1. 개요
가상머신으로 체험해보기[2][3]1991년 몰타에서 처음 발견된 컴퓨터 바이러스.
2. 감염 증상
처음 COMMAND.COM 파일을 감염시킨 뒤 시스템 날짜가 1월/4월/8월 15일일 경우 부팅할 때마다 위와 같은 메시지가 나온다. 저게 뻥이 아니다. 이 바이러스는 진짜로 FAT를 파괴하며, 그리고 램에 백업해 놓았다는 것 역시 사실이다. 램에 저장해 두었기 때문에 컴퓨터를 껐다 켜면 FAT 테이블은 그대로 날아가 버리므로[4] 이 바이러스의 제안대로 하드디스크를 놓고 바이러스와 대결을 해야 하는 SF 소설 같은 기묘한 상황이 펼쳐진다.위에 쓰여 있듯이 £, ?, ¢ 3가지 문자가 나오며 슬롯머신을 돌릴 수 있는 기회는 총 5번이다. £££가 나오면 승리하는 것인데, 슬롯머신 3개 중 1개에서 £가 나올 확률은 3분의 1이니 잭팟이 터질 확률은 한 번 돌릴 때마다 1/27이 된다. 그나마 5번 돌리는 거니까 실제로 데이터를 살릴 수 있는 확률은 약 16%다.[5] 대략 1/6 정도의 확률로 생각보다 낮은 확률은 아니다. 바이러스 걸리고 기동한 이상 할 수 있는 건 바이러스와의 대결을 받아들이는 것 뿐이다.
3. 결과
승리하면 다음과 같은 메시지를 출력하며 정상 부팅된다.BASTARD ! You're lucky this time - but for your own sake, now SWITCH OFF YOUR COMPUTER AND DON'T TURN IT ON TILL TOMORROW !!!
이 개새끼! 이번엔 운이 좋았구나 - 하지만 너를 위해서 충고하는데, 지금 당장 컴퓨터를 끄고 내일까지 켜지 마라!!![6]
5번의 기회가 다 될 경우, 다음과 같은 메시지를 출력하며 데이터는 사라져버린다.
그 외로, ???을 맞출 경우 현재 남아있는 크레딧에 상관 없이 아래 내용이 추가되어 패배 메시지가 나온다.
No Fuckin' Chance; and I'm punishing you for trying to trace me down !
어림 X도 없다. 날(전화번호를) 추적하려고 한 대가를 치르게 해 주지!
¢¢¢을 맞춘 경우는 아무 일도 일어나지 않고 크레딧만 하나 소모한다.
4. 기타
사실 널리 퍼지거나 광범위한 피해를 입힌 바이러스는 아니며, 또한 한국에서는 발견되지 않은 바이러스로 알려져 있으나, (당하지 않은 사람 입장에서 보면) 재미있는 효과를 가진 MS-DOS 시절 바이러스 중에서도 단연 돋보이는 바이러스이다. 이로 인해 나무위키에 다른 유명 바이러스들을 제치고 가장 먼저 단독 문서가 생성된 바이러스 중 하나다.데이터를 없앤 것이 아니라 FAT만을 날려버린 경우이므로 데이터 복구 프로그램, 혹은 업체를 통해 데이터를 살려낼 수 있다. 90년대 이전까지 사용하던 초반 MS-DOS 시절의 바이러스이므로 64비트 운영체제가 보급화된 지금은 카지노 바이러스에 걸리면 어쩌나 하는 걱정을 할 필요는 없다.
랜섬웨어의 원형에 가깝다고 보는 시각도 있다. 파일을 암호화하는 방식도 아니고 돈을 요구하는 것도 아니라는 점에서는 차이가 있지만, 상대방의 데이터를 볼모로 삼는다는 점과 사용자의 심리를 이용한다는 점에서는 현대의 랜섬웨어와 크게 다르지 않다. 그리고 감염되었다고 무조건 파괴시키는 것이 아니라 원하는 조건을 만족할 경우[7] 데이터 복구 가능성을 열어둔다는 점도 있다.[8]
danooct1의 시연 영상. 이 동영상에선 데이눅트의 패배로 끝났다.
발동일 중 광복절도 껴 있다.
