온타리오(컴퓨터 바이러스)
Ontario (computer virus) |
| 공용명 | 온타리오.512 |
|---|---|
| 기술명 | 온타리오.512 |
| 별칭 | SBC |
| 가족 | 온타리오. |
| 분류 | 바이러스 |
| 유형 | 도스 |
| 서브타입 | DOS 파일 감염자 |
| 격리 | 1990년 7월 |
| 고립점 | 해밀턴(?), 캐나다 온타리오 주 |
| 원산지 | 캐나다 온타리오 주 |
| 작성자 | 데스 엔젤 |
온타리오주는 캐나다의 온타리오 주라는 고립된 지점의 이름을 딴 컴퓨터 바이러스 계열이다.이 컴퓨터 바이러스군은 온타리오.1024, 온타리오.512, 온타리오.2048로 구성되어 있다.최초의 변종 온타리오.512는 1990년 7월에 발견되었다.온타리오.1024는 온타리오에서도 발견되었기 때문에, 두 바이러스 모두 지방 내에서 유래되었을 가능성이 높다.온타리오 근처.2048년 변종인 저자는 '온타리오'를 가족 이름으로 채택했고 바이러스 코드에 '온타리오-3'라는 이름까지 포함시켰다.
온타리오.512
감염
온타리오.512는 암호화된 DOS 파일 감염자다.감염자가 처형되자마자.COM, .EXE 또는 .OVL 파일 온타리오.512는 메모리가 상주하며 이러한 시대의 파일을 감염시킨다.사령부.COM은 특별한 루틴을 사용하여 감염된다.감염된 파일은 512바이트(COM 파일) 또는 512~1023바이트(EXE 및 OVL 파일) 사이에서 증가한다.파일 섹터가 더 큰 일부 시스템은 이러한 유형의 감염된 파일에 대해 1,023바이트 이상의 증가를 표시할 수 있다.
증상
온타리오.512는 주로 파일만 감염하므로, 중요한 증상은 하나도 없다.두 가지 주요 증상은 다음과 같다.
- 512바이트의 감염된 COM 파일의 크기 증가.
- 감염된 EXE 및 OVL 파일의 크기가 512바이트에서 1,023바이트 사이, 그리고 일부 시스템에서는 더 커짐.
- 온타리오.512에 의해 완전히 감염된 시스템은 시간이 지남에 따라 파일 손상 및 기타 하드 드라이브 문제로 인해 발생할 수 있다.
- 이러한 관찰의 대부분은 온타리오.512가 아닌 온타리오.1024와 관련이 있지만, 온타리오 계열에서는 지정되지 않은 프린터 문제가 관찰되었다.이것이 구체적으로 어떤 문제인지, 그리고 그것들이 온타리오.512에 영향을 미치는지 알 수 없다.
파일 길이 변경은 거의 모든 파일 감염자 사이에 흔하지만, EXE 및 OVL 파일 증가와 함께 COM 파일 크기가 증가한다는 것은 온타리오.512 감염을 결정할 때 매우 좋은 지침이다.
유병률
컴퓨터 바이러스를 추적하는 기관인 WildList[1]는 온타리오.512를 현장에 있는 것으로 보고한 적이 없다.그러나, 온타리오.1024는 일정 기간 동안 목록에 포함되었다.온타리오.512가 현장에서 발견되었는지, 아니면 온타리오가 있는 토론토 외곽의 BBS에서 발견되었는지는 확실하지 않다.2048년이 게시되었다.
온타리오.1024
| 공용명 | 온타리오.1024 |
|---|---|
| 기술명 | 온타리오.1024 |
| 별칭 | 1024 SBC |
| 가족 | 온타리오. |
| 분류 | 바이러스 |
| 유형 | 도스 |
| 서브타입 | DOS 파일 감염자 |
| 격리 | 1991년 10월 |
| 고립점 | 캐나다 온타리오 주 |
| 원산지 | 캐나다 온타리오 주 |
| 작성자 | 데스 엔젤 |
온타리오.1024는 컴퓨터 바이러스로, 최초의 온타리오 바이러스인 온타리오.512가 격리된 지 1년이 지난 1991년 10월에 발견되었다.온타리오.512에 비해, 대부분의 추가는 바이러스를 발견하기 어렵게 만드는 것을 포함한다.
감염
온타리오.1024는 암호화, 스텔스 DOS 파일 감염자다.감염자가 처형되자마자.COM 또는 .EXE 파일, 온타리오.1024는 메모리 레지던트로 전환되고 이러한 유형의 파일을 감염시킨다.사령부.COM은 특별한 루틴을 사용하여 감염된다.감염된 파일은 크기가 1,024바이트 증가할 것이다.그러나 온타리오.1024가 기억될 때 바이러스의 도용 때문에 파일 크기가 증가하지 않는다.온타리오.512와는 달리, 그것은 감염되지 않을 것이다.OVL 파일.
증상
온타리오.1024는 온타리오 가족의 가장 쉽게 식별되는 버전이다.다음과 같은 증상을 관찰할 수 있다.
- 1,024바이트의 감염된 COM 및 EXE 파일의 크기 증가.
- 3,072바이트의 사용 가능한 시스템 메모리 감소.
- 원본 파일 크기를 표시하기 위해 실행 파일(감염된 파일)이 실행된 후 변경되는 파일 크기.
- 때때로 프린터와 관련된 문제.
처음 세 가지 증상은 바이러스가 존재한다는 좋은 징조지만, 온타리오.1024에 반드시 특정한 것은 아니다.
