앨라배마(컴퓨터 바이러스)
Alabama (computer virus) | 이 글에는 여러 가지 문제가 있다. 이 문제를 개선하거나 대화 페이지에서 토의하십시오. (이러한 템플릿 메시지를 제거하는 방법 및 시기 알아보기)
|
| 공용명 | 앨라배마 주 |
|---|---|
| 기술명 | 앨라배마 주 |
| 별칭 | 알라 |
| 가족 | 앨라배마 주 |
| 분류 | 바이러스 |
| 유형 | 도스 |
| 서브타입 | DOS 파일 감염자 |
| 격리 | 1989년 10월 |
| 고립점 | 예루살렘, 이스라엘 |
| 원산지 | 이스라엘 |
| 작성자 | 이스라엘 라다이 |
앨라배마는 1989년 10월 예루살렘 히브리 대학 캠퍼스에서 발견된 컴퓨터 바이러스다.[1]
감염
앨라배마는 어떤 파일을 감염시킬지 결정하는 이상한 행동 외에는 상당히 표준적인 파일 감염자다. 감염된 파일이 실행되면 앨라배마는 메모리 레지던트로 이동한다. 가 있을 때마다EXE 파일은 이 시점부터 실행되며 앨라배마는 감염될 다른 파일을 검색할 것이다. 바이러스 자체 대신 실행 중인 파일에 책임을 묻기 위한 의도일 것이다. 앨라배마에서 감염된 파일은 크기가 1,560바이트 증가한다.[2]
증상
앨라배마와 관련된 증상은 다음과 같다.
- EXE 파일은 감염 시 크기가 1,560바이트 증가한다.
- 금요일에는 앨라배마가 파일 할당 표의 수정을 시작할 것이다. 결과적으로, 파일이 실행될 때 다른 파일이 그 자리에 나타날 수 있다. 이것은 잠재적으로 위험하다. 자세한 내용은 페이로드 섹션을 참조하십시오.
- 감염된 프로그램이 실행된 후 한 시간 후에 앨라배마는 "소프트웨어 복사본 금지"라는 텍스트가 있는 깜박이는 상자를 꺼낼 것이다.국제법에 의한 ITED..............박스 1055 투삼비아 앨라배마 미국."
세 번째 증상은 앨라배마 감염의 가장 명확한 징후다. 바이러스의 PO 박스 주소가 무엇을 가리키는지는 알 수 없다. 하지만, 이 메시지의 의미는 앨라배마가 소프트웨어 해적 행위를 억제하기 위해 출시되었다는 것이다. 비슷한 동기 부여가 최초의 알려진 PC 바이러스인 브레인(Brain)을 탄생시켰다. 이 메시지는 또한 PO 박스가 저자의 것이 아닐 수도 있다는 것을 암시한다: 저자는 투삼비아가 도시가 아니기 때문에 앨라배마 주의 투섬비아를 분명히 의미했다. 이것은 그 바이러스가 이스라엘에서 발생했다는 이론을 뒷받침한다.
페이로드
금요일에는 앨라배마가 이상한 방식으로 파일 할당 테이블을 수정하기 시작할 것이다. 앨라배마는 감염시킬 파일을 검색하는 대신 상호 참조할 파일을 검색한다. 바이러스는 사용자가 한 파일을 실행할 때 다른 파일이 나타나도록 FAT 항목을 수정한다. 예를 들어 앨라배마가 상주하는 기계에서 금요일에 PROGRAM1.EXE를 실행하면 바이러스가 다른 프로그램을 검색하여 PROGRAM2.EXE를 찾을 수 있다. 그런 다음 앨라배마가 FAT를 수정하여 PROGRAM1.EXE가 실행될 때마다 PROGRAM2.EXE가 대신 표시되도록 할 것이다. 이것은 확실히 혼란을 초래할 수 있고, 프로그램이 분실되거나 잘못 삭제될 수 있다.
유병률
컴퓨터 바이러스를 추적하는 기관인 와일드리스트[1]는 앨라배마주가 현장에 있다고 보고한 적이 없다. 이스라엘에서 확산되는 것은 격리되었지만, 이것은 제한된 지역적 발병이었을지도 모른다.
윈도 등장 이후 성공적인 도스 바이러스조차 점점 희귀해졌다. 이와 같이 앨라배마는 구식이라고 여겨질 수 있다.
변형
알라바마에는 알려진 변종이 하나 있다. 앨라배마 주B는 수정된 SDIR로 배포되었다.COM. SDIR.COM은 DOS DIR 명령을 대체하기 위해 만들어진 프로그램이었다. 원래의 앨라배마처럼, "B" 변종도 감염되지 않는다.COM 파일. 수정된 SDIR.COM은 단순히 드로퍼로 사용된다.
참조
- ^ "Alabama Virus". Informatik.uni-hamburg. Retrieved 15 February 2013.
- ^ "Alabama Virus". VSUM. Retrieved 15 February 2013.
