우 9x 기반 시스템에만 영향을 미친다.[9]
2. 4. 변종 바이러스
2002년 12월, CIH.1106 변종 바이러스가 발견되었으나 큰 영향은 없었다.[9] 2001년에는 러브레터 웜의 변종이 제니퍼 로페즈의 누드 사진으로 위장하여 인터넷에 유포되었는데, 이 변종은 CIH 바이러스의 드로퍼 루틴을 포함하고 있었다.그 외에도 다양한 변종이 존재한다:
| 별칭 | 설명 |
|---|---|
| CIH v1.2/CIH.1003 | 가장 흔한 변종으로 4월 26일에 활성화된다. CIH v1.2 TTIT|CIH v1.2 TTIT영어 문자열을 포함한다. |
| CIH v1.3/CIH.1010.A 및 CIH1010.B | 4월 26일에 활성화된다. CIH v1.3 TTIT|CIH v1.3 TTIT영어 문자열을 포함한다. |
| CIH v1.4/CIH.1019 | 매월 26일에 활성화된다. CIH v1.4 TATUNG|CIH v1.4 TATUNG영어 문자열을 포함한다. |
| CIH.1049 | 4월 26일 대신 8월 2일에 활성화된다. |
CIH는 윈도우 9x 운영체제 환경에서 PE 파일 형식을 통해 전파되며, 약 1킬로바이트 크기로 파일 내 빈 공간에 자신을 삽입하는 특징을 가진다. 이 때문에 "스페이스필러"라는 별명으로도 불린다. CIH는 프로세서 보호 링을 이용하여 시스템 호출을 후킹한다.[10]
3. 바이러스의 작동 방식
CIH는 크게 두 가지 페이로드를 가지고 있다. 첫 번째는 하드 디스크 드라이브의 첫 메가바이트(1024KB)를 0으로 덮어씌워 마스터 부트 레코드를 삭제하는 것이고, 두 번째는 플래시 BIOS에 쓰기를 시도하여 부팅 코드를 손상시키는 것이다. 첫 번째 페이로드의 경우, FAT32 파일 시스템에서는 일부 데이터 복구가 가능하지만, 그렇지 않은 경우에는 데이터 복구가 어려울 수 있다. 두 번째 페이로드가 성공하면 컴퓨터가 아예 시작되지 않으며, BIOS 칩을 재프로그래밍하거나 교체해야 한다.[10]
CIH가 BIOS 쓰기에 성공하는지는 플래시 ROM 칩의 유형에 따라 다르며, 특정 칩에 대한 쓰기 활성화 루틴만을 가지고 있어 모든 컴퓨터에서 BIOS 손상을 일으키지는 않는다.[10]
3. 1. 감염 방식
CIH는 윈도우 95, 윈도우 98, 윈도우 ME와 같은 윈도우 9x 기반 운영체제에서 PE 파일 형식으로 전파된다. 윈도우 NT 기반 운영체제나 윈도우 3.x 이하와 같은 Win16 기반 운영체제에서는 전파되지 않는다.[10]
CIH는 PE 파일 내 섹션 간의 빈 공간에 바이러스 코드를 작은 조각으로 나누어 삽입하고, PE 헤더의 사용하지 않는 공간에 자체 코드 세그먼트의 위치에 대한 작은 재조립 루틴과 테이블을 기록하는 방식으로 PE 파일을 감염시킨다. 이 때문에 "스페이스필러"라는 다른 이름도 얻었다. 바이러스 크기는 약 1 킬로바이트이지만, 새로운 다중 캐비티 감염 방식 때문에 감염된 파일은 전혀 커지지 않는다. 이는 프로세서 보호 링 3에서 0으로 점프하여 시스템 호출을 후킹하는 방식을 사용한다.
