바이러스 분류
□ 악성 프로그램 정의에 의한 분류
대 분 류 | 코드 | 정 의 |
바이러스 | virus | 컴퓨터(네트워크로 공유된 컴퓨터 포함)내에서 사용자 몰래 다른 프로그램이나 실행 가능한 부분을 변형해 자신 또는 자신의 변형을 복사하는 명령어들의 조합이라고 정의할 수 있다. 바이러스의 가장 큰 특성은 복제와 감염이라고 말할 수 있다. |
웜 (인터넷 웜) | worm | 인터넷(또는 네트워크)을 통하여 시스템에서 시스템으로 자기복제를 하는 프로그램을 의미한다. 최근에는 가정에도 인터넷 전용회선이 많이 보급되어 있어 사무환경뿐만 아니라 가정환경에 이르기까지 광범위하게 확산되어 업무장애뿐만 아니라 개인의 프라이버시 침해까지 발생하고있다. |
트로이 목마 (or 백도어) | trojan | 트로이 목마 프로그램은 유틸리티 프로그램 내에 악의의 기능을 가지는 코드를 내장하여 배포하거나 그 자체를 유틸리티 프로그램으로 위장하여 배포하게되며 특정한 환경이나 조건 혹은 배포자의 의도에 따른 사용자의 정보유출이나 자료파괴와 같은 피해를 준다. |
가짜 (Hoax) | hoax | Hoax 는 전자메일로 다른 사람에게 거짓 정보 즉 루머를 유포하는 것으로 사용자에게 심리적인 위협 또는 불안을 조장하는 경우가 포함되며 사람에 의하여 다른 사람에게 전파되는 행운의 편지와 같은 유형의 메일을 의미한다. |
조크 (Joke) | joke | 조크는 트로이 목마와 달리 악의적인 목적을 가지지 않고 사용자에게 심리적인 위협 혹은 불안을 조장하는 프로그램을 말한다. 조크의 경우 특별한 부작용을 가지지 않으나 프로그램을 실행할 경우 깜짝 놀랄 수 있어 유해 프로그램으로 분류하고 있다. |
□ 운영체제에 의한 분류
대 분 류 | 코드 | 정 의 |
도 스 | dos | MS-DOS 기반에서 활동하는 일반적인 부트, 파일, 부트/파일 바이러스 또는 트로이 목마류 |
윈도우 | win | MS 윈도우 기반에서 활동하는 바이러스 및 악성 프로그램들로 다음과 같이 윈도우 버전별로 구분될 수 있다. - Win3.1 바이러스(NE) : 16비트 코드로 작성된 New Executable 포맷을 가진 실행 파일만 감염 예) Win16/ - Win9x 바이러스(PE) : 32비트 코드로 작성된 파일만 감염. 즉, 확장자가 EXE이며, 윈도우 95/98의 32비트 실행 파일인 Portable Executable 포맷을 가진 실행 파일만 감염 예) Win95/ - Win32 바이러스(PE) : Win9x 바이러스와 동일하지만 윈도우 NT 계열에서도 정상적으로 메모리에 상주 예) Win32/ |
Linux | linux | 리눅스 운영체제의 보안상 취약점을 이용하여 실행되는 악성 프로그램들 |
Unix | unix | 유닉스 운영체제의 보안상 취약점을 이용하여 실행되는 웜 종류들 |
Palm | palm | Palm 운영체제에서 활동하는 트로이 목마 또는 단순한 겹쳐 쓰기 바이러스 |
FreeBSD | frBSD | 아파치 웹서버의 취약점을 이용하여 전파되는 웜 |
□ 감염 영역(부위)에 따른 분류
대 분 류 | 코드 | 정 의 |
파일 바이러스 | file | 일반적으로 실행 가능한 프로그램 파일에 감염, 윈도우에서는 다양한 형태의 실행 파일이 존재하므로 감염되는 파일 종류도 여러 가지 임 여기서, 다시 도스 파일 바이러스, 윈도우 파일 바이러스, 매크로 바이러스로 분류됨 |
부트 바이러스 | boot | 부트 영역(주부트 섹터, 도스 부트섹터)에 감염되는 바이러스 예) 기존의 도스환경의 부트 바이러스들 |
