이 글을 쓰기 전, 저는 국내 안티바이러스 업계의 창업자 중 한 분을 만났습니다. 예브게니 카스퍼스키, 그는 나에게 러시아 및 글로벌 바이러스 백신 시장의 상태에 대한 몇 가지 수치를 알려주었습니다. 또한 저는 유명 안티 바이러스 회사인 DialogNauka의 대표이자 대규모 클라이언트와 협력하는 관리자인 Maxim Skida와도 이야기를 나눴습니다. 대화에서 나는 흥미로운 사실을 배웠습니다. 안티 바이러스 산업이 곧 첫 10년을 맞이할 것이라는 것이 밝혀졌습니다.

물론 바이러스 백신은 10여년 전에 등장했습니다. 그러나 처음에는 무료 해독제로 배포되었습니다. 기한이 없었어요 서비스 지원, 프로젝트가 비영리였기 때문입니다. 산업적으로 바이러스 백신 프로그램을 만들고 제공하는 서비스는 그 이전이 아닌 1992년쯤에 형성되었으니 이제 곧 10주년을 맞이하게 됩니다. 10년은 매출액이 수억 달러에 달하는 전체 산업이 탄생하고 발전하는 데 있어 매우 짧은 시간입니다. 이 기간 동안 완전히 새로운 시장이 생겨 났고 특정 제품 목록이 형성되었으며 전체 백과 사전에 충분할 정도로 많은 새로운 용어가 나타났습니다. 경험이 부족한 사용자가 과학 용어와 상업 이름을 구별하는 것이 때로는 어렵다는 점에 유의해야 합니다. 물론 바이러스 백신 프로그램을 사용하기 위해 바이러스의 구조와 동작에 대한 모든 세부 사항을 알 필요는 없지만 현재까지 어떤 주요 바이러스 그룹이 형성되었는지, 어떤 원리가 포함되어 있는지에 대한 일반적인 이해가 있어야 합니다. 알고리즘 악성 코드그리고 글로벌 안티 바이러스 시장과 러시아 안티 바이러스 시장이 어떻게 나누어져 있는지는 이 기사를 다루는 상당히 광범위한 독자들에게 유용할 것입니다.

러시아 바이러스 백신 시장의 10년 발전

이미 언급했듯이 바이러스 백신 시장은 10주년을 앞두고 있습니다. 1992년 JSC DialogNauka가 설립되어 Lozinsky의 유명한 Aidstest 프로그램을 국내 시장에 적극적으로 홍보하기 시작했습니다.그 이후로 Aidstest는 상업적으로 배포되기 시작했습니다.

같은 시기에 Evgeny Kaspersky는 KAMI 내에 소규모 상업 부서를 조직했으며 처음에는 3명을 고용했습니다. 또한 1992년에는 McAfee VirusScan 프로그램이 미국 시장을 빠르게 정복했습니다. 당시 러시아에서는 시장이 상당히 느리게 발전하고 있었고 적어도 1994년(그림 1)에는 그림이 대략 다음과 같이 보였습니다. 지배적 위치는 DialogNauka 회사(약 80%)가 차지하고 Kaspersky Anti-Virus가 소유했습니다. 시장의 5% 미만, 나머지는 모두 시장의 15%입니다. 1995년에 Evgeny Kaspersky는 자신의 바이러스 백신을 32비트 Intel로 옮겼습니다.

Windows 플랫폼

, Novell NetWare, OS/2 등이 출시되면서 제품이 활발하게 시장에 출시되기 시작했습니다.