3. 2. 페이로드
CIH의 페이로드는 매우 위험하다고 간주되는데, 첫 번째 페이로드는 하드 디스크 드라이브의 첫 번째 메가바이트(1024KB)를 디스크 섹터 0부터 시작하여 0으로 덮어쓰는 것이다. 이것은 마스터 부트 레코드의 내용을 삭제하며, 컴퓨터가 멈추거나 블루 스크린 오브 데스를 유발할 수 있다.[10] 이 경우, 바이러스가 0으로 덮어쓴 모든 정보는 손실된다. 첫 번째 파티션이 FAT32이고 약 1기가바이트 이상인 경우, 덮어쓰이는 것은 마스터 부트 레코드, 파티션 테이블, 첫 번째 파티션의 부트 섹터 및 첫 번째 파티션의 FAT의 첫 번째 복사본뿐이다. MBR과 부트 섹터는 표준 버전의 복사본으로 간단히 대체할 수 있다. 파티션 테이블은 전체 드라이브를 스캔하여 다시 구축할 수 있으며, FAT의 첫 번째 복사본은 두 번째 복사본에서 복원할 수 있다. 즉, [http://www.grc.com/cih.htm Fix CIH]와 같은 도구를 사용하여 사용자 데이터 손실 없이 완전한 복구를 자동으로 수행할 수 있다.[10]
두 번째 페이로드는 플래시 BIOS에 쓰기를 시도한다. 바이러스에 의해 성공적으로 쓰여질 수 있는 BIOS는 중요한 부팅 시간 코드가 정크 코드로 대체된다. 이 루틴은 일부 컴퓨터에서만 작동하는데, 인텔 430TX 칩셋 기반의 마더보드를 가진 컴퓨터에서 주로 발생했다.[10] CIH가 컴퓨터의 BIOS에 쓰기를 성공하는 가장 중요한 변수는 컴퓨터에 있는 플래시 ROM 칩의 유형이다. 다른 플래시 ROM 칩(또는 칩 제품군)은 해당 칩에 특정한 쓰기 활성화 루틴을 가지고 있다. CIH는 피해자 컴퓨터의 플래시 ROM 유형을 테스트하려는 시도를 하지 않으며, 하나의 쓰기 활성화 시퀀스만 가지고 있다.[10]
두 번째 페이로드가 성공적으로 실행되면 컴퓨터가 전혀 시작되지 않는다. CIH가 영향을 줄 수 있는 대부분의 시스템이 BIOS 복원 기능을 갖추기 전에 출시되었으므로 플래시 BIOS 칩을 다시 프로그래밍하거나 교체해야 한다.[10]
3. 3. 기술적 특징
CIH는 윈도우 95, 윈도우 98, 윈도우 ME와 같은 윈도우 9x 기반 운영체제에서 PE 파일 형식으로 전파된다. CIH는 윈도우 NT 기반 운영체제나 윈도우 3.x 이하와 같은 Win16 기반 운영체제에서는 전파되지 않는다.[10]
CIH는 PE 파일 내 섹션 간의 빈 공간에 바이러스 코드를 작은 조각으로 나누어 삽입하고, PE 헤더의 사용하지 않는 공간에 자체 코드 세그먼트의 위치에 대한 작은 재조립 루틴과 테이블을 기록하는 방식으로 PE 파일을 감염시킨다. 이 때문에 CIH는 "스페이스필러"라는 다른 이름도 얻었다. 바이러스의 크기는 약 1킬로바이트이지만, 새로운 다중 캐비티 감염 방식 때문에 감염된 파일은 전혀 커지지 않는다. 이는 프로세서 보호 링 3에서 0으로 점프하여 시스템 호출을 후킹하는 방식을 사용한다.
매우 위험하다고 간주되는 페이로드는 먼저 바이러스가 하드 디스크 드라이브의 첫 번째 메가바이트(1024KB)를 디스크 섹터 0부터 시작하여 0으로 덮어쓰는 것이다. 이것은 마스터 부트 레코드의 내용을 삭제하며, 컴퓨터가 멈추거나 블루 스크린 오브 데스를 유발할 수 있다.
