스톤드 (컴퓨터 바이러스)

스톤드(Stoned)는 1987년 개발된 부트 섹터 컴퓨터 바이러스의 이름이다. 초창기 바이러스들 가운데 하나이며 뉴질랜드 웰링턴의 한 학생에 의해 작성된 것으로 짐작된다.^[1][2] 1989년, 뉴질랜드와 오스트레일리아에 널리 퍼졌으며,^[3] 1990년대 초에 변종들이 전 세계적으로 매우 일반화되었다.^[4]

스톤드

마스터 부트 레코드의 마지막 512바이트 섹터에 "Your PC is now Stoned!"(네 PC는 이제 돌이 됐다!)라는 문구가 삽입된 것을 보여주는 헥스 덤프.
유형	컴퓨터 바이러스
아형	부트 바이러스
기원 지점	뉴질랜드
개발자	알 수 없음
영향을 받는 운영 체제	DOS

오리지널 버전에 감염된 컴퓨터는^[5][6] 화면에 다음과 같은 문구가 나타난다: "Your PC is now Stoned!"(네 PC는 이제 돌이 됐다!). 이 문구는 감염된 플로피 디스크의 감염된 부트 섹터, 그리고 감염된 하드 디스크의 마스터 부트 레코드에서 볼 수 있으며 "Legalise Marijuana"라는 문구도 잇따른다. 나중에 나온 변종들은 다른 다양한 메시지들을 만들어냈다.

오리지널 버전

원래의 "Your computer is now stoned. Legalise Marijuana" 문구는 뉴질랜드 웰링턴의 한 대학교 학생에 의해 작성된 것으로 보고 있다.^[1][7]

이 초기 버전은 IBM PC 360KB 플로피 디스크만을 경험한 사람이 작성한 것처럼 보이는데, IBM PC/AT 1.2MB 플로피 또는 루트 디렉터리에 96개 이상의 파일을 포함한 시스템에서 이상 동작을 일으키기 때문이다. 1.2 MB 디스크 등 더 많은 용량의 디스크에서는 오리지널 부트 섹터가 디렉터리의 일부를 덮어쓸 수 있다.

하드 디스크에서 오리지널 마스터 부트 레코드는 실린더 0, 헤드 0, 섹터 7로 이동된다. 플로피 디스크에서 오리지널 부트 섹터는 실린더 0, 헤드 1, 섹터 3으로 이동되며 이는 360 kB 디스크의 마지막 디렉터리 섹터이다. 바이러스는 루트 디렉터리 내의 파일 수가 96개를 초과하지 않을 경우 부트 섹터를 "안전하게" 덮어쓴다.

PC는 일반적으로 감염된 디스켓으로부터 부팅 시 감염되었다. 당시 컴퓨터는 디스켓이 있는 경우 기본적으로 A: 디스켓 드라이브로 부팅하였다. 이 바이러스는 감염된 컴퓨터에 플로피 디스크를 사용하여 접근 시 퍼져나갔다. 해당 디스켓 자체가 바이러스의 확산 매개체이다. 모든 디스켓을 클리닝하지 안하고 컴퓨터를 클리닝하면 사용자는 반복되는 감염에 취약해질 수 있다.

변종

바이러스 이미지는 쉽게 수정(패치)된다. 특히 프로그래밍 지식이 없는 사람이라도 표시되는 문구를 변경할 수 있다. 수많은 스톤드 변종이 유포되었으며 그 중 일부는 다른 메시지를 포함한다.

Beijing, Bloody!

이 바이러스는 "Bloody! Jun. 4, 1989" 문구를 포함한다. 이 날짜에 1989년 톈안먼 사건이 중화인민공화국에 의해 억압되었다.

Swedish Disaster

이 바이러스는 "The Swedish Disaster" 문구를 포함한다.

Manitoba

Manitoba는 특정한 활동 루틴이 없으며 플로피의 오리지널 부트 섹터를 저장하지 않는다. Manitoba는 단순히 오리지널 부트 섹터를 덮어쓴다. 2.88MB EHD 플롤피는 이 바이러스에 의해 손상된다.

Manitoba는 상주하는 동안 2KB 메모리를 사용한다.

NoInt, Bloomington, Stoned III

NoInt는 감염 시 프로그램의 정지를 시도한다. 이로 인해 컴퓨터가 파티션 테이블에 접근하려고 시도하면 읽기 오류를 일으킨다. NoInt에 감염된 시스템은 기본 메모리 중 2 kB가 차감된다.

Flame, Stamford

스톤드의 한 변종 이름은 Flame이다. 초기의 플레임은 DOS 메모리 중 1 kB를 점유한다. 미디어의 종류에 상관 없이 실린더 25, 헤드 1, 섹터 1에 오리지널 부트 섹터나 마스터 부트 레코드를 저장한다.

Flame은 감염 시 시스템의 현재 날짜 중 월을 저장한다. 월이 바뀌면 Flame은 화면에 색이 있는 불꽃을 표시하며 마스터 부트 레코드를 덮어쓴다.

Angelina

Angelina는 잠입 기능이 있다. 하드 디스크의 경우 오리지널 마스터 부트 레코드는 실린더 0, 헤드 0, 섹터 9으로 이동된다.

Angelina는 다음의 임베디드 텍스트를 포함하며, 바이러스에 의해 표시되지 않는다: "Greetings from ANGELINA!!!/by Garfield/Zielona Gora" (Zielona Gora, 즉 지엘로나구라는 폴란드의 도시이다).

• 1995년 10월 Angelina는 공장에서 새로 출하된 시게이트 5850 (850MB) IDE 드라이브에서 발견되었다.^[8]
• 2007년, 알디 슈퍼마켓을 통해 판매된 일련의 Medion 노트북들이 Angelina에 감염된 것으로 보였다.^[9] Medion 대언론 공식 발표에 따르면 바이러스는 실제로 존재하지 않았고 미리 설치된 바이러스 검사 소프트웨어 Bullguard의 버그로 인해 발생한 거짓된 경고라고 설명되었다. 오류 수정을 위해 패치가 공개되었다.^[10]

같이 보기

• 브레인 (컴퓨터 바이러스): 초기의 부트 섹터 바이러스
• 미켈란젤로 (컴퓨터 바이러스): 스톤드 기반 부트 섹터 바이러스

각주

1. "...a brief history of PC viruses." Archived 2008년 6월 4일 - 웨이백 머신, IBM Research
2. "The early days" Archived 2016년 3월 4일 - 웨이백 머신, History of Malware
3. “Marijuana Virus wreaks havoc in Australian Defence Department”. 《The Risks Digest》 9 (9). 1989년 8월 14일. 2007년 8월 7일에 확인함. 
4. “F-Secure Virus Descriptions : Stoned”. F-secure.com. 2007년 8월 7일에 확인함. 
5. "Analysis of Stoned", Peter Kleissner
6. "The “Stoned” PC Virus" Archived 2014년 10월 24일 - 웨이백 머신, Commented disassembly of virus code at computerarcheology.com
7. "The early days" Archived 2013년 2월 14일 - 웨이백 머신, History of Malware
8. “Virus:Boot/Stoned”. 2010년 8월 27일에 확인함. 
9. “Boot virus shipped on German laptops”. 《Virus Bulletin》. 2008년 1월 8일에 확인함. 
10. “Wichtige Produktinformation zum Notebook MD 96290”. Medion AG. 2007년 11월 10일. 2007년 11월 10일에 원본 문서에서 보존된 문서. 2017년 1월 11일에 확인함.