악성 프로그램(악성 모바일 코드:Malicious Mobile Code)은 일반적으로 제작자가 의도적으로 컴퓨터 사용자에게 직간접적으로 피해를 주고자 만든 악의적인 프로그램을 총칭합니다.
크게 컴퓨터바이러스, 트로이목마, 웜 등으로 분류합니다.
다시 말해서 웜과 트로이목마는 바이러스속에 포함되지 않는다는 것을 분명히 언급해 드립니다.
1. 컴퓨터 바이러스(Computer Virus)
컴퓨터 바이러스는 대부분 바이러스라는 약어로 많이 사용되며, 정상적인 파일이나 부트영역을 침입하여 그 곳에 자신의 코드를 삽입하거나 감염시키는 프로그램을 말합니다.
감염방법이나 기법, 동작원리등에 따라 부트 바이러스, 메모리 상주형 바이러스, 파일 바이러스, 덮어쓰기, 은폐형 등등 여러가지로 세분화 되어 나뉠 수 있는데, 여기에서는 크게 정의만 내리도록 하겠습니다.
컴퓨터 바이러스는 컴퓨터 사용자 몰래 다른 파일(프로그램)에 자신을 복사하는 프로그램입니다.
2. 트로이 목마(Trojan Horse / Trojan Downloader)
트로이목마 라는 것은 컴퓨터 바이러스와 달리 다른 파일을 감염시키는 기능이 없는 프로그램으로서 사용자의 컴퓨터등에 피해를 주는 것으로 생각하시면 좋습니다.
예를 들어 어떤 특정 파일을 실행했을 경우 시스템이 포맷된다거나 하는 부작용이 있다면 그것은 사용자가 원하지 않는 증상을 가진 악의적인 프로그램으로 트로이목마로 분류되어 백신에 업데이트 됩니다.
트로이목마라는 컴퓨터 용어는 그리스와 트로이 사이의 전쟁을 다룬 그리스 신화에서 유래된 것입니다.
그리스는 트로이의 왕자 파리스에게 빼앗긴 스파르타의 왕비 헬렌을 되찾기 위해 트로이와 10년 동안 전쟁을 벌이지만, 트로이 성 함락에는 번번이 실패했습니다.
이에 그리스는 맹장 오디세우스의 계책을 받아들여 속이 빈 거대한 목각 말을 만든 다음, 그 안에 병사들을 숨겨둔 채 퇴각하게 됩니다.
트로이 사람들은 목마를 그리스의 선물로 여겨 성 안에 들여놓았고, 전쟁에서 이겼다는 기쁨에 겨워 모두 술에 만취해 잠이 듭니다.
그날 밤, 목마 안에 숨어 있던 그리스 병사들은 트로이 병사들이 잠든 틈을 타서 성문을 열었고, 돌아온 그리스 병사들에 의해 트로이는 함락당하게 됩니다.
남 몰래 침입하는 행위를 비유적으로 표현하는 용어인 트로이목마(Trojan Horse)는 컴퓨터에서 유용한 프로그램으로 가장해 시스템 자원에 접근하거나 파일을 파괴하는 증상을 가지고 있거나, 정보를 빼돌리는 악성 프로그램을 통칭합니다.
최근에는 인터넷을 이용하여 특정 웹사이트에서 트로이목마를 다운로드 하는 Trojan Downloader 라는 트로이목마도 많이 생겨나고 있는데 이런류의 프로그램은 어떤 프로그램이 추가적으로 유입될 지 모르는 일이기 때문에 더욱 더 위험할 수 있습니다.
▣ 컴퓨터 바이러스와 트로이 목마 프로그램의 차이점
컴퓨터 바이러스 - 정상적인 부트영역/파일등을 감염시키면서 확산한다.
트로이목마 - 다른 파일을 감염시키지 못하고, 스스로 피해를 유발한다.
3. 웜(Worm/I-Worm/P2P Worm/mIRC Worm)
컴퓨터 바이러스와 가장 많이 혼동하시는 것이 바로 웜 입니다.
웜 이란 영어로 벌레라는 의미를 가지고 있습니다.
쉽게 설명드리면 TV 같은 거 보시면 벌레들은 보통 많이 모여서 있지요?
구더기 생각하시면 좋을듯..
