웜(worm)

감염경로

이메일, P2P파일 공유, 프로그램 보안 취약점, 네트워크 공유 기능...

실행방법

독자적으로 실행

특징

독자적으로 실행 가능: 자기 자신을 레지스트리에 등록하거나 복사본을 생성함 (자기복제)

 

운영체제나 응용 프로그램의 취약점을 통해 연결된 네트워크로 전이하는 형태로 진행하여 가능한 많은 다른 컴퓨터를 감염시킨다.

c.f) 바이러스: 숙주 파일에 기생 / 다른 파일 감염

 

시스템의 데이터나 운영체제를 파괴하고, 자신을 무제한으로 복제하여 네트워크에 배포함으로써 시스템과 네트워크를 마비시킴

종류

시스템 공격형

운영체제 고유의 취약점을 이용해 ①내부 정보를 파괴함 ②컴퓨터 시스템을 파괴해 사용할 수 없게 함 ③백도어 설치 등

 

네트워크 공격형

웜에 의해 감염된 시스템들(PC 클러스터)을 이용해 특정 시간에 특성 서버로 일제히 접속을 시도하여 DDoS공격을 수행

 

대량의 메일 발송형(?)

제목이 없거나 특정 제목으로 전송되는 메일을 읽었을 때 감염

치료하지 않으면 시스템에 계속 기생하면서 시스템 내부에서 메일 주소를 수집해 계속 메일 전송

 

예시

SQL Slammer (시스템 공격형)

MS사의 SQL의 취약성을 이용해 약 10분만에 인터넷에 연결된 모든 패치되지 않은 SQL서버에서 버퍼 오버플로우를 발생시킴

해결책: 전국의 모든 SQL 사용자들이 자신의 서버에서 해당 포트를 차단하고, 패치 파일을 설치

 

대응책

웜 파일 모두 삭제

보안상의 취약점을 방지하기 위해 지속적인 보안 업데이트가 필요하다.

 

웜 바이러스

최근의 OS는 악성코드의 침입 방어를 위해 프로그램의 실행 권한을 철저히 제한하여

네트워크를 통해 침투한 프로그램이 사용자의 실행 명령 없이 실행되는 것을 제한함

 

즉, 웜이 특정 컴퓨터에 침입하더라도 실행 권한에 제한이 있을 경우 동작 불가

이러한 보안 정책을 뚫기 위해 공격 대상 컴퓨터에 침투는 웜의 방식으로,

침투 완료 이후에는 바이러스 방식으로 감염시킨다.

 

 

웜과 바이러스의 비교

	바이러스	웜
감염대상	O(파일을 감염시켜 기생, 실행 시 확산)	X(독립적으로 존재, 스스로 확산)
실행방법	사용자가 감염된 파일을 동작시켜야 함	네트워크를 통해 번식이 가능한 컴퓨터를 탐색 후 자신을 복제하여 침투
피해	정상적인 컴퓨터 작동 방해 프로그램 수행 방해	네트워크 손상 대역폭 잠식
치료방법	파일을 치료 후 복구	웜 파일 자체를 삭제
예시	test.exe 라는 감염된 파일 실행 시 바이러스가 실행되어 정상적인 다른 파일도 감염시켜 못쓰게 만듦	test.exe 라는 웜 파일 실행 시 다른 파일을 손상시키진 않지만, 1.exe에서 100.exe라는 파일이 계속해서 생성됨 기회를 보다가 네트워크를 통해 전파됨

분명히 구분되어야 하는 이유

- 바이러스를 웜으로 오인하고 삭제한다면 윈도우에 중요한 파일이 삭제될 수 있음