두 번째 페이로드는 플래시 BIOS에 쓰기를 시도한다. 바이러스에 의해 성공적으로 쓰여질 수 있는 BIOS는 중요한 부팅 시간 코드가 정크 코드로 대체된다. 이 루틴은 일부 컴퓨터에서만 작동한다. 인텔 430TX 칩셋 기반의 마더보드를 가진 컴퓨터에 많은 강조가 주어졌지만, CIH가 컴퓨터의 BIOS에 쓰기 성공의 가장 중요한 변수는 컴퓨터에 있는 플래시 ROM 칩의 유형이다. 다른 플래시 ROM 칩(또는 칩 제품군)은 해당 칩에 특정한 쓰기 활성화 루틴을 가지고 있다. CIH는 피해자 컴퓨터의 플래시 ROM 유형을 테스트하려는 시도를 하지 않으며, 하나의 쓰기 활성화 시퀀스만 가지고 있다.
첫 번째 페이로드의 경우, 바이러스가 0으로 덮어쓴 모든 정보는 손실된다. 첫 번째 파티션이 FAT32이고 약 1기가바이트 이상인 경우, 덮어쓰여지는 것은 마스터 부트 레코드, 파티션 테이블, 첫 번째 파티션의 부트 섹터 및 첫 번째 파티션의 FAT의 첫 번째 복사본뿐이다. MBR과 부트 섹터는 표준 버전의 복사본으로 간단히 대체할 수 있다. 파티션 테이블은 전체 드라이브를 스캔하여 다시 구축할 수 있으며, FAT의 첫 번째 복사본은 두 번째 복사본에서 복원할 수 있다.
첫 번째 파티션이 FAT32가 아니거나 1GB보다 작은 경우, 해당 파티션의 사용자 데이터 대부분은 여전히 온전하지만, 루트 디렉토리와 FAT가 없으면 특히 상당한 단편화가 있는 경우 데이터를 찾기가 어려울 것이다.
두 번째 페이로드가 성공적으로 실행되면 컴퓨터가 전혀 시작되지 않는다. CIH가 영향을 줄 수 있는 대부분의 시스템이 BIOS 복원 기능을 갖추기 전에 출시되었으므로 플래시 BIOS 칩의 재 프로그래밍 또는 교체가 필요하다.
4. 피해 복구 방법
CIH 바이러스로 인해 데이터나 시스템이 손상된 경우 다음과 같이 복구할 수 있다.
데이터가 손실된 경우, 첫 번째 파티션이 FAT32이고 1GB 이상이면 복구 가능성이 높다. 마스터 부트 레코드(MBR) 등을 복구하고, FAT의 두 번째 복사본으로 첫 번째 복사본을 복원할 수 있다. [http://www.grc.com/cih.htm Fix CIH] 같은 도구를 사용하면 자동 복구가 가능하다.[10]
첫 번째 파티션이 FAT32 형식이 아니거나 1GB 미만이면, 사용자 데이터 대부분은 남아있지만 복구가 어려울 수 있다.[10]
바이오스가 손상되면 플래시 BIOS 칩을 다시 프로그래밍하거나 교체해야 한다.[10]
4. 1. 데이터 복구
CIH 바이러스에 의해 데이터가 손실된 경우, 첫 번째 파티션이 FAT32이고 1 GB 이상이면 복구 가능성이 높다. 이 경우 마스터 부트 레코드(MBR), 파티션 테이블, 첫 번째 파티션의 부트 섹터, 그리고 FAT의 첫 번째 복사본이 0으로 덮어쓰여진다.[10] 하지만 MBR과 부트 섹터는 표준 버전으로 쉽게 교체할 수 있고, 파티션 테이블은 전체 드라이브를 스캔하여 복구할 수 있다. 또한 FAT의 첫 번째 복사본은 두 번째 복사본을 통해 복원 가능하다. 따라서 [http://www.grc.com/cih.htm Fix CIH]와 같은 도구를 사용하면 사용자 데이터 손실 없이 자동으로 복구할 수 있다.[10]만약 첫 번째 파티션이 FAT32 형식이 아니거나 1GB 미만이라면, 사용자 데이터 대부분은 남아있지만 루트 디렉토리와 FAT가 손상되어 데이터를 찾기 어려울 수 있다. 특히 데이터가 단편화된 경우 복구가 더욱 복잡해진다.[10]
