바이러스(Virus)

전체 악성코드의 10%가 되지 않음

감염 경로

이메일, USB, 다운로드

 

실행 방법

실행 가능한 파일이나 시스템에 코드가 복제되어 기생하다

숙주 파일 실행 시 활동하여 그 코드 내용으로 인해 다른 파일 감염시키고 컴퓨터에 악의적인 피해를 입힘

 

특징

정상적인 프로그램을 숙주로 삼기때문에 탐지 및 치료하기가 어렵다

컴퓨터 바이러스의 경우 대상이 된 모든 파일의 구조가 바이러스가 의도한 대로 변조되었기 때문에, 이를 '치료'한다.

단, 최초 감염을 실행한 숙주 파일의 경우 '제거'되는 것이 맞다.

 

감염대상

일반 파일, 하드디스크 파티션의 VBR과 MBR, ...

특히 MBR이 감염될 경우 MBR을 직접 복구하거나 OS를 다시 설치해야 함(서버의 경우 피해액 더욱 커짐)

 

악성 행위

CPU사용, 메모리 점유, 데이터 손상, 시스템 작동 방해 ...

 

종류

부트(Boot) 바이러스

부트 섹터에 위치하는 바이러스, 컴퓨터의 부팅 시에 활동을 시작

부트 섹터에 쉽게 접근 가능한 OS인 MS-DOS나 이를 바탕으로 동작하는 Windows환경이 주요 공격 대상

 

파일(File) 바이러스

주로 DLL, COM, EXE 확장자인 실행 가능한 프로그램에 감염되는 바이러스

1) 실행 파일 내에 자신의 코드를 삽입

2) 감염된 파일 실행 시 파일 내의 악성코드가 실행되고 메모리에 상주

3) 이후에 실행되는 모든 실행 파일 내부에 자신의 코드를 복제하여 삽입

 

전위형 감염, 후위형 감염: 감염된 파일의 크기가 바이러스 프로그램의  크기만큼 증가하여 

                                                감염 여부를 쉽게 파악할 수  있음 + 영역 나뉘어져 있어 쉽게 복구 가능

겹쳐쓰기형 감염: 감염된 파일의 크기가 변경되지 않음, 실행 파일의 일부가 바이러스 코드로 대체되어 완전한 복구가 어려움

겹쳐쓰기형 감염은 그럼 잘 실행이 안되는 거 아닌가?

 

부트/파일 바이러스

부트섹터와 파일을 모두 감염시키는 바이러스

백신 프로그램으로 완전하게 복구할 수 없는 큰 피해를 줌

 

매크로 바이러스

Microsoft Word, Exel 과 같이 매크로 언어를 지원하는 문서파일에 기생하여

감염된 문서 파일을 여는 순간 바이러스가 동작함

 

[도구]→[매크로]→[Visual Basic Editor]

VBA(Visual Basic for Application) 언어를 이용하여 매크로 바이러스를 작성함

[파일]→[닫고 Microsoft Word로 돌아가기]

 

스크립트 바이러스

바이러스 코드를 스크립트 언어(ASP, PHP, Javascript, Visual Basic Script)로 작성

감염된 문서 파일을 여는 순간 바이러스가 동작함

 

메모리 상주형 바이러스

 

다형성 바이러스(Polymorphic virus)

원본 바이너리에서 같은 기능을 수행하지만 형태는 달라지는 악성코드

바이너리 고유 패턴을 변경시켜 휴리스틱 기반의 백신 업체의 추적을 어렵게 함

 

 

바이러스 이름

동작 및 감염 모드를 분석, CARO(Computer Anti-virus Researcher Organiztion) 규약으로 이름을 붙이고 알린 뒤 백신 개발

 

Win95/CIH.1024.B

접두사: 동작하는 OS나 프로그래밍 환경 영역(ex. Win95, W32, JS, VBS...)

접미사

1) 특성 명칭: 성(First Name), 바이러스 내부의 문자열이나 특징적인 증상을 이용함

2) 주요 변수: 바이러스 변종을 구분, 바이러스 프로그램의 길이를 표기함

3) 보조 변수: 단일 바이러스의 여러 변종을 구분, 알파벳이나 로마자를 사용