컴퓨터 바이러스 분류

컴퓨터 바이러스의 분류

최초의 바이러스가 탄생한 이후 세상에는 얼마나 많은 종류의 바이러스가 있는지에 대해서는 의견이 분분하다. 아무리 바이러스가 많아도 바이러스의 수는 계속 증가하고 있습니다. 외국 통계에 따르면 컴퓨터 바이러스의 수가 매주 10개씩 증가하고 있습니다. 우리나라 공안부의 통계에 따르면 컴퓨터 바이러스의 개수는 한 달에 4~6개씩 증가하고 있습니다. 중국. 그러나 Sun Wukong이 아무리 강력해도 여래 부처님의 손바닥에서 벗어날 수 없으며 바이러스가 아무리 많아도 다음 유형에서 벗어날 수 없습니다. 바이러스는 더 잘 이해할 수 있도록 분류됩니다.

컴퓨터 바이러스의 특성과 특성에 따라 컴퓨터 바이러스를 분류하는 방법에는 여러 가지가 있습니다. 따라서 동일한 바이러스라도 다양한 방식으로 분류될 수 있습니다.

1. 컴퓨터 바이러스 공격에 따른 시스템 분류

(1) DOS 시스템을 공격하는 바이러스. 이런 종류의 바이러스는 가장 먼저 나타나며, 가장 많고, 가장 많은 변종을 가지고 있습니다. 현재 우리나라에 나타나는 컴퓨터 바이러스는 기본적으로 이런 종류의 바이러스로 전체 바이러스의 99%를 차지합니다.

(2) Windows 시스템을 공격하는 바이러스. Windows의 그래픽 사용자 인터페이스(GUI)와 멀티태스킹 운영 체제는 사용자들 사이에서 매우 인기가 높기 때문에 Windows는 점차 DOS를 대체하여 바이러스 공격의 주요 대상이 되고 있습니다. 지금까지 컴퓨터 하드웨어를 손상시키는 것으로 발견된 최초의 CIH 바이러스는 Windows 95/98 바이러스입니다.

(3) UNIX 시스템을 공격하는 바이러스. 현재 UNIX 시스템이 널리 사용되고 있으며 많은 대형 운영 체제가 UNIX를 주요 운영 체제로 사용하고 있습니다. 따라서 UNIX 바이러스의 출현은 인간의 정보 처리에 심각한 위협이 되기도 합니다.

(4) OS/2 시스템을 공격하는 바이러스. OS/2 시스템을 공격하는 세계 최초의 바이러스가 발견되었습니다. 비록 단순하지만 불길한 징조이기도 합니다.

2. 바이러스 공격 유형에 따른 분류

(1) 마이크로컴퓨터를 공격하는 바이러스. 이것은 세계에서 가장 널리 전염되는 바이러스입니다.

(2) 미니컴퓨터를 공격하는 컴퓨터 바이러스. 미니컴퓨터의 적용 범위는 매우 넓습니다. 네트워크의 노드 머신으로 사용하거나 소규모 컴퓨터 네트워크에서 컴퓨터 네트워크의 호스트로 사용할 수 있습니다. 처음에 사람들은 컴퓨터 바이러스는 마이크로컴퓨터에서만 발생할 수 있고 미니컴퓨터는 바이러스에 영향을 받지 않을 것이라고 생각했지만, 1988년 11월 인터넷망이 웜 프로그램의 공격을 받은 이후로 사람들은 미니컴퓨터도 컴퓨터 바이러스에 면역되지 않는다는 사실을 깨달았습니다. 공격.

(3) 워크스테이션을 공격하는 컴퓨터 바이러스. 최근 몇 년 동안 컴퓨터 워크스테이션은 큰 발전을 이루었고 응용 범위도 크게 발전했습니다. 따라서 컴퓨터 워크스테이션을 공격하는 바이러스의 출현도 정보 시스템에 큰 위협이 된다는 것을 상상하는 것은 어렵지 않습니다.

3. 컴퓨터 바이러스의 연결 방식에 따른 분류

컴퓨터 바이러스 자체가 컴퓨터 시스템을 공격하기 위해서는 공격 대상이 있어야 하기 때문에 컴퓨터 바이러스 공격의 대상은 컴퓨터 시스템 실행 부분입니다.

(1) 소스코드 바이러스

이 바이러스는 고급언어로 작성된 프로그램보다 먼저 원본 프로그램에 삽입되는 바이러스이다. 컴파일되고, 프로그램의 일부가 컴파일된 후에 합법적이 됩니다.