이중 목적 프로그램의 한 유형은 다른 프로그램의 동작을 분석하고 의심스러운 동작이 감지되면 차단하는 동작 차단 프로그램입니다. 행동 차단제는 실험실에서 분석된 바이러스를 "인식"하고 치료하는 바이러스 코어를 갖춘 기존 바이러스 백신과 다르며, 바이러스에 대해 아무것도 모르기 때문에 치료할 수 없다는 점에서 치료 알고리즘이 처방되었습니다. 차단기의 이러한 속성은 알려지지 않은 바이러스를 포함하여 모든 바이러스에 대해 작업할 수 있기 때문에 유용합니다. 바이러스 및 바이러스 백신 배포자가 동일한 데이터 전송 채널, 즉 인터넷을 사용하기 때문에 오늘날 특히 그렇습니다. 동시에, 바이러스에는 항상 약간의 유리한 시작(지연 시간)이 있습니다. 왜냐하면 바이러스 백신 회사는 항상 바이러스 자체를 확보하고 이를 분석하고 적절한 치료 모듈을 작성하는 데 시간이 필요하기 때문입니다. 이중 용도 그룹의 프로그램을 사용하면 회사에서 치료 모듈을 작성할 때까지 바이러스 확산을 차단할 수 있습니다.바이러스의 활동으로 인해 체크섬이 변경된다고 가정합니다. 그러나 두 개의 서로 다른 세그먼트에 대한 동기식 변경으로 인해 파일이 변경될 때 체크섬이 동일하게 유지될 수 있습니다. 알고리즘을 구성하는 주요 작업은 파일의 변경이 체크섬의 변경으로 이어진다는 것을 보장하는 것입니다.

다형성 바이러스를 결정하는 방법

그림에서. 그림 6은 바이러스에 감염된 프로그램(a)과 암호화된 바이러스에 감염된 프로그램(b)의 동작을 보여준다. 첫 번째 경우 바이러스의 동작 방식은 다음과 같습니다. 프로그램이 실행되고 어느 시점에서 바이러스 코드가 실행되기 시작한 후 프로그램이 다시 실행됩니다. 암호화된 프로그램의 경우 모든 것이 더 복잡해집니다.

프로그램을 실행한 후 디코더를 켜서 바이러스를 해독한 다음 바이러스를 처리하고 기본 프로그램 코드를 다시 실행합니다.

바이러스 코드는 각 경우마다 다르게 암호화됩니다. 암호화되지 않은 바이러스의 경우 참조 비교를 통해 일정한 서명으로 바이러스를 "인식"할 수 있으며 암호화된 형식에서는 서명이 표시되지 않습니다. 동시에 디코더는 매우 작고 오탐의 수가 급격히 증가하기 때문에 이러한 소형 요소를 감지하는 것은 쓸모가 없기 때문에 디코더를 검색하는 것은 거의 불가능합니다.

물론 바이러스 백신은 10여년 전에 등장했습니다. 그러나 처음에는 무료 해독제로 배포되었습니다. 프로젝트가 비영리이기 때문에 서비스에 대한 적절한 지원이 없었습니다. 산업적으로 바이러스 백신 프로그램을 만들고 제공하는 서비스는 그 이전이 아닌 1992년쯤에 형성되었으니 이제 곧 10주년을 맞이하게 됩니다. 10년은 매출액이 수억 달러에 달하는 전체 산업이 탄생하고 발전하는 데 있어 매우 짧은 시간입니다. 이 기간 동안 완전히 새로운 시장이 생겨 났고 특정 제품 목록이 형성되었으며 전체 백과 사전에 충분할 정도로 많은 새로운 용어가 나타났습니다. 경험이 부족한 사용자가 과학 용어와 상업 이름을 구별하는 것이 때로는 어렵다는 점에 유의해야 합니다. 물론 안티 바이러스 프로그램을 사용하기 위해 바이러스의 구조와 행동에 대한 모든 세부 사항을 알 필요는 없지만 오늘날 어떤 주요 바이러스 그룹이 형성되었는지, 바이러스에 어떤 원리가 포함되어 있는지에 대한 일반적인 이해가 있어야 합니다. 맬웨어 알고리즘과 전 세계 및 러시아 안티 바이러스 시장이 어떻게 구분되는지는 이 기사를 다루는 상당히 광범위한 독자에게 유용할 것입니다.

러시아 바이러스 백신 시장의 10년 발전

이미 언급했듯이 바이러스 백신 시장은 10주년을 앞두고 있습니다.

