본문 바로가기

Network, Security

세대별 컴퓨터 바이러스 분류

컴퓨터 바이러스

컴퓨터 바이러스는 프로그램의 한 종류로 사용자 몰래 은닉하여 데이터를 파괴하거나 정상 파일을 파괴하는 등의 행위를 하는 악성 프로그램이다. 컴퓨터 바이러스의 가장 큰 특징은 자기 복제이다. 바이러스는 자기 스스로 복제를 해서 증식하는 자기복제 특성을 지니고있다.

 

세대별 컴퓨터 바이러스

1세대 : 원시형 바이러스(Primitive Virus)

일반적으로 아마추어 프로그래머에 의해서 개발된 바이러스이다. 단순하여 분석이 쉽고 변형이 없이 고정된 크기를 가지고 있다. 일반적으로 주기억장치에 상주해서 부트영역이나 파일을 감염시키는 특성이 있다. 1세대 바이러스에는 돌(Stoned) 바이러스와 예루살램(Jerusalem) 바이러스가 있고 기존의 도스용 바이러스 대부분이 포함된다.

2세대 : 암호화 바이러스(Encryption Virus)

컴퓨터 프로그램의 일부 또는 전체를 암호화 시켜서 안티 바이러스로 바이러스 감염 여부를 확인할 수 없게 한다. 단, 암호화 방식이 일정해서 복호화 방식도 일정하다. 암호화 바이러스는 폭포(Cascade) 바이러스와 느림보(Slow) 바이러스가 있다.

3세대 : 은폐형 바이러스(Stealth Virus)

자기 스스로 은폐할 수 있는 바이러스이다. 다른 실행파일에 기생하여 그 실행파일의 크기를 증가시킨다. 파일 크기가 변경되기 때문에 안티 바이러스에서 발견하기 쉽다. 단, 안티 바이러스가 감염 여부를 확인할 때 감염되기 이전의 상태를 보여주게 하므로써 감염 여부를 확인하기 어렵게 한다. 맥가이버(MacGyver) 바이러스와 브레인(Brain) 바이러스, 512 바이러스가 있다.

4세대 : 갑옷형 바이러스(Armor Virus)

다양한 암호화 기법을 사용해서 은폐하는 기법을 사용하기 때문에 안티 바이러스로 진단하기 어렵다. 바이러스가 프로그램을 변형하기 위해서 수많은 방법을 사용한다. 대부분 전문 프로그래머에 의해서 개발되었지만 진단이나 치료가 불가능하지는 않다. 다형성(Polymorphic) 바이러스와 자체 변형(Self-encryption) 바이러스가 있다.

5세대 : 매크로 바이러스(Macro virus)

엑셀이나 워드처럼 매크로 명령을 사용하는 프로그램을 감염시키는 바이러스이다. 전문 프로그래머가 아니여도 누구나 쉽게 만들 수 있고 배포할 수 있다. 매크로 바이러스는 운영체제와 관계없이 동작하는 응용 프로그램 내부에서 동작하는 것이 가장 큰 특징이다. 대부분 매크로 기능이 있는 MS사의 오피스 제품과 비지오, 오토캐드 등 VBS(Visual Basic Script)를 지원하는 다양한 프로그램에서 활동한다. Melisa 바이러스, Laroux 바이러스, Nimda 바이러스가 있다.

 

감염 대상에 따른 컴퓨터 바이러스

부트 바이러스 : 컴퓨터의 전원을 켜면 디스크에 저장되어 있는 운영체제를 메모리로 로드하는데 이 과정을 부팅이라 하고 부팅에 필요한 부트 정보를 가지고 있는 디스크 영역을 부트 섹터(Boot Sector)라고 한다. 부트 바이러스는 부트 섹터에 영향을 주는 바이러스로 부트 섹터가 감염되면 컴퓨터가 부팅되지 않거나 부팅 시간이 오래걸린다. 브레인 바이러스와 미켈란젤로(Michelangelo) 바이러스가 있다.

파일 바이러스 : 사용자가 사용하는 일반적인 파일에 감염되는 바이러스이다. 윈도우의 실행파일인 EXE, COM 등의 파일을 감염시킨다. 이러한 파일 바이러스는 기생형, 겹쳐쓰기형, 산란형, 연결형으로 나눠진다.

기생형 바이러스 원래의 프로그램은 파괴하지 않고 파일의 앞, 뒤에 붙어서 기생하는 형태이다. 바이러스 감염 여부 확인은 힘들다.
겹쳐쓰기형 바이러스 파일의 앞부분을 겹쳐쓴다. 원래의 프로그램이 파괴되어 파괴된 프로그램은 복구가 불가능하다.
산란형 바이러스 실행 파일중 EXE 파일을 감염시키지 않고 COM 파일을 새로 만든다. 같은 디렉터리에 같은 이름의 EXE와 COM이 있을 경우 상요자가 해당 프로그램 실행 시 COM 이 실행된다.
연결형 바이러스 프로그램을 감염시키지 않는다. 디렉터리 영역에 저장된 프로그램의 시작위치를 바이러스 위치로 변경하고 해당 프로그램을 실행하면 바이러스가 실행된다.
반응형