(2) 내장형 바이러스

이러한 종류의 바이러스는 기존 프로그램에 자신을 내장시켜 컴퓨터 바이러스의 주 프로그램과 공격 대상을 삽입 방식으로 연결시킨다. 이런 종류의 컴퓨터 바이러스는 작성하기 어렵고 일단 프로그램 본체에 침입하면 제거하기가 어렵습니다. 다형성 바이러스 기술, 슈퍼 바이러스 기술, 은밀한 바이러스 기술이 동시에 사용된다면 현재의 안티 바이러스 기술에 심각한 도전을 가져올 것입니다.

(3) 쉘 바이러스

쉘 바이러스는 메인 프로그램 주변을 둘러싸고 있으며 원본 프로그램을 수정하지 않습니다. 이런 종류의 바이러스는 가장 흔하고, 작성도 쉽고, 찾기도 쉽습니다. 일반적으로 테스트 파일의 크기를 알 수 있습니다.

(4) 운영체제 바이러스

이 바이러스는 자신의 프로그램을 사용하여 운영체제의 일부를 결합하거나 교체하는 강력한 파괴력을 가지고 있으며 전체 시스템을 마비시킬 수 있다. . 도트 바이러스와 마리화나 바이러스는 일반적인 운영 체제 바이러스입니다.

이 바이러스는 실행 시 바이러스 자체의 특성과 대체된 프로그램 모듈의 상태에 따라 운영 체제의 합법적인 프로그램 모듈을 자체 논리 부분으로 교체합니다. 운영 체제에서 실행 중인 운영 체제, 운영 체제를 교체하는 바이러스의 기능 및 교체 방법 등으로 인해 운영 체제가 손상될 수 있습니다.

4. 컴퓨터 바이러스로 인한 피해에 따른 분류

컴퓨터 바이러스는 피해에 따라 두 가지 범주로 나눌 수 있습니다.

(1) 양성 컴퓨터 바이러스

양성 바이러스란 컴퓨터 시스템에 즉각적이고 직접적인 피해를 주는 코드가 포함되어 있지 않은 바이러스를 말합니다. 이러한 유형의 바이러스는 자신의 존재를 보여주기 위해 컴퓨터의 데이터를 파괴하지 않고 한 컴퓨터에서 다른 컴퓨터로 지속적으로 확산됩니다.

어떤 사람들은 그러한 컴퓨터 바이러스의 전염을 단지 장난일 뿐이고 그것과 아무 관련이 없다고 생각하며 무시합니다. 사실 양성과 악성은 상대적인 용어입니다. 양성 바이러스가 시스템을 제어하게 되면 전체 시스템과 응용 프로그램이 CPU 제어를 위해 경쟁하게 되어 전체 시스템이 교착 상태에 빠지고 정상적인 작동에 문제가 발생하는 경우가 많습니다. 때로는 시스템에 여러 바이러스가 교차 감염되어 파일이 여러 바이러스에 반복적으로 감염되는 경우도 있습니다. 예를 들어 저장공간이 10KB밖에 안 되고, 그 안에 기생하는 각종 바이러스로 인해 전체 컴퓨터 시스템이 제대로 작동하지 못하는 것으로 드러났다. 따라서 소위 양성 바이러스가 컴퓨터 시스템에 미치는 피해는 과소평가될 수 없습니다.

(2) 악성 컴퓨터 바이러스

악성 바이러스란 컴퓨터 시스템의 손상 및 파괴를 코드에 담고 있는 행위를 말하며, 감염되거나 공격을 받으면 다음과 같은 직접적인 결과를 초래합니다. 파괴적인 효과. 미켈란젤로 바이러스와 같은 바이러스가 많이 있습니다. 미카엘리스 바이러스가 공격을 하게 되면 하드디스크의 처음 17개 섹터가 완전히 파괴되어 하드디스크 전체의 데이터를 복구하는 것이 불가능하게 되며, 이로 인한 피해는 복구가 불가능합니다. 일부 바이러스는 하드 드라이브 포맷과 같은 손상을 일으킬 수도 있습니다. 이러한 운영 코드는 바이러스의 성격 중 일부인 의도적으로 바이러스에 기록됩니다. 따라서 이러한 유형의 악성 바이러스는 매우 위험하므로 예방 조치를 취해야 합니다. 다행스럽게도 바이러스 백신 시스템은 시스템 내에서 이러한 비정상적인 동작을 모니터링하여 컴퓨터 바이러스의 존재 여부를 식별하거나 최소한 사용자에게 경고하는 경고를 발행할 수 있습니다.