같은 시기에 Evgeny Kaspersky는 KAMI 내에 소규모 상업 부서를 조직했으며 처음에는 3명을 고용했습니다. 또한 1992년에는 McAfee VirusScan 프로그램이 미국 시장을 빠르게 정복했습니다. 당시 러시아에서는 시장이 상당히 느리게 발전하고 있었고 적어도 1994년(그림 1)에는 그림이 대략 다음과 같이 보였습니다. 지배적 위치는 DialogNauka 회사(약 80%)가 차지하고 Kaspersky Anti-Virus가 소유했습니다. 시장의 5% 미만, 나머지는 모두 시장의 15%입니다. 1995년에 Evgeny Kaspersky는 자신의 바이러스 백신을 32비트 Intel로 옮겼습니다.

Windows 플랫폼

, Novell NetWare, OS/2 등이 출시되면서 제품이 활발하게 시장에 출시되기 시작했습니다.

체크섬 알고리즘은 바이러스의 활동으로 인해 체크섬이 변경된다고 가정합니다. 그러나 두 개의 서로 다른 세그먼트에 대한 동기식 변경으로 인해 파일이 변경될 때 체크섬이 동일하게 유지될 수 있습니다. 알고리즘을 구성하는 주요 작업은 파일의 변경 사항이 체크섬의 변경으로 이어지는지 확인하는 것입니다.

다형성 바이러스를 결정하는 방법

그림에서. 그림 6은 바이러스에 감염된 프로그램(a)과 암호화된 바이러스에 감염된 프로그램(b)의 동작을 보여준다. 첫 번째 경우 바이러스의 동작 방식은 다음과 같습니다. 프로그램이 실행되고 어느 시점에서 바이러스 코드가 실행되기 시작한 후 프로그램이 다시 실행됩니다. 암호화된 프로그램의 경우 모든 것이 더 복잡해집니다.

프로그램을 실행한 후 디코더를 켜서 바이러스를 해독한 다음 바이러스를 처리하고 기본 프로그램 코드를 다시 실행합니다.

바이러스 쓰기 출현의 역사는 매우 흥미롭습니다. 여전히 세심한 연구원을 기다리고 있습니다! 바이러스가 공식적으로 나타난 날로 간주할 수 있는 순간에 대해서는 아직 합의가 이루어지지 않았습니다. 마치 이 소프트웨어나 저 소프트웨어가 연구 실험과 악의적인 기능을 가지고 의도적으로 작성된 프로그램을 포함하고 구별할 수 있는 기준이 없었던 것과 같습니다.

1949년, 양자 물리학, 양자 논리, 함수 분석, 집합 이론, 컴퓨터 과학, 경제학 및 기타 과학 분야에 중요한 공헌을 한 저명한 헝가리 태생 미국 수학자 존 폰 나우만(John von Naumann)은 자아 창조를 위한 수학적 이론을 개발했습니다. - 프로그램을 복제합니다. 이는 이러한 현상에 대한 이론을 창안하려는 최초의 시도였지만, 뚜렷한 실제적 의미가 없었기 때문에 과학계에서는 큰 관심을 불러일으키지 못했습니다.

컴퓨터 바이러스라는 이름의 유래에 대해서도 합의된 바가 없습니다. 한 버전에 따르면, 이는 1983년 11월 10일에 남부 캘리포니아 대학교 대학원생 Fred Cohen이 다른 사람에게 침투할 수 있는 Lehigh University(미국 펜실베이니아)의 보안 세미나에서 VAX 11/750 시스템에 대한 프로그램을 시연했을 때 발생했습니다. 소프트웨어 객체. 이 프로그램은 당연히 컴퓨터 바이러스의 첫 번째 프로토타입 중 하나로 간주될 수 있습니다.

Cohen은 자신이 작성한 코드를 Unix 명령 중 하나로 구현했으며, 이를 컴퓨터에서 실행한 지 5분 이내에 시스템을 제어할 수 있게 되었습니다. 네 번의 다른 시연에서는 30분 만에 완전한 접근이 이루어졌고 당시 존재했던 모든 방어 메커니즘은 무력화되었습니다.

