r1
| 1 | [[분류:컴퓨터 바이러스]][[분류:범세계적 사건 사고]][[분류:1999년/사건 사고]] |
|---|
| 2 | [목차] |
|---|
| 3 | [clearfix] |
|---|
| 4 | == 개요 == |
|---|
| 5 | {{{+1 Virus.Win9x.CIH}}} |
|---|
| 6 | |
|---|
| 7 | [[https://github.com/onx/CIH/blob/master/cih-1.4.asm|CIH 바이러스의 소스 코드]] |
|---|
| 8 | |
|---|
r2
| 9 | [[1999년]] [[4월 26일]], [[대만]]의 [[다통대학교]] 재학생이었던 천잉하오(1975~)가 제작한 바이러스로, [[IA-32]] 어셈블리어로 작성되었다. |
|---|
r1
| 10 | |
|---|
r2
| 11 | 이 사건의 여파로 2000년 이후에 생산된 메인보드에는 BIOS 변조/손상 방지 기술이 적용되었는데, 대부분의 GIGABYTE산 메인보드는 듀얼 BIOS 기술을 넣어서 BIOS 두 개가 모두 파괴되지 않는 이상 컴퓨터가 벽돌이 될 일이 없도록 설계되어 있다. |
|---|
r1
| 12 | |
|---|
| 13 | 바이러스에 감염된 컴퓨터는 매년 4월 26일, 부팅이 완료되면 즉시 바이오스와 하드 디스크 드라이브의 MBR을 파괴한다. 따라서 컴퓨터 전원 스위치를 켰다 끄는 것을 아무리 반복해도 [[벽돌현상|본체에는 전원 불만 올라오고 아무 일도 일어나지 않는]]다. |
|---|
| 14 | |
|---|
| 15 | 당시의 부팅 시 실행 바이러스는 끽해봐야 하드 디스크의 MBR이나 FAT 인덱스 등을 파괴하는 것이었기 때문에 하드 디스크를 넘어 메인보드 EEPROM 내부에 저장된 BIOS를 파괴하는 이 바이러스는 그야말로 악몽이나 다름 없었는데, 1999년 당시에는 가정용 데스크톱은 많으면 [[Windows 9x]] 커널 기반의 [[Windows 95]]나 [[Windows 98]]을 썼기 때문이었다. |
|---|
| 16 | |
|---|
| 17 | Win 9x 커널에는 심각한 보안 취약점이 존재했는데, CIH 바이러스는 CPU의 인터럽트 서술자 테이블(Interrupt Descriptor Table, IDT)을 수정해 인터럽트 발생 시 CIH 바이러스의 코드가 실행되게끔 해 커널 모드(Ring 0) 권한을 획득한다. 유저 모드(Ring 3) 프로그램들도 인터럽트 서술자 테이블 영역에 접근할 수 있었던 것이 MS-DOS와 Windows 9x/Me의 보안 취약점인데, 유저 모드 프로그램이 인터럽트 서술자 테이블에 접근해 수정하려고 시도할 때 운영 체제의 정상 동작은 오류 메시지를 보여준 후 실행을 중단시키는 것이다. |
|---|
| 18 | |
|---|
| 19 | 이후 천잉하오는 체포되었으나, 당시 대만의 법률에는 [[죄형법정주의|그의 행위를 범죄로 규정할 수 있는 법]]이 존재하지 않았으므로 석방된 뒤, GIGABYTE에서 기술자로 활동하고 있다. |
|---|