악성코드 종류 및 특성

바이러스(Virus)

사용자 컴퓨터내에서 사용자 몰래 프로그램이나 실행 부분을 변경해서 자신 또는 자신의 변형을 복사하는 프로그램이다. 복제 및 감염이 특징으로 다른 네트워크 컴퓨터에 스스로 전파 안함

 

1세대

-원시형 바이러스

• 컴퓨터 바이러스 초창기 형태로 단순 자기 복제 기능과 데이터 파괴 기능만을 가짐

-부트 바이러스

• Booting단계에서 Floopy Disk나 HDD의 Boot Sector를 감염시킴. Booting시 자동 동작

-파일 바이러스

• 파일을 직접 감염시키는 바이러스로 HDD가 PC에 일반화되면서 나온 형태
• 확장자 COM, EXE같은 실행 파일과 디바이스 드라이버에 감염되며, 전체바이러스의 80%를 차지한다
• 감염된 실행 파일이 실행 시 바이러스 코드를 실행함

2세대

-암호형 바이러스

• 백신 진단을 우회하기 위해 자체 코드를 암호화하여 백신 프로그램 진단을 피하는 방식
• 바이러스가 동작 시 메모리에 올라가면서 암호화가 풀리는 방법을 사용
• 백신 업체에선 이러한 동작을 역으로 이용해 감염파일과 바이러스를 치료함

3세대

-은폐형 바이러스

• 확산 전 바이러스가 활동하면 다른 시스템으로 전파가 어려운 상황이라 일정 기간 스스로 잠복기를 갖도록 만듦
• 백신 프로그램이 감염여부를 파악 하기 어려움

4세대

-다형성 바이러스

• 백신 프로그램이 바이러스 파일 안 특정 식별자로 바이러스 감염 여부를 판단하는데  기능을 우회하기 위해 만들어진 것
• 코드조합 프로그램을 암호형 바이러스에 덧붙여 감염시키므로 프로그램이 실행될 때마다 바이러스 코드를 변형해서 식별자를 구분하기 어렵게한다

5세대

-매크로 바이러스

• 실행 파일에 감염된 것과 달리 엑셀 또는 워드와 같은 문서 파일의 매크로 기능을 이용
• 증상으론 문서가 안 열리거나 암호 설정, 문서에 깨진 글자나 문구 등이 포함되며 도구 메뉴 중 매크로 메뉴 실행이 불가함

-차세대 바이러스

• 스크립트 형태의 바이러스로 단순 파괴, 감염이 아닌 사용자 정보 탈취나 시스템 해킹을 위한 백도어 기능을 가진 웜의 형태로 진화됨

 

웜(Worm)

인터넷, 네트워크를 통해 컴퓨터에서 컴퓨터로 감염. 주로 운영체제 취약점을 이용해서 전파(공유 폴더, P2P등)하며, 스스로 전파함

 

1. MASS Mailer형

• 자기 자신을 포함하는 대량 메일을 발송하여 확산되는 형태
• 전체 웜 중 약 40%를 차지함
• 제목이 없는 메일이나 특정 제목의 메일을 전송하고, 사용자가 메일을 읽었을 때 시스템이 감염
• 메일로 전파되며 SMTP 서버 TCP25번에 트래픽 발생
• 시스템에 파일생성
• 베이글, 넷스카이, 두마루 등

2. 시스템 공격형

• OS취약점을 이용해 감염, 백도어를 설치
• 공격 성공 후 UDP/5599 등의 특정 포트를 열어 외부 시스템과 통신
• 전파 시 과다한 TCP/135,445 트래픽 발생
• system32 폴더에 SVCHOST.EXE 생성
• 블래스터, 웰치아 등

 

3. 네트워크 공격형

• Syn Flooding, Smurf와 같은 DoS공격을 수행
• 네트워크 마비나 속도가 느려짐
• 네트워크 장비가 비정상적으로 동작
• DDoS공격을 위한 봇 형태로 발전중 
• 저봇, 클레즈 등

 

기타 악성 코드의 종류

 

1. 트로이 목마(Trojan Horse)

• 사용자 컴퓨터에 침투해 내부의 정보를 빼돌리거나 컴퓨터를 원격조종함
• 자기 자신을 다른 파일에 복사하지 않는 점에서 바이러스와 구분됨 

2. 백도어(BackDoor)

• 운영체제나 프로그램을 생성시 정상적인 인증 과정을 거치지 않고 운영체제나 프로그램 등에 접근할 수 있도록 만든 일종의 통로
• Administrative hook 또는 Trap Door 라고도 부름

3. 인터넷 악성 코드(Internet Malware)

• IE의 시작 페이지를 변조 시키거나 속도 저하 또는 통신 단절을 일으키며, 시스템이 비정상적인 동작으로 OS를 사용 불능으로 만듦

4. 스파이 웨어(Spyware)

• 자신이 설치된 시스템의 정보를 원격지의 특정한 서버에 주기적으로 보내는 프로그램으로 패스워드 등과 같은 특정 정보를 수집하여 보냄

5. Hoax

• 인터넷 게시판, 이메일로 거짓 정보를 보내는 가짜 컴퓨터 바이러스

6. 악성 Java Code

• Java Script나 Java Applet등에 악성 기능 코드를 넣어 악의적인 기능을 함

7. 악성 Active-X 

• Window 계열 PC에 악성 Code를 넣어 배포됨