5. 컴퓨터 바이러스의 기생충 부위나 감염 대상에 따른 분류

감염성은 컴퓨터 바이러스의 본질적인 속성으로 기생충 부위나 감염 대상에 따라 분류된다. 은 컴퓨터 바이러스의 감염 방식에 따라 다음과 같이 분류됩니다.

(1) 디스크 부팅 영역에 의해 감염되는 컴퓨터 바이러스

디스크에 의해 감염되는 바이러스 부팅 영역은 주로 일반 논리를 바이러스의 논리 부팅 레코드 전체 또는 일부로 대체하는 동시에 일반 부팅 레코드를 디스크의 다른 곳에 숨깁니다. 부트 섹터는 디스크를 정상적으로 사용하기 위한 전제 조건이므로 이 바이러스는 작동 초기(예: 시스템 시작)에서 제어권을 얻을 수 있으며 전염성이 높습니다. 디스크의 부트 영역에는 사용해야 할 중요한 정보가 저장되기 때문에, 디스크에서 제거되는 일반 부트 레코드를 보호하지 않으면 동작 중에 부트 레코드가 손상될 수 있다. 부트 영역에는 '마리화나', '볼' 바이러스 등 많은 컴퓨터 바이러스가 감염되어 있습니다.

(2) 운영체제에 의해 전파되는 컴퓨터 바이러스

운영체제는 컴퓨터 시스템이 실행될 수 있도록 지원하는 환경이며, .com과 같은 많은 실행 프로그램과 프로그램 모듈을 포함합니다. 그리고 .exe. 운영체제를 통해 전파되는 컴퓨터 바이러스는 운영체제에서 제공하는 일부 프로그램 및 프로그램 모듈을 이용하여 기생하여 감염시킨다. 일반적으로 이러한 유형의 바이러스는 운영 체제의 일부이며 컴퓨터가 작동하기 시작하는 한 언제든지 발생할 수 있습니다. 운영 체제의 개방성과 불완전성은 이러한 바이러스의 출현과 감염성을 촉진합니다. 운영 체제를 통해 전송되는 바이러스는 이제 널리 퍼져 있으며 "블랙 프라이데이"도 그러한 바이러스 중 하나입니다.

(3) 실행 프로그램을 통해 전송되는 컴퓨터 바이러스

실행 프로그램을 통해 전송되는 바이러스는 일반적으로 해당 프로그램이 실행되면 해당 프로그램이 먼저 활성화됩니다. 실행되어 메모리에 상주한 후 감염 유발 조건이 설정됩니다.

위의 세 가지 유형의 바이러스는 실제로 두 가지 주요 범주로 요약될 수 있습니다. 하나는 부트 섹터 유형의 컴퓨터 바이러스이고 다른 하나는 실행 파일 유형의 컴퓨터 바이러스입니다.

6. 컴퓨터 바이러스의 활성화 시간에 따른 분류

컴퓨터 바이러스의 활성화 시간에 따라 예약형 바이러스와 랜덤형 바이러스로 나눌 수 있습니다.

타이밍 바이러스는 특정 시간에만 공격하는 반면, 랜덤 바이러스는 일반적으로 시계에 의해 활성화되지 않습니다.

7. 전송 매체에 따른 분류

컴퓨터 바이러스는 전송 매체에 따라 분류되며 독립형 바이러스와 네트워크 바이러스로 나눌 수 있습니다.

(1) 독립형 바이러스

독립형 바이러스의 운반체는 디스크이다. 일반적인 바이러스는 플로피 디스크에서 하드디스크로 옮겨져 시스템을 감염시킨다. 그런 다음 다른 플로피 디스크를 감염시키고, 이는 다시 다른 시스템을 감염시킵니다.

(2) 네트워크 바이러스

네트워크 바이러스의 전송 매체는 더 이상 이동통신사가 아니라 네트워크 채널입니다. 이러한 종류의 바이러스는 전염성이 강하고 파괴적입니다.

8. 기생충 형태와 감염 경로에 따른 분류

사람들은 컴퓨터 바이러스를 기생충 형태와 감염 경로에 따라 분류하는 데 익숙합니다. 컴퓨터 바이러스는 기생 방식에 따라 대략 두 가지 범주로 나눌 수 있습니다. 하나는 부트 바이러스이고 다른 하나는 파일 바이러스입니다. 감염 경로에 따라 메모리 상주형과 비메모리 상주형으로 더 나눌 수 있습니다. 메모리 상주형 메모리에 상주하는 방식에 따라 세분화할 수 있습니다.