RSA 암호화 알고리즘의 창시자 중 한 명인 Fred의 과학 고문인 Leonard Adleman이 자신을 복사하는 프로그램을 설명하기 위해 "바이러스"라는 용어를 사용한 버전이 있습니다.

1년 후인 제7차 정보 보안 회의에서 F. Cohen은 "컴퓨터 바이러스"라는 용어를 자신의 복사본을 도입하고 실행하기 위해 다른 프로그램을 수정하여 "감염"시킬 수 있는 프로그램으로 과학적 정의를 내렸습니다. 지정된 작업. F. Cohen은 확실히 이 분야의 혁신가는 아니었습니다. 컴퓨터에서 컴퓨터로 복사되어 배포되는 프로그램에 대한 이론적 고찰과 실질적인 구현이전에 성공적으로 구현되었습니다. 그러나 고의적인 공격으로 인한 잠재적 피해에 대해 전문가들이 진지하게 이야기하게 된 것은 F. 코헨의 발표였다. 불과 15년 만에 악성코드가 확산되었습니다. 소프트웨어근본적으로 줄일 수 없는 놀라운 비율을 획득했습니다.

어떤 의미에서는 펜실베이니아 출신의 15세 남학생 리치 스크렌타(Rich Skrenta)가 F. 코헨(F. Cohen)보다 앞서 있었습니다. 그가 가장 좋아하는 취미는 Apple II 게임의 코드를 수정하여 친구들에게 장난을 치는 것이었습니다. 이로 인해 컴퓨터가 갑자기 종료되거나 다른 작업이 수행되었습니다. 1982년에 그는 플로피 디스크를 통해 Apple II를 감염시키는 자가 복제 부트 바이러스인 Elk Cloner를 작성했습니다. PC를 50번째 재부팅할 때마다 다음과 같은 메시지가 나타났습니다. "이것은 디스크와 칩을 차지할 것입니다. 예, Cloner입니다! 접착제처럼 붙어 있을 것이며 메모리에 침투할 것입니다. Cloner가 여러분을 환영합니다!"

R. Skrent의 프로그램은 그의 친구들 범위를 훨씬 넘어 확장되지 않았습니다. 영예는 몇 년 후에 등장한 프로그래머 사상의 "걸작"에게 돌아갔습니다. Brain 프로그램은 1988년 파키스탄의 두 형제가 만든 것으로, 자신이 만든 심장 모니터링 프로그램의 불법 복사본을 통해 PC를 감염시킨 것으로 알려져 있습니다. 바이러스에는 형제들의 이름과 전화번호가 포함된 저작권 표시가 포함되어 있어 감염된 시스템의 사용자는 바이러스 제작자에게 직접 연락하여 "백신"을 얻을 수 있었습니다. Brain의 첫 번째 버전 이후 순전히 상업적인 목적으로 많은 수정이 이루어졌습니다.

1988년에 미국 국가안보국(National Security Agency) 수석 과학자의 아들이자 코넬 대학교 대학원생인 Robert Tappan Morris Jr.가 최초로 널리 퍼진 컴퓨터 웜을 공개했지만, 1970년대 후반부터 이 분야에 대한 실험 작업이 수행되었습니다. 이러한 유형의 프로그램은 대부분 사용자 파일에 대해 파괴적인 조작을 수행하지 않으며 최대한 빠르고 광범위하게 확산되어 네트워크 효율성을 감소시키는 것을 목표로 합니다.

일부 추정에 따르면 당시 네트워크에 연결된 기계 중 5~10%가 공격을 받았는데, 대부분 대학 및 연구 기관에 속해 있었습니다. 이 웜은 Sendmail을 포함한 여러 프로그램의 취약점을 악용했습니다. R. T. 모리스(R. T. Morris)는 컴퓨터 범죄로 유죄 판결을 받은 최초의 사람이 되었으며 3년의 유예를 선고 받았습니다. 그러나 이것이 그가 이후 매사추세츠 공과대학(MIT)의 교수가 되는 것을 막지는 못했습니다.