부트/파일 바이러스 | bt/file | 부트 영역과 파일을 동시에 감염시키는 바이러스 |
매크로 바이러스 | macro | MS 오피스의 매크로 기능을 이용하여 문서파일을 감염시키는 바이러스 |
스크립트 바이러스 | script | 자바 스크립트 및 비주얼베이직 스크립트로 작성된 웜 또는 바이러스 |
□ 감염 경로에 의한 분류
대 분 류 | 코드 | 정 의 |
파일실행 | Execute | 감염된 파일을 실행 시 감염되지 않는 다른 파일을 감염 |
다운로드 (FTP, 뉴스그룹, IRC, 메신저, P2P) | DLoad | 대상을 다운로드 받고 사용자가 파일을 실행하면 감염 |
네트워크 (공유폴더) | Internet | 1. 서브넷 상의 읽기/쓰기 공유된 폴더 내 파일을 감염시키거나 웜 또는 바이러스가 복사되는 방법 2. 랜덤 한 IP 대역을 스캐닝 하여 읽기/쓰기 공유된 폴더 또는 드라이브 파일을 감염 또는 웜, 바이러스가 복사되는 방법 |
보안 취약성 | Security | IIS 웹 서버 취약성과 같이 특정 응용 프로그램이나 OS의 취약성을 이용하는 방법 |
메 일 | MAPI 또는 SMTP 기능으로 메일을 통하여 전파되는 방법 | |
부 팅 | Booting | 부팅에 의하여 기본 메모리가 바이러스에 감염 |
□ 악성 프로그램 증상에 의한 분류
대 분 류 | 코드 | 상 세 분 류 | 정 의 |
하드디스크관련 | HDisk | 하드 포맷 | 하드를 포맷하도록 설계되어있다. |
부트섹터 파괴 | 하드디스크의 특정 섹터를 파괴한다. | ||
파일관련 | File | 파일 생성 | 바이러스가 특정 파일을 생성한다. |
파일 삭제 | 디렉토리의 모든 혹은, 특정 파일을 삭제한다. | ||
파일 감염 | 바이러스가 특정 파일을 감염시킨다. | ||
파일 손상 | 바이러스가 겹쳐 쓰는 형태로 동작하는 경우 파일이 손상된다. | ||
시스템관련 | System | 시스템 정보 변경 | 레지스트리 키 값을 변경하여 시스템 정보를 변경한다. |
FAT 파괴 | 시스템이 FAT인 경우에 이를 파괴시킨다. | ||
CMOS 정보손상(변경) | CMOS의 내용을 변경하여 부팅 시 에러가 발생한다. | ||
CMOS 정보파괴 | CMOS의 일부항목을 삭제한다. | ||
시스템 비정상작동 | 바이러스가 시스템을 마비시킨다. | ||
기본 메모리 감소 | 감염되면 기본 메모리가 줄어든다. | ||
시스템 속도 저하 | 시스템에 과부하를 야기 시켜 속도를 저하시킨다. | ||
레지스트리 변경 | 바이러스가 레지스트리를 변경시켜 특정 파일을 실행시킨다. | ||
프로세스 종료 | 보안관련 프로세스가 실행되어 있을 경우, 이를 종료시킨다. | ||
윈도우 종료 | 바이러스에 감염되면 시스템이 종료된다. | ||
네트워크 관련 | NWork | 메일 발송 | 감염된 파일 실행 시 메일을 발송한다. |
정보 유출 | 사용자의 정보가 메일의 내용으로 보내질 수 있어 정보 유출시킨다. | ||
네트워크 속도 저하 | 바이러스에 감염된 PC는 네트워크 속도가 저하된다. | ||
메시지 전송 | 네트워크를 통해 다른 PC로 메시지를 전송한다. | ||
특정 포트 오픈 | 다른 증상은 없으나 특정 포트를 열어두는 특징이 있다. | ||
특이 증상 | Peculiar | 화면 출력 | 메시지가 화면에 스크롤 되며 출력된다. |
특정음 출력 | 감염된 PC는 특정음을 출력한다. | ||
메시지 박스(문자열) 출력 | 특정 메시지를 화면에 출력한다. | ||
증상없음 | 감염 외 특이한 증상이 없다. |
댓글 없음:
댓글 쓰기