하이브리드 바이러스는 부팅 유형 바이러스와 파일 유형 바이러스의 특성을 결합합니다.

부트 바이러스는 디스크의 부트 섹터(BOOT SECTOR) 내용을 다시 씁니다('감염'이라고도 함). 플로피 디스크나 하드 디스크가 바이러스에 감염될 수 있습니다. 그렇지 않으면 하드디스크에 파티션 테이블(FAT)을 다시 쓰는 것입니다.

바이러스에 감염된 플로피 디스크를 사용하여 부팅하면 하드 디스크가 감염됩니다.

부트 바이러스는 ROM BIOS 이후 시스템을 부팅할 때 나타나는 바이러스로, 운영체제보다 먼저 BIOS 인터럽트 서비스 프로그램에 의존합니다. 부트 바이러스는 운영체제의 부트 모듈을 이용하여 고정된 위치에 위치시키며, 운영체제 부트 영역의 내용이 아닌 물리적 주소를 기반으로 제어권을 전달합니다. 따라서 바이러스는 이 물리적 위치를 차지합니다. 바이러스 프로그램이 실행된 후 실제 부트 섹터 내용에 대한 제어 권한이 부여되어 바이러스에 감염된 시스템이 정상적으로 작동하는 것처럼 보이지만 바이러스는 숨겨져 있습니다. 시스템 내 감염 및 확산 기회를 기다리고 있습니다.

일부 바이러스는 일정 기간 동안 휴면 상태로 있다가 공격이 예정된 날짜까지 기다립니다. 일부는 공격 중에 화면에 "알림" 또는 "경고" 메시지를 표시합니다. 이러한 메시지는 소프트웨어를 불법적으로 복사하지 말라고 알리는 것에 지나지 않으며 특정 거부 그래픽을 표시하거나 사용자가 들을 수 있는 음악을 재생합니다. 바이러스 공격 후에는 파티션 테이블을 파괴하여 부팅을 불가능하게 하거나 하드 드라이브를 직접 포맷합니다. 또한 "수단"이 그다지 무자비하지 않고 하드 디스크 데이터를 파괴하지 않는 일부 부트 유형 바이러스도 있습니다. 이들은 단지 잘못된 경보를 제공하기 위해 일부 "소리 및 조명 효과"를 생성할 뿐입니다.

거의 모든 부트 바이러스는 메모리에 상주하며 유일한 차이점은 메모리 내 위치입니다. (소위 "상주"란 응용 프로그램이 실행될 부분의 복사본을 메모리에 저장한다는 의미입니다. 이렇게 하면 효율성을 높이기 위해 실행될 때마다 하드 디스크를 검색할 필요가 없습니다.)

부트 바이러스는 기생충 대상에 따라 MBR(마스터 부트 섹터) 바이러스와 BR(부트 섹터) 바이러스의 두 가지 범주로 나눌 수 있습니다. 파티션 바이러스라고도 알려진 MBR 바이러스는 하드 디스크 파티션 마스터 부팅 프로그램이 차지하는 하드 디스크 0 헤드 0 실린더의 첫 번째 섹터에 바이러스를 기생시킵니다. 대표적인 바이러스로는 cannabis(Stoned), 2708 등이 있습니다. BR 바이러스는 하드 디스크의 논리 0 섹터나 플로피 디스크의 논리 0 섹터(즉, 0번째 면과 0번째 트랙의 첫 번째 섹터)에 바이러스를 기생시킵니다. 대표적인 바이러스로는 Brain, Small Ball Virus 등이 있습니다.

파일 바이러스는 이름에서 알 수 있듯이 주로 .com, .exe, .ovl과 같은 파일 확장자를 가진 실행 프로그램을 감염시킵니다. 설치는 바이러스 운반자 프로그램에 의존해야 합니다. 즉, 파일 형식 바이러스를 메모리에 도입하려면 바이러스 운반자 프로그램을 실행해야 합니다. 바이러스에 감염된 파일은 실행 속도가 느려지거나 전혀 실행되지 않을 수도 있습니다. 일부 파일은 감염된 후 실행 즉시 삭제됩니다. 대부분의 파일 기반 바이러스는 호스트의 시작이나 끝 부분에 자체 코드를 복사합니다. 이로 인해 바이러스에 감염된 파일의 길이가 길어지지만 사용자는 DIR 명령을 사용하여 바이러스가 감염되기 전의 길이를 나열하지 못할 수도 있습니다. '피해자 파일'의 프로그램 코드를 직접 다시 쓰는 바이러스도 있기 때문에 바이러스가 감염된 후에도 파일 길이가 그대로 유지된다.