맬웨어는 90년대에 수요가 증가하면서 다음 단계로 발전했습니다. 개인용 컴퓨터및 사용자 수 이메일. 전자 통신은 저장 매체를 통하는 것보다 훨씬 더 효과적인 PC 감염 경로를 제공했습니다. 확산 속도의 예는 1999년의 멜리사 바이러스로, 25만 대의 시스템에 침투했습니다. 그러나 시간과 날짜가 일치할 때마다(예: 5시 20분과 5월 20일) 심슨 가족의 인용문이 화면에 나타나는 것을 제외하면 무해했습니다.

1년 후, 러브레터로도 알려진 러브버그가 등장했습니다. 짧은 시간에 바이러스가 전 세계로 퍼졌습니다! 이 글은 필리핀 학생이 쓴 것으로 "사랑해"라는 제목의 이메일로 왔습니다. 사용자가 첨부 파일을 열려고 시도하자마자 바이러스는 Microsoft Outlook을 통해 연락처 목록의 모든 주소로 자체적으로 전송되었습니다. 그런 다음 그는 필리핀 사람들이 관심을 가질 만한 정보를 수집하기 위해 트로이 목마 프로그램을 다운로드했습니다. LoveLetter는 약 5,500만 대의 PC를 공격했으며 250만~300만 대를 감염시켰습니다. 그가 입힌 피해 규모는 100억 달러로 추산됐으나, 당시 필리핀에는 사이버 범죄에 맞서 싸울 수 있는 입법 체계가 없었기 때문에 해당 학생은 처벌을 면했다[Born Denis, http://www.wired.com].

바이러스의 눈사태 확산은 대부분의 기업과 정부 기관에 큰 문제가 되었습니다. 현재, 백만 개 이상의 컴퓨터 바이러스가 알려져 있으며 매달 3,000개 이상의 새로운 변종이 나타납니다["바이러스 백과사전", http://www.viruslist.com/ru/viruses/encyclopedia.].

컴퓨터 바이러스는 자신을 다른 프로그램에 "속성"시킬 수 있도록 특별히 작성된 프로그램입니다. 컴퓨터, 컴퓨팅 또는 컴퓨터에서 원치 않는 다양한 작업을 수행하기 위해 "감염" 정보 시스템그리고 온라인.

이러한 프로그램이 작동하기 시작하면 일반적으로 바이러스가 먼저 제어권을 갖습니다. 바이러스는 독립적으로 행동하여 특정 악의적인 작업(디스크의 파일 또는 파일 할당 테이블 수정, 막힘)을 수행할 수 있습니다. 숫양, 통화 주소를 다음으로 변경합니다. 외부 장치, 악성 애플리케이션 생성, 비밀번호 및 데이터 도용 등) 또는 다른 프로그램을 "감염"시킵니다. 감염된 프로그램은 플로피 디스크나 로컬 네트워크를 사용하여 다른 컴퓨터로 전송될 수 있습니다.

바이러스 공격 조직의 형태는 매우 다양하지만 일반적으로 다음 범주로 실질적으로 "분산"될 수 있습니다.