유병률
컴퓨터 바이러스를 추적하는 기관인 와일드리스트[2]는 1993년 7월부터 1998년 12월까지 제출된 샘플이 없어 제거된 온타리오.1024를 현장에 있는 것으로 등재했다.이 보고서들은 온타리오.1024가 1994-1995년에 최고조에 달했을 때 호주와 이스라엘만큼 널리 퍼졌음을 보여주었다.
모든 DOS 파일 감염자들과 마찬가지로, 윈도우의 등장은 온타리오.1024의 확산을 상당히 방해했다.Trend Micro [3]는 2000년 11월 6일 이후 301건의 감염을 보고했으며, 2005년까지 월 1~2회까지 감염률이 감소했다고 보고했다.
온타리오.2048
| 공용명 | 온타리오.2048 |
|---|---|
| 기술명 | 온타리오.2048 |
| 별칭 | 부츠카시.2048년, 온타리오 3세 |
| 가족 | 온타리오. |
| 분류 | 바이러스 |
| 유형 | 도스 |
| 서브타입 | DOS 파일 감염자 |
| 격리 | 1992년 9월 |
| 고립점 | 캐나다 온타리오 주 |
| 원산지 | 캐나다 온타리오 주 |
| 작성자 | 데스 엔젤 |
온타리오의2048은 1992년 9월에 발견된 컴퓨터 바이러스다.그것은 시간적으로나 복잡하게 알려진 온타리오 계열의 세 번째이자 마지막으로 알려진 변종이다.원래 바이러스와는 다소 극단적인 차이 때문에 일부 공급업체는 이 바이러스를 별도의 제품군(Bootache.2048이라는 별칭)의 멤버로 식별한다.
감염
온타리오.2048은 암호화, 다형성, 스텔스 DOS 파일 감염자다.감염자가 처형되자마자.COM, .EXE, .OVL 또는 .온타리오 주, SYS 파일.2048은 메모리가 상주하며 이 시대의 파일을 감염시킨다.사령부.COM은 특별한 루틴을 사용하여 감염되며 파일 크기가 증가하지 않는다.감염된 파일은 크기가 2,048바이트 증가할 것이다.하지만, 온타리오 때.2048년은 기억 중인데, 바이러스의 도용 때문에 파일 크기가 증가하지 않을 것이다.
DOS DEBUG 프로그램이 메모리에 있을 때, 온타리오.2048은 분석을 피하기 위해 그것을 감지하고 메모리의 프로그램을 소독할 것이다.온타리오.2048은 또한 매우 복잡한 암호화 시스템을 특징으로 한다; 온타리오의 주어진 샘플이다.2048은 다른 것과 공통적으로 2바이트만 공유할 수 있다.
증상
온타리오.2048년에는 다음과 같은 증상이 나타날 수 있다.
- 감염된 파일의 크기가 2,048바이트 증가.
- 5,120바이트의 사용 가능한 시스템 메모리 감소.
- 원본 파일 크기를 표시하기 위해 실행 파일(감염된 파일)이 실행된 후 변경되는 파일 크기.
- 때때로 프린터와 관련된 문제는 이 계열의 온타리오.1024 변종에서 관찰되었다. 이것이 온타리오.2048로 넘어가는지는 알 수 없다.
처음 세 가지 증상은 바이러스가 존재한다는 좋은 징조지만, 온타리오.1024에 반드시 특정한 것은 아니다.
온타리오.2048년에는 온타리오 때문에 보이지 않는 텍스트도 포함되어 있다.2048은 암호화되어 있다.다음과 같은 텍스트 문자열이 존재한다.
- COMSPEC=\명령.COM COMEOVLSYS
- MSDOS5.0
- YAM
- 네 PC에 부츠가 있어! - 약 좀 가져와!
- 온타리오-3: 데스 엔젤
첫 번째 줄은 COMMANTER를 찾는 데 사용되는 방법에 대한 참조다.감염될 COM은 물론 바이러스가 감염되는 파일 유형.두 번째 라인은 온타리오가 사용하는 MS-DOS 버전을 가리킨다.2048년이 씌어 있었다.세 번째는 저자가 이 점에 의해 동참한 'Mcafee에 대항하는 젊은이들' 바이러스 그룹에 대한 언급이다.
많은 설명은 온타리오.2048의 다중 사이트 함수에 주목한다.이것은 틀렸다.온타리오.2048은 부트 바이러스와 함께 그 안에 부트 섹터를 포함하고 있다.부트 섹터에 삽입하면 기능하는 부트 바이러스(온타리오.2048의 파일 감염 부분을 확산시키지는 못하겠지만)가 된다.하지만, 온타리오.2048은 절대 주입을 수행하지 않는다. 코드는 기능상 쓸모없다.바이러스에 대한 바이러스 작성자의 문서[4]에 따르면, 이는 의도적인 것으로 보인다(사유를 알 수 없음).
유병률
컴퓨터 바이러스를 추적하는 기관인 와일드리스트[5]는 온타리오를 한번도 상장하지 않았다.2048년 현장에 있었던 것 처럼요그러나 일정 기간 동안 온타리오.1024가 포함되었다.
모든 DOS 파일 감염자들과 마찬가지로, 윈도우의 등장은 온타리오.2048의 확산을 상당히 방해했다.Trend Micro 통계는 2006년 11월 6일 [6] 이후 2건의 감염만 보고하고 있는데, 이는 바이러스가 이제 쓸모없게 되었다는 것을 나타낸다.