4. 2. 바이오스 복구
두 번째 페이로드가 성공적으로 실행되면 컴퓨터가 전혀 시작되지 않는다. CIH가 영향을 줄 수 있는 대부분의 시스템이 BIOS 복원 기능을 갖추기 전에 출시되었으므로, 플래시 BIOS 칩을 재프로그래밍하거나 교체해야 한다.[10]5. 한국 사회에 미친 영향
(이전 출력이 없으므로, 수정할 내용이 없습니다. 원본 소스와 함께 이전 출력을 제공해주시면 수정 작업을 진행하겠습니다.)
참조
[1]
웹사이트
從CIH「重裝駭客」變身「除錯超人」
http://www.ithome.co[...]
2006-08-25
[2]
웹사이트
從駭電腦到愛旅行─昔日網路小子陳盈豪 - 親子天下雜誌8期 - 陳盈豪,網路世界,宅男,網路沉迷
http://www.parenting[...]
2013-06-07
[3]
웹사이트
打擊駭客,不再無法可施 - 安全常識 - 法務部行政執行署嘉義分署
http://www.cyy.moj.g[...]
行政執行署嘉義行政執行處
2005-12-10
[4]
웹사이트
What is the Chernobyl Virus? (with pictures)
http://www.easytechj[...]
2023-02-16
[5]
웹사이트
Some Aptivas shipped with CIH virus
http://www.cnn.com/T[...]
1999-04-07
[6]
웹사이트
Back Orifice CDs infected with CIH virus - Tech News on ZDNet
http://news.zdnet.co[...]
1999-07-14
[7]
웹사이트
US Report: Gamers believe Activision's 'SiN' carries CIH virus
http://news.zdnet.co[...]
1998-07-28
[8]
웹사이트
Is the CIH virus on the endangered list?
https://www.zdnet.co[...]
1999-05-25
[9]
웹사이트
Virus:DOS/CIH
https://www.f-secure[...]
2021-12-07
[10]
웹사이트
Virus:DOS/CIH {{!}} F-Secure Labs
https://www.f-secure[...]
2023-11-05
[11]
웹사이트
http://www.symantec.[...]
[12]
웹사이트
http://www.4000news.[...]
[13]
웹인용
US Report: Gamers believe Activision's 'SiN' carries CIH virus
http://news.zdnet.co[...]
2014-06-30
[14]
웹사이트
CNN - Some Aptivas shipped with CIH virus - April 8, 1999
http://www.cnn.com/T[...]
1999-04-08
본 사이트는 AI가 위키백과와 뉴스 기사,정부 간행물,학술 논문등을 바탕으로 정보를 가공하여 제공하는 백과사전형 서비스입니다.
모든 문서는 AI에 의해 자동 생성되며, CC BY-SA 4.0 라이선스에 따라 이용할 수 있습니다.
하지만, 위키백과나 뉴스 기사 자체에 오류, 부정확한 정보, 또는 가짜 뉴스가 포함될 수 있으며, AI는 이러한 내용을 완벽하게 걸러내지 못할 수 있습니다.
따라서 제공되는 정보에 일부 오류나 편향이 있을 수 있으므로, 중요한 정보는 반드시 다른 출처를 통해 교차 검증하시기 바랍니다.
문의하기 : help@durumis.com