바이러스에 감염된 파일이 실행된 후 바이러스는 대개 다음 파일을 감염시킬 기회를 잡습니다. 좀 더 정교한 바이러스는 감염될 때마다 새로운 호스트의 상태에 따라 새로운 바이러스 코드를 작성한 다음 감염시킵니다. 따라서 이 바이러스에는 고정된 바이러스 코드가 없습니다. 바이러스 코드를 스캔하여 바이러스를 탐지하는 바이러스 검사 소프트웨어는 이 바이러스에 직면할 때 쓸모가 없습니다. 그러나 바이러스 기술의 발전과 함께 안티 바이러스 소프트웨어도 발전했고, 이제 이 바이러스에 대한 효과적인 방법이 생겼습니다.

대부분의 파일 기반 바이러스는 메모리에 상주합니다.

파일형 바이러스는 소스코드 바이러스, 내장형 바이러스, 쉘형 바이러스로 구분됩니다. 소스 코드 바이러스는 고급 언어로 작성되어 어셈블리 및 링크 없이는 확산될 수 없습니다. 임베디드 바이러스는 프로그램 중간에 내장되어 있으며 dBASE 바이러스와 같은 특정 프로그램만을 대상으로 할 수 있습니다. 이 두 가지 유형의 바이러스는 환경에 의해 거의 제한되지 않습니다. 현재 유행하는 파일형 바이러스는 거의 모두 쉘형 바이러스로 호스트 프로그램 앞이나 뒤에 기생하여 프로그램의 첫 번째 실행 명령을 수정하여 호스트 프로그램보다 먼저 실행되도록 한다. 프로그램을 사용하고 감염이 확산됩니다.

하이브리드 바이러스는 시스템형 바이러스와 파일형 바이러스의 특성을 결합한 것으로, 이들의 '성질'은 시스템형, 파일형 바이러스보다 더 '잔인하다'. 이 바이러스는 이 두 가지 방법을 통해 감염되는데, 이를 통해 바이러스의 감염력과 생존율이 높아진다. 어떤 방식으로 감염되더라도 감염되기만 하면 부팅이나 프로그램 실행을 통해 다른 디스크나 파일을 감염시키게 되는 바이러스이기도 합니다.

파일 형식 바이러스에 비해 부트 형식 바이러스는 더 파괴적이지만 그 수가 적습니다. 1990년대 중반까지 파일 형식 바이러스는 여전히 가장 인기 있는 바이러스였습니다. 그러나 최근 몇 년 동안 상황이 바뀌어 매크로 바이러스가 대두되었습니다. 미국 컴퓨터 보안 협회(National Computer Security Association)의 통계에 따르면 이 "떠오르는 별"은 현재 전체 바이러스의 80% 이상을 차지합니다. 또한, 매크로 바이러스는 다양한 변형 바이러스를 파생시킬 수도 있습니다. 이러한 "아버지는 아들을 낳고, 아들은 손자를 낳는" 전파 방식은 많은 시스템을 방어하기 어렵게 만들고, 이는 또한 매크로 바이러스를 컴퓨터 시스템을 위협하는 "1위의 킬러"로 만듭니다.

Microsoft Word 워드 프로세싱 소프트웨어의 광범위한 사용과 컴퓨터 네트워크, 특히 인터넷의 대중화로 인해 바이러스 계열의 새로운 구성원인 매크로 바이러스가 등장했습니다.

매크로 바이러스는 문서나 템플릿의 매크로에 상주하는 컴퓨터 바이러스입니다. 이러한 문서를 열자마자 매크로 바이러스가 활성화되어 컴퓨터로 전송되고 일반 템플릿에 상주합니다. 이제부터 자동으로 저장된 모든 문서는 이 매크로 바이러스에 "감염"되며, 다른 사용자가 감염된 문서를 열면 해당 매크로 바이러스가 해당 사용자의 컴퓨터로 전송됩니다.

Chen Lixin의 "컴퓨터 바이러스 예방 및 통제에 대한 지식"에서 발췌