좀 표현상 안좋지만 이해하시는데 도움이 되고자 하는것이니 이해해 주세요^^
우글 우글 이라는 표현을 쓰면서요.
컴퓨터 용어에서 웜 이라는 것은 보통 증식(늘어난다)을 의미합니다.
웜이란 다른 파일을 감염시키는 컴퓨터 바이러스와는 크게 구분을 짓고 있습니다.
컴퓨터 바이러스는 부트영역에 침입하거나 메모리에 상주하거나 또는 정상적인 파일에 침입하여 감염활동을 합니다.
하지만 웜 이라는 놈은 자기 스스로의 증식을 목적으로 하는데, 보통은 파일스스로 그런 기능을 가지고 있거나 윈도우의 운영체제인 경우 시스템등에 자기 자신을 감염시킵니다.
여기서 말하는 시스템 감염이란 레지스트리 RUN 등에 자신을 등록하여, 윈도우가 시작될 때 스스로 동작하도록 만드는 방법이 많이 이용됩니다.
절대로 다른 파일을 감염시키는 것이 아니라는 점을 분명히 기억해 주세요.
파일이 아니라 시스템을 감염(자동 실행가능 하도록 파일 등록)시키거나 감염된 파일(웜 복사본)을 생성하고 확산하는 것입니다.
윈도우가 아닌 도스 시절때에 웜이란 용어는 특정 파일을 실행하면 시스템에 임의의 어떤 파일이 계속 만들어지는등의 파일 증식을 통상적으로 웜으로 말하거나 실행하면 도스화면에 메시지등이 나오는 단순 증상을 가진 것들이 많았습니다.
당시 국내에서는 웜이라는 영문 용어보다는 벌레 프로그램이라는 한글 용어가 더 많이 쓰였으며, 개인 컴퓨터 보다는 그 공격목표가 기업등의 대형 컴퓨터에 침입하여 증식하는 것이 목표인 경우가 많았고, 그 수도 컴퓨터 바이러스에 비해 매우 적은 편이라 많이 알려지지 않았습니다.
단순 증식을 그 분류기준으로 삼았습니다.
예를 들면 test.exe 라는 파일을 실행했더니 바이러스 처럼 다른 파일을 감염시켜서 변형하지는 않는데, C 드라이브에 1.exe 에서 100.exe 라는 파일이 계속적으로 생성되는 증상이 있다면 그것은 웜이라고 분류가 되는 것입니다.
하지만 도스시절에서는 웜이 그렇게 많이 알려지지는 못했습니다.
윈도우 시대로 넘어오면서 웜은 1999년 이메일에 자신을 스스로 첨부하도록 하는 새로운 방법이 나왔고 다른 사람의 이메일 주소를 수집하고 스스로 전달되는 형태의 인터넷 웜(I-Worm)이 출현하면서 일반인들에게 웜이라는 용어가 알려지기 시작했습니다.
현재의 웜들은 대표적으로 이메일에 웜을 첨부파일로 이용하여 확산하고, 또는 각종 운영체제나 프로그램의 보안 취약점을 이용하여 스스로 침투하거나, mIRC 채팅프로그램, P2P 파일공유 프로그램, 이메일 관련 스크립트 기능, 네트워크 공유기능등의 허점을 이용하여 스스로 확산하고 증식하여 시스템에 부담을 주거나 웜이 첨부된 이메일을 다량으로 발송하여 전 세계적으로 빠르게 확산되어 피해가 커지는 부작용이 유발되고 있습니다.
물론 웜이라는 기능을 가지고 있으면서도 다른 파일을 감염시키는 컴퓨터 바이러스의 기능을 복합적으로 가지고 있는 것도 보고된 바 있습니다.
이런 웜과 바이러스 기능을 복합적으로 가진 악성프로그램은 보통 웜 보다는 컴퓨터 바이러스에 더 큰 가중치를 주는 편입니다.
정상적인 파일을 감염시키는 점이 있다는 것만으로 바이러스라고 정의를 내릴 수 있으며, 그 외 추가적인 확산기법이 웜에 해당되더라도 그건 부가적인 확산 기능으로 봐야 할 것입니다.
예)멜리사 = 매크로 바이러스 + 웜 기능 -> 워드 매크로 바이러스
그러므로 일반적으로 사용되고 있는 [웜바이러스]라는 용어는 적절치 못하다고 말씀드리고 싶습니다.