가상 머신으로 직접 해볼 수 있다. 파일 이름은 Q-CASINO.com으로 맨 위에 있는 링크에서 해볼 수 있다.
가상 머신 환경의 Windows 명령 프롬프트에서도 실행이 가능하다.
이런 악성코드들이 다 그렇지만 관련 지식이 없다면 직접 파일을 다운로드 받지는 말고 웹상 가상머신으로 즐기는 것이 안전하다. 실제 작동 영상을 보고 싶다면 위의 데이눅트 등이 유튜브 등지에 올린 가상머신 녹화 동영상을 이용한 간접체험도 가능하다.
크로아티아 출신의 한 유저가 구글 크롬에서 동작하는 리메이크를 만든 적이 있었으나, 공개가 중지되었다.
5. 유사한 바이러스들
5.1. 몬테카를로 바이러스
Virus.DOS.MonteCarlo.1483, Virus.DOS.MonteCarlo.1541 이라는 두 가지 변종이 있으며 매년 4월 15일 강제로 실행되거나 시스템 타이머를 이용해 실행되는데, 카지노 바이러스처럼 디스크의 FAT을 파괴하고 램에 옮겨놓은 후 사용자와 하드의 복구권을 놓고 카드 게임으로 승부를 걸어온다. ANSI를 이용한 그래픽이 사용되어 카지노 바이러스보다 좀 더 컬러풀하다.
내부 문구들이 모두 슬로바키아어로 쓰여있어 슬로바키아에서 만들어진 게 아닌가 생각되지만 자세한 것은 불명. 바이러스가 실행될 때 나오는 문구는 다음과 같다.
* C A S I N O - Monte Carlo *
POZOR : Nevypinajte pocitac ! Data z vasho disku su teraz v RAM pamati
Jedina moznost ich zachrany je pokracovat v tejto HRE
(c) by ILU & QAR . Nelegalne kopirovanie tohto viru sa tresta smrtou.
POZOR : Nevypinajte pocitac ! Data z vasho disku su teraz v RAM pamati
Jedina moznost ich zachrany je pokracovat v tejto HRE
(c) by ILU & QAR . Nelegalne kopirovanie tohto viru sa tresta smrtou.
번역하면 다음과 같다.
* 카 지 노 - 몬테 카를로 *
경고: 컴퓨터를 끄지 마십시오! 당신의 디스크 데이터는 모두 RAM에 있습니다
구하고 싶다면 이 HRE를 계속 하는 것 외엔 없습니다
(c) ILU & QAR, 불법복제시 사형당할 수 있음
경고: 컴퓨터를 끄지 마십시오! 당신의 디스크 데이터는 모두 RAM에 있습니다
구하고 싶다면 이 HRE를 계속 하는 것 외엔 없습니다
(c) ILU & QAR, 불법복제시 사형당할 수 있음
그런데 카드에 숫자 대신 d(아마 Desať(10)을 의미하는 것으로 보인다)가 적혀 있는 것도 있고 vyhral si(이겼음)/prehral si(졌음)은 나오는데 규칙을 전혀 안 적어놓는 등 바이러스의 구체적인 데이터 파괴/복구 조건은 불명이다. Konto(계정)이 플레이어이고 Uklad(적)이 바이러스인 모양인데 초기에 Konto가 받는 포인트는 254, Uklad가 초기에 가지는 포인트는 1이다. 배팅을 하면 포인트가 계속 줄어들고 승패는 랜덤으로 표시되는데, 포인트가 0이 되면 게임이 종료된다. Uklad는 게임 결과에 상관없이 포인트 1을 가지고 있는 것으로 처리된다.
게임에서 승리한 영상인데 이전 결과에 상관없이 마지막 베팅을 이기면 풀리는 것으로 보인다. 패배하면 일부 파일이 Q,t가 5개까지 쓰이고 그 사이에 랜덤으로 슬로바키아어 알파벳이 섞인 파일명으로 변조된다. 이 과정에서 파일의 내용물도 같이 손상되는 것으로 보인다.[9]
5.2. 피터 II 바이러스
매년 2월 27일이 되면 활성화되는 바이러스. 마스터 부트 레코드 감염 후 컴퓨터가 부팅될 때마다 고위 메모리 영역에 상주하게 된다. 은폐 기법을 사용했기 때문에 바이러스 검사를 해도 잡히지 않는다. 평소에는 바이러스가 상주해 있기만 할 뿐 아무 증상도 없지만 2월 27일 부팅할 경우 사용자에게 퀴즈를 낸다. 마찬가지로 하드디스크를 망가뜨린 후 퀴즈를 모두 풀면 복구시켜준다.Good morning,EVERYbody,I am PETER II
Do not turn off the power, or you will lost all of the data in
Hardisk!!!
