바이러스의 개념과 세대 별 바이러스의 이해
목차
바이러스의 개념
가장 기본적인 형태의 악성 코드로 사용자 컴퓨터 (네트워크로 공유된 컴퓨터 포함)에서 프로그램이나 실행 가능한 부분을 사용자가 인지하는 순간에 수정하여 자신 또는 자신의 변형을 복사하는 것을 말한다.
원시형 바이러스
처음 컴퓨터 바이러스가 등장한 시점의 가장 원시적인 형태로, 단순하게 자기 복제 기능과 데이터를 파괴하는 기능만 보유하고 있다.
1세대 원시형 바이러스
부트 바이러스
플로피디스크나 하드디스크의 부트 섹터에 감염되는 바이러스, MBR과 함께 PC 메모리에 저장되어 부팅 시 자동으로 동작하여 부팅 후에 사용되는 모든 프로그램을 감염시킨다. 부트 바이러스를 이해하기 위해선 컴퓨터의 부팅 순서 대해 이해하고 있어야 한다.
- 1단계 : POST
- 운영체제를 설치할 때 하드웨어 자체가 시스템에 문제가 없는지 기본 사항을 스스로 확인하는 POST(Power On Self Test) 과정을 항상 거치는데 POST는 BIOS(Basic Input/Output System)에 의해 실행, 문제가 발견되면 경고음 등으로 알려준다.
- 2단계 : CMOS
- CMOS(Complementary Metal-Oxide Semiconductor)에서 기본 장치 설정과 부팅 순서를 정할 수 있으며 이러한 기본 설정 사항을 BIOS가 읽어 시스템에 적용한다.
- 3단계 : 운영체제 위치 정보 로드
- 윈도우 2003 이전 버전 : 마스터 부트 레코드 (Master Boot Record, MBR) 정보를 읽는 단계
- 윈도우 2008 이후 버전 : 윈도우 부트 매니저 (window boot manager)가 실행되는 단계
부트 바이러스는 3단계인 운영체제 위치 정보 로드 단계에서 동작한다.
부트 바이러스에 감염된 플로피디스크로 운영체제를 구동하면 바이러스가 MBR과 함께 PC메모리에 저장되고 부팅 후에 사용되는 모든 프로그램에 자신을 감염시킨다. 부트 바이러스의 종류에는 브레인, 몽키, 미켈란젤로 바이러스 등이 있다.
파일 바이러스
파일 바이러스는 파일을 직접 감염시켜 바이러스 코드를 실행시키는 것으로 하드디스크 부팅이 일반화되면서 부트 바이러스의 대안으로 등장한 것이다. COM, EXE와 같은 실행 파일과 오버레이 파일, 디바이스 드라이버 등에 감염되며 전체 바이러스의 80% 이상을 차지하고 있으며, 파일 바이러스는 프로그램을 덮어쓰는 경우, 프로 그램 앞부분에 실행 코드를 붙이는 경우, 프로그램 뒷부분에 바이러스 코드를 붙이는 경우가 있다.
바이러스가 프로그램 뒷부분에 위치하는 것은 백신의 바이러스 탐지 및 차단 스캔으로부터 자신의 존재를 숨기기(은닉) 위해서이다.
2세대 암호형 바이러스
암호형 바이러스는 바이러스 코드를 쉽게 파악하여 제거할 수 없도록 암호화한 바이러스를 뜻한다.
바이러스 동작 시 메모리에 올라오는 과정에서 암호화가 해제되기 때문에 백신은 이를 이용하여 메모리에 실행되어 올라온 바이러스와 감염 파일을 분석하고 치료한다.
암호형 바이러스에는 슬로(slow), 캐스케이드 (cascade), 원더러(wanderer), 버글러(burglar) 등이 있다.
3세대 은폐형 바이러스
바이러스에 감염된 파일이 일정 기간 잠복기를 가지도 록 만든 것, 이는 바이러스가 확산되기도 전에 활동하 기 시작하면 다른 시스템으로 전파되기 힘들기 때문이다.
은폐형 바이러스에는 브레인, 조시(Joshi), 512, 4096 바이러스 등이 있다.
4세대 다형성 바이러스
백신 프로그램은 바이러스 파일 안의 특정한 식별자로 바이러스 감염 여부를 판단하는데 이 기능을 우회하기 위해 사용하는 것이 다형성 바이러스이다.
코드 조합을 다양하게 할 수 있는 조합(Mutation) 프로그램을 암호형 바이러스에 덧붙여 감염시키므로 프로그램이 실행될 때마다 바이러스 코드 자체를 변경하여 식별자를 구분하기 어렵게 한다. 하지만 다형성 바이러스는 제작하기도 어렵고 진단하기도 어렵다는 점이 있다.
5세대 매크로 바이러스
MS 오피스 프로그램의 매크로 기능으로 감염되는 바이러스를 매크로 바이러스라고 하는데 비주얼 베이직 스크립트(VBS)로 많이 제작되고 이때부터 바이러스에 대한 인식을 많이 바꾸기 시작했다.
매크로 바이러스에는 워드 콘셉트(word concept), 와쭈(wazzu), 엑셀-라룩스(laloux), 멜리사 바이러스 등이 속한다.
매크로 바이러스의 증상
- 문서가 정상적으로 열리지 않거나 암호가 설정되어 있다.
- 문서 내용에 깨진 글자나 이상한 문구가 포함되어 있다.
- 매크로 메뉴가 실행할 수 없게 잠겨 있다.
- 엑셀이나 워드 작업 중 VB(Visual Basic) 편집기의 디버그 모드가 실행된다.
차세대 바이러스
스크립트 형태의 바이러스가 더욱 활성화되어 네트워크와 메일을 이용하여 전파되고 단순히 데이터를 파괴하고 다른 파일을 감염시키는 것에서 나아가 사용자 정보를 빼내거나 시스템 장악을 위한 백도어 기능을 가진 웜의 형태로 진화하였다.