1. 개요
1. 개요[편집]
Virus.Win9x.CIH
CIH 바이러스의 소스 코드
1999년 4월 26일, 대만의 다통대학교 재학생이었던 천잉하오(1975~)가 제작한 바이러스로, IA-32 어셈블리어로 작성되었다.
이 사건의 여파로 2000년 이후에 생산된 메인보드에는 BIOS 변조/손상 방지 기술이 적용되었는데, 대부분의 GIGABYTE산 메인보드는 듀얼 BIOS 기술을 넣어서 BIOS 두 개가 모두 죽지 않는 이상 컴퓨터가 벽돌이 될 일이 없도록 설계되어 있다.
바이러스에 감염된 컴퓨터는 매년 4월 26일, 부팅이 완료되면 즉시 바이오스와 하드 디스크 드라이브의 MBR을 파괴한다. 따라서 컴퓨터 전원 스위치를 켰다 끄는 것을 아무리 반복해도 본체에는 전원 불만 올라오고 아무 일도 일어나지 않는다.
당시의 부팅 시 실행 바이러스는 끽해봐야 하드 디스크의 MBR이나 FAT 인덱스 등을 파괴하는 것이었기 때문에 하드 디스크를 넘어 메인보드 EEPROM 내부에 저장된 BIOS를 파괴하는 이 바이러스는 그야말로 악몽이나 다름 없었는데, 1999년 당시에는 가정용 데스크톱은 많으면 Windows 9x 커널 기반의 Windows 95나 Windows 98을 썼기 때문이었다.
Win 9x 커널에는 심각한 보안 취약점이 존재했는데, CIH 바이러스는 CPU의 인터럽트 서술자 테이블(Interrupt Descriptor Table, IDT)을 수정해 인터럽트 발생 시 CIH 바이러스의 코드가 실행되게끔 해 커널 모드(Ring 0) 권한을 획득한다. 유저 모드(Ring 3) 프로그램들도 인터럽트 서술자 테이블 영역에 접근할 수 있었던 것이 MS-DOS와 Windows 9x/Me의 보안 취약점인데, 유저 모드 프로그램이 인터럽트 서술자 테이블에 접근해 수정하려고 시도할 때 운영 체제의 정상 동작은 오류 메시지를 보여준 후 실행을 중단시키는 것이다.
이후 천잉하오는 체포되었으나, 당시 대만의 법률에는 그의 행위를 범죄로 규정할 수 있는 법이 존재하지 않았으므로 석방된 뒤, GIGABYTE에서 기술자로 활동하고 있다.
CIH 바이러스의 소스 코드
1999년 4월 26일, 대만의 다통대학교 재학생이었던 천잉하오(1975~)가 제작한 바이러스로, IA-32 어셈블리어로 작성되었다.
이 사건의 여파로 2000년 이후에 생산된 메인보드에는 BIOS 변조/손상 방지 기술이 적용되었는데, 대부분의 GIGABYTE산 메인보드는 듀얼 BIOS 기술을 넣어서 BIOS 두 개가 모두 죽지 않는 이상 컴퓨터가 벽돌이 될 일이 없도록 설계되어 있다.
바이러스에 감염된 컴퓨터는 매년 4월 26일, 부팅이 완료되면 즉시 바이오스와 하드 디스크 드라이브의 MBR을 파괴한다. 따라서 컴퓨터 전원 스위치를 켰다 끄는 것을 아무리 반복해도 본체에는 전원 불만 올라오고 아무 일도 일어나지 않는다.
당시의 부팅 시 실행 바이러스는 끽해봐야 하드 디스크의 MBR이나 FAT 인덱스 등을 파괴하는 것이었기 때문에 하드 디스크를 넘어 메인보드 EEPROM 내부에 저장된 BIOS를 파괴하는 이 바이러스는 그야말로 악몽이나 다름 없었는데, 1999년 당시에는 가정용 데스크톱은 많으면 Windows 9x 커널 기반의 Windows 95나 Windows 98을 썼기 때문이었다.
Win 9x 커널에는 심각한 보안 취약점이 존재했는데, CIH 바이러스는 CPU의 인터럽트 서술자 테이블(Interrupt Descriptor Table, IDT)을 수정해 인터럽트 발생 시 CIH 바이러스의 코드가 실행되게끔 해 커널 모드(Ring 0) 권한을 획득한다. 유저 모드(Ring 3) 프로그램들도 인터럽트 서술자 테이블 영역에 접근할 수 있었던 것이 MS-DOS와 Windows 9x/Me의 보안 취약점인데, 유저 모드 프로그램이 인터럽트 서술자 테이블에 접근해 수정하려고 시도할 때 운영 체제의 정상 동작은 오류 메시지를 보여준 후 실행을 중단시키는 것이다.
이후 천잉하오는 체포되었으나, 당시 대만의 법률에는 그의 행위를 범죄로 규정할 수 있는 법이 존재하지 않았으므로 석방된 뒤, GIGABYTE에서 기술자로 활동하고 있다.