WAIT for 1 MINUTES,please...
안녕하십니까. 여러분, 나는 피터 II
컴퓨터를 끄면 하드디스크에 있는 모든 데이터를
잃게 됩니다!!!
1분 정도만 기다려주세요...
Do not turn off the power, or you will lost all of the data in
Hardisk!!!
WAIT for 1 MINUTES,please...
안녕하십니까. 여러분, 나는 피터 II
컴퓨터를 끄면 하드디스크에 있는 모든 데이터를
잃게 됩니다!!!
1분 정도만 기다려주세요...
이후 하드디스크의 모든 섹터를 암호화하고 다음 메시지를 계속 출력한다.
Ok. If you give the right answer to the following questions, I will
save your HD:
A. Who has sung the song called "I'll be there" ?
1.Mariah Carey
2.The Escape Club
3.The Jackson five
4.All
(1-4):
B. What is Phil Collins ?
1.A singer
2.A drummer
3.A producer
4.Above all(1-4):
C. Who has the MOST TOP 10 singles in 1980's ?
1.Michael Jackson
2.Phil Collins (featuring Genesis)
3.Madonna
4.Whitney Houston(1-4):
save your HD:
A. Who has sung the song called "I'll be there" ?
1.Mariah Carey
2.The Escape Club
3.The Jackson five
4.All
(1-4):
B. What is Phil Collins ?
1.A singer
2.A drummer
3.A producer
4.Above all(1-4):
C. Who has the MOST TOP 10 singles in 1980's ?
1.Michael Jackson
2.Phil Collins (featuring Genesis)
3.Madonna
4.Whitney Houston(1-4):
좋아요. 다음 질문에 알맞은 대답을 한다면, 당신의
하드디스크를 살려주겠습니다:
A. 'I'll be there' 라는 노래를 부른 가수는?
1. 머라이어 캐리
2. 이스케이브 클럽
3. 잭슨 파이브
4. 전부 다
(1-4):
B. 필 콜린스는 누구입니까?
1. 가수
2. 드러머
3. 프로듀서
4. 전부 다(1-4):
C. 1980년대 최고의 10대 가수에 속한 건 누구입니까?
1. 마이클 잭슨
2. 필 콜린스( 제네시스 피처링)
3. 마돈나
4. 휘트니 휴스턴(1-4):
하드디스크를 살려주겠습니다:
A. 'I'll be there' 라는 노래를 부른 가수는?
1. 머라이어 캐리
2. 이스케이브 클럽
3. 잭슨 파이브
4. 전부 다
(1-4):
B. 필 콜린스는 누구입니까?
1. 가수
2. 드러머
3. 프로듀서
4. 전부 다(1-4):
C. 1980년대 최고의 10대 가수에 속한 건 누구입니까?
1. 마이클 잭슨
2. 필 콜린스( 제네시스 피처링)
3. 마돈나
4. 휘트니 휴스턴(1-4):
참고로 머라이어 캐리, 이스케이프 클럽, 잭슨 파이브 전부 다 I'll be there라는 곡을 낸 적이 있다. 구체적으로는 잭슨 파이브가 오리지널이고 머라이어 캐리는 리메이크, 그리고 이스케이프 클럽은 그냥 이름만 같은 아예 다른 곡. 따라서 정답은 4번이다. B도 필 콜린스가 가수였고 원래 제네시스의 드러머였으며 프로듀서도 했었기 때문에 역시 4번이 정답이다. 그러나 문제는 C. 사실 엄밀히 따지면 이 문제는 애초에 정답이 없다. 마이클 잭슨, 필 콜린스, 마돈나, 휘트니 휴스턴 전부 다 80년대의 전설이라 당대에도 최고의 가수 소리를 한 번씩은 들어봤고, 순위로 나열해도 10위권 안에는 언제나 들기 때문. 게다가 애초에 가수 순위라는 것도 객관적인 게 아니라... 그래서 A, B까지는 어떻게 맞춘다 해도 C에서 당황하게 만드는 구조. 다만 프로그램상으로는 2번이 정답으로 설정되어 있다.