뉴스나 신문등의 매스컴에서는 보통 웜 이라는 용어 보다는 웜바이러스라는 용어를 쓰고 있는데, 그 이유는 일반인들이 아직 웜 이라고 말하면 잘 모르고 바이러스라는 말이 들어가면 쉽게 이해하고 있다는 것을 내세우며 그 용어를 사용하고 있지만, 이는 정확한 정보를 전달해야 하는 매스컴은 그 타당성면이나 주장에서 적절하지 못하다고 봅니다.
매스컴은 좀더 정확하고 확실한 내용을 알려줘야 하는 입장인데 오히려 잘못된 용어를 사용하고 있는 것이지요.
실례로 최근에 많이 확산되어 문제가 됐던 Sobig.F 변종은 웜으로 다른 정상적인 파일을 감염시키지 않고, 감염시스템에 추가적으로 웜 파일이 생성(증식)되고, 이메일을 이용하여 스스로 확산됩니다.
분명히 컴퓨터 바이러스가 아니고 웜에 해당되어 백신업체도 웜으로 분류되어 명시되어 있습니다.
하지만 대부분의 보도자료를 보면 일부를 제외하고 모두 웜바이러스 또는 바이러스라는 잘못된 용어를 사용하고 있습니다.
참고로 외국의 경우에는 Worm(증식확산) 과 @mm(다량의 이메일발송) 이라는 것을 구분 짓기도 하는데, 무조건 이메일에 첨부된다고 해서 웜이라고 구분하지는 않습니다.
전자우편의 [~에서]를 뜻하는 @[at/골뱅이]과 mass mailer[다량의 이메일]의 약자를 써서 @mm 이라는 것이 있습니다.
이것은 계속해서 악성프로그램이 첨부된 이메일만을 보내는 종류를 의미합니다. 좀더 세분화 했다고 보시면 되겠네요.
국내의 경우는 Mass Mailer 와 Worm 이 일반적으로 통용되고 있습니다.
또한 일반 사용자가 이런 세부적인 내용까지 알아야 하냐고 부정하시는 분들을 위하여 한가지 더 말씀드립니다.
만약 사용자 컴퓨터에 어떤 수상한 파일이 발견되거나 계속해서 생성되는 파일이 있는 경우 이런 사전지식을 가지고 있으면 응급대처하는 능력이 향상됨과 동시에 백신에서 진단되지 않는 신종이나 변종 악성프로그램에 대하여 먼저 발견하고 조치를 취할 수 있습니다.
웜과 바이러스는 그 증상이나 특징도 틀리지만 치료법 역시 크게 차이가 납니다.
이것은 매우 중요한 내용이오니 꼭 읽어주시기 바랍니다.
먼저 컴퓨터 바이러스는 일반적으로 다른 파일등을 감염시킨다고 정의내렸습니다.
그렇다면 정상적인 파일에 바이러스코드가 추가된 경우입니다.
백신프로그램은 악성프로그램을 진단/치료해 주는 프로그램입니다.
만약에 어떤 정상적인 파일에 바이러스가 감염되어 파일이 변형된 경우 백신프로그램은 바이러스에 감염되어 변형된 파일에서 바이러스 부분만 제거해서 정상적인 파일을 사용자에게 돌려주어야 그것이 바로 치료입니다.
물론 예외의 경우도 존재하는데, 겹쳐쓰기 형식의 바이러스 경우는 바이러스가 정상적인 파일을 모두 바이러스 파일로 덮어쓰기 하기 때문에 정상적인 파일이 사라져서 백신에서 치료를 하지 못하고 삭제를 해 주어야 합니다.
반면에 웜의 경우는 정상적인 파일을 감염시키는 것이 아니고 스스로 증식확산 하는 것으로 정의를 내렸기 때문에 백신프로그램으로 치료를 한다는 의미는 증식된 파일이나, 웜 파일 자체만을 삭제하는것이 바로 치료를 하는 것입니다.
▣ 웜과 컴퓨터 바이러스 치료방법 차이
▶ 웜 - 감염된 웜파일 자체 삭제
▶ 컴퓨터 바이러스 - 감염된 파일 치료후 정상 파일 복원
만약에 컴퓨터 바이러스를 웜으로 오인하고 삭제를 한다면 윈도우에 감염된 모든 파일이 삭제되는 잘못된 치료가 되는 경우도 존재합니다.