즉 정답은 4-4-2. 모두 정답을 맞혔다면 다음과 같은 메시지를 출력한다.
CONGRATULATIONS !!! YOU successfully pass the quiz!
AND NOW RECOVERING YOUR HARDISK ......
축하드립니다!! 퀴즈를 통과하셨군요!
이제 하드디스크를 복구해드리겠습니다......
AND NOW RECOVERING YOUR HARDISK ......
축하드립니다!! 퀴즈를 통과하셨군요!
이제 하드디스크를 복구해드리겠습니다......
만약 하나라도 틀렸을 경우엔 다음 메시지를 출력한다.
Sorry! Go to Hell. Clousy man!
미안! 지옥에나 가라. 멍청한 놈!
미안! 지옥에나 가라. 멍청한 놈!
특이한 점은 카지노나 몬테카를로처럼 FAT만 파괴하는 게 아니라 하드를 암호화하고 문제를 맞히면 복호화해준다는 부분은 어쩐지 현대의 랜섬웨어와 유사하다.
[1]
파일 할당 테이블. 파일이 디스크의 어떤 공간에 어떤 방식으로 저장되어 있는지 설정하는 방식으로, 이게 없어지면 OS는 하드디스크에 파일이 있더라도 인식을 할 수 없다.
Windows XP 이전까지 사용되던 방식이며 후에
NTFS 방식으로 규격이 교체된다.
[2]
웨이백머신 사이트에서
가상 머신으로
도스박스를 이용하여 체험하는 사이트다. 메세지만 남겨놓고 실제 데이터 파괴 기능은 제거했다는 설명이 있으며 안전하게 체험해볼 수 있다.(now removed of its destructive capability but leaving its messages.)
[3]
링크 사이트 우측 버튼으로 파괴 기능이 제거된 카지노 바이러스를 다운로드 받을 수 있다. 컴퓨터 백신이 카지노 바이러스를 인지하고 삭제할 수 있으므로 다운받겠다면 백신을 꺼야 한다.
[4]
램은 '휘발성 메모리' 라고도 불리는데, 전원이 내려가면 기억하고 있는 내용들이 전부 삭제된다. 문서 작업 중 글이나 그림 등을 복사해 놓고 컴퓨터를 껐다 키면 복사되었던 것이 붙여넣기가 안 되는것도 이러한 이유 때문이다.
[5]
1/27 + (25/27) * 1/27 + (25/27)2 * 1/27 + (25/27)3 * 1/27 + (25/27)4 * 1/27 ≒ 15.97%. 각각 1/27 확률로 승리하지만, 또한 1/27 확률로 ???가 나올 경우 남은 크레딧 수에 관계없이 패배하므로, 승리 확률 계산은 이렇게 된다.
[6]
만약 말을 듣지 않고 당일 컴퓨터를 다시 켜게 되면 특정 날짜에 바이러스가 실행되는 트리거가 재작동되어 바이러스와의 게임을 다시 한 번 반복해야 한다.
[7]
카지노 바이러스의 경우 잭팟, 랜섬웨어의 경우 요구금액 송금. 또한 현대에 만들어진 장난성 랜섬웨어의 경우 이와 비슷하게 "특정 게임을 일정시간 하기" 수준 정도 조건인 것도 있다.
[8]
물론 전화번호 부분만 빼면 비교적 정직한 편인 카지노 바이러스와 달리 랜섬웨어는 현금을 보내도
먹튀나 복구불능 가능성이 있다.
[9]
파일명에 띄어쓰기가 있어서 문제가 생긴다. 이 당시에 파일을 수정하려면 파일명을 입력해야 되는데 파일명 구분 기준이 띄어쓰기인 관계로 접근을 못 하는 파일이 되어 버리는 셈이다. 즉 한 번 이렇게 변해버리면 고칠 방법은 없으니 컴퓨터를 고이 묻어주는 수밖에 없다.