이러한 여러가지 이유로 웜과 바이러스가 분명하게 분류되어 있는 것입니다.
물론 일부 특정 바이러스는 정상적인 파일의 어떤 코드를 보고 감염을 시키는데 백신프로그램에서 그 기능을 역으로 이용하여 재감염을 막고자 정상적인 프로그램에 일부 코드를 치료할 때 삽입하는 경우가 있기도 합니다.
이는 프로그램의 변형이기는 하지만 재감염을 막고자 하는 조치이며, 그 프로그램은 정상적으로 실행이 가능하도록 하는 것이 기본 원칙이다.
▣ 컴퓨터 바이러스와 웜의 차이점
컴퓨터 바이러스 - 기존에 존재하던 정상 파일을 감염 시키고, 부작용을 유발한다.
웜 - 파일을 감염시키지 않고 여러 경로나 방법을 이용하여 스스로 확산하거나 증식하며, 부작용을 유발한다.
4. 백도어(Backdoor:외부침입/원격제어)
백도어란 말 그대로 뒷문이라는 뜻으로 일반적으로 말하는 해킹(크래킹)관련 악성 프로그램으로 이해하시면 됩니다.
이런 종류의 악성프로그램은 누군가가 고의적으로 설치하는 경우가 많으며, 사용자 몰래 설치된 백도어 프로그램은 외부에서 네트워크를 통하여 원격제어를 할 수 있는데 특정 파일을 삭제하거나 시디롬을 열거나 시스템을 종료할 수 도 있고, 특정 정보가 외부로 유출되는 피해가 발생할 수 도 있습니다.
백도어는 컴퓨터 바이러스 처럼 다른 파일을 감염시키지 못하며, 백도어의 가장 큰 기능은 외부에서 다른 컴퓨터에 접근할 수 있도록 설계되어 있는 프로그램을 말합니다.
5. 익스플로잇(Exploit:악용,착취)
익스플로잇이라는 것은 여러가지 보안 취약점이나 네트워크 서비스의 기능등을 악용하여 다른 컴퓨터등을 공격하는 코드나 프로그램을 말합니다.
6. 드롭퍼(Dropper)
드롭퍼는 일종의 악성프로그램 설치프로그램이라고 보시면 됩니다.
그 파일이 실행되면 내부에 포함되어 있던 바이러스나 웜, 또는 트로이목마등의 악의적인 프로그램이 설치되는 것을 의미합니다.
7. 스크립트(Script)
스크립트는 여러 종류가 있으며, 컴퓨터 프로세서나 컴파일러가 아닌 다른 프로그램에 의해 번역되고 수행되는 명령문의 집합을 의미합니다.
스크립트의 기능을 이용하여 다른 파일을 겹쳐쓰기하여 파괴하거나, 이메일에 특정파일(웜/바이러스)을 첨부하거나 하여 사용되는 악성 프로그램으로 스크립트에는 다른 파일을 감염시키는 바이러스도 있으며, 증식확산하는 웜도 존재한다.
많이 알려져 있는 것이 VBS(비주얼 베이직 스크립트)형식의 악성프로그램들이 대표적입니다.
loveletter.vbs 가 많이 알려져 있습니다.
기타 등등 악성프로그램을 통칭하는 악성 모바일 코드(Malicious Mobile Code)는 사용자 허가 없이 시스템을 악용할 목적으로 제작된 프로그램을 총칭합니다.
다시 한번 정리해서 말씀드립니다.
바이러스와 웜 트로이목마, 백도어등등은 각각 의미가 모두 다른데 최근에 같은 의미라고 생각하시는 분들이 많이 계신것 같습니다.
일부 백신업체에서도 백도어를 바이러스라고 설명하는 모습을 가끔 봅니다.^^;;
제대로 알고 쓰면 좋겠죠?^^
악성 모바일 코드라고 통칭하는 악성프로그램들은 그 종류에 따라 여러 가지로 분류됩니다.
컴퓨터 바이러스(일반적으로 줄여서 바이러스)란 그 행동양식이 생물학적 바이러스와 비슷하여 자신을 복제(감염)하기 위한 숙주(감염) 파일이나 부트영역을 변경하는 악성 프로그램이며, 그와 다른 백도어나 트로이 목마는 실체를 드러내지 않은 채 컴퓨터 사용에 유용한 프로그램등으로 위장하여 사용자가 실행시키는 경우 사용자에게 피해를 주는 악성 프로그램입니다.
좀더 쉽게 말하자면 컴퓨터 바이러스는 다른 파일을 감염시켜서 정상적인 코드에 바이러스 코드가 추가되는 것으로 백신프로그램은 정상적인 파일에서 바이러스 코드만 제거하거나 수정해 주면 그것이 바로 치료입니다.
하지만 다른 파일을 감염시키지 않는 악성프로그램들은 삭제가 바로 치료이므로, 그 해결법이 약간 다릅니다.
물론 치료가 가능한 바이러스를 웜으로 오인하여 정상적인 파일에 감염된 바이러스를 백신프로그램이 웜으로 판단하고 그 파일을 삭제한다면 이는 백신의 오진이라고 보셔야 할 겁니다.
이처럼 백도어나 트로이 목마는 일반적인 바이러스처럼 다른 파일을 감염 시키지 않으며, 제작자에 의해 고의적으로 인터넷을 통해 유포되거나 웜과 결합하여 광범위하게 확산이 됩니다.
Backdoor 란 말 그대로 뒷문이라는 의미로 몰래 침입할 수 있는 뒷문을 만드는 프로그램이라고 보시면 됩니다.
직간접적으로 백도어가 실행되면 원격에서 누군가가 실행된 컴퓨터에 침입하여 실행된 컴퓨터를 원격으로 조정을 할 수 있는 위험한 프로그램입니다.
이해할 수 있게 쉽게 말하면 일종의 해킹(크래킹)프로그램 이라고 말할 수 있습니다.
드로퍼(Dropper)는 컴퓨터 사용자가 인지하지 못하는 순간에 바이러스 혹은 트로이 목마 프로그램을 사용자의 컴퓨터에 설치(install)하는 프로그램을 말합니다.
드로퍼는 자기 자신을 복제하는 기능은 없지만 컴퓨터 바이러스를 전파시킬 수 있다는 위험이 있으므로 이를 제거하는 작업도 반드시 필요합니다.
웜은 자체적인 코드만을 가지고 다른 네트웍을 통한 전파나 자기복제가 가능한 악성코드입니다.
초기의 웜들은 끊임 없이 자기를 복제하여 디스크 혹은 메모리의 공간을 낭비하게 되는 역할을 했지만 인터넷의 보급과 함께 알려진 인터넷웜(I-Worm)은 컴퓨터에 직접적인 피해를 주기도 하며, 인터넷과 이메일등을 통해 감염속도가 다른 어떤 것보다 빠르다는 특성을 가지고 있어, 매우 위험하고, 계속 이메일을 발송할 경우나 수신할 경우 과부하가 발생하여 시스템에 피해를 줄 수 있습니다.
웜은 이메일이나 채팅(IRC), P2P 또는 시스템 사이의 네트워크를 이용해 사용자의 의도와 상관없이 전파(확산)되며, 웜을 실행해서 감염될 경우 스스로 또 확산을 시도하며, 내부에 특정 파괴증상등을 포함하는 경우도 많이 있기 때문에 수상한 이메일이나 파일이 생성되면 신종 웜으로 의심해 주시고 신고를 해주셔야 합니다.
바이러스와 달리 웜은 소프트웨어나 보안 허점을 많이 이용합니다.
시스템에 직접적인 해를 입히지는 않지만 사용자를 놀라게 하거나 바이러스 증상처럼 위장한 장난 프로그램(Joke)이나 특정 조건이 만족되면 미리 정해진 공격을 하는 Logic Bomb 등이 있습니다.
혹스(Hoax:남을 속이거나 장난을 친다는 뜻을 지님)는 말 그대로 존재하지 않는 가짜 바이러스 입니다.
이러한 Hoax들은 흔히 공신력 있는 기관을 사칭하거나 복잡한 기술 용어들을 나열해가면서 사용자의 컴퓨터 시스템에 큰 위험이 있음을 경고하곤 합니다.
Hoax 는 인터넷과 전자우편의 보급화와 함께 사람들에게 널리 퍼질 수 있게 되었습니다.
그냥 무시하면 되겠죠^^
출처:Anti Virus Research Zone
(cafe.daum.net/avzone)