• 컴퓨터에 대한 원격 침투 - 인터넷(또는 로컬 네트워크)을 통해 다른 컴퓨터에 무단으로 액세스하는 프로그램
• 로컬 컴퓨터 침투 - 나중에 작업할 컴퓨터에 무단으로 액세스하는 프로그램입니다.
• 원격 컴퓨터 차단 - 인터넷(또는 네트워크)을 통해 전체 원격 컴퓨터의 작동을 차단하는 프로그램 또는 별도의 프로그램그것에;
• 로컬 컴퓨터 차단 - 실행 중인 컴퓨터의 작동을 차단하는 프로그램입니다.
• 네트워크 스캐너 - 실행 중인 컴퓨터와 프로그램이 잠재적으로 공격에 취약한지 확인하기 위해 네트워크에 대한 정보를 수집하는 프로그램입니다.
• 프로그램 취약성 스캐너 - 특정 유형의 공격에 취약한 컴퓨터를 찾기 위해 인터넷에서 대규모 컴퓨터 그룹을 검색하는 프로그램입니다.
• 비밀번호 크래커 - 암호화된 비밀번호 파일에서 쉽게 추측할 수 있는 비밀번호를 탐지하는 프로그램입니다.
• 네트워크 분석기(스니퍼) - 수신하는 프로그램 네트워크 트래픽; 사용자 이름, 비밀번호, 숫자를 자동으로 강조 표시하는 기능이 있는 경우가 많습니다. 신용카드교통으로부터;
• 전송된 데이터의 수정 또는 정보의 대체;
• 신뢰할 수 있는 객체를 분산 객체로 교체 컴퓨터 네트워크(그를 대신하여 작업) 또는 분산 항공기(DBC)의 허위 객체입니다.
• "사회 공학"은 소프트웨어 해킹 이외의 정보에 대한 무단 액세스입니다. 목표는 직원(네트워크 또는 시스템 관리자, 사용자, 관리자) 시스템 암호나 시스템 보안을 손상시키는 데 도움이 되는 기타 정보를 얻기 위해.

악성 소프트웨어에는 네트워크 웜, 클래식 파일 바이러스, 트로이 목마, 해커 유틸리티 및 실행되는 컴퓨터나 네트워크의 다른 컴퓨터에 고의로 해를 끼치는 기타 프로그램이 포함됩니다.

네트워크 웜

웜 유형이 서로 다른 주요 방법은 웜이 전파되는 방법, 즉 원격 컴퓨터에 복사본을 전송하는 방법입니다. CP가 서로 다르다는 것을 나타내는 다른 징후로는 감염된 컴퓨터에서 웜 ​​복사본을 실행하는 방법, 시스템에 도입하는 방법, 다형성, 스텔스 및 다른 유형의 악성 소프트웨어(바이러스 및 트로이 목마)에 내재된 기타 특성이 있습니다. ).

예 - E-mail-Worm - 메일 웜. 이 웜 범주에는 이메일을 사용하여 확산되는 웜이 포함됩니다. 이 경우 웜은 첨부 파일로 자신의 복사본을 다음 중 하나에 보냅니다. 이메일, 또는 일부 네트워크 리소스에 있는 파일에 대한 링크(예: 해킹되었거나 해커 웹사이트에 있는 감염된 파일에 대한 URL). 첫 번째 경우에는 감염된 첨부 파일이 열릴 때(실행될 때) 웜 코드가 활성화되고, 두 번째 경우에는 감염된 파일에 대한 링크가 열릴 때 웜 코드가 활성화됩니다. 두 경우 모두 효과는 동일합니다. 즉, 웜 코드가 활성화됩니다.

메일 웜은 다양한 방법을 사용하여 감염된 메시지를 보냅니다. 가장 일반적인 것:

• 웜 코드에 내장된 메일 라이브러리를 사용하여 SMTP 서버에 직접 연결합니다.
• MS Outlook 서비스 사용;
• 용법 윈도우 기능 MAPI.

이메일 웜은 감염된 이메일이 전송될 이메일 주소를 검색하기 위해 다양한 방법을 사용합니다. 메일 웜:

• 다음에서 발견된 모든 주소로 자신을 보냅니다. 주소록 MS 아웃룩;
• WAB 주소 데이터베이스에서 주소를 읽습니다.
• 디스크에서 "적합한" 파일을 검색하고 그 안에서 이메일 주소인 행을 선택합니다.
• 편지에 있는 모든 주소로 자신을 보내십시오. 사서함(동시에 일부 메일 웜은 사서함에서 발견된 편지에 "답장"합니다.)

많은 웜은 이러한 방법 중 여러 가지를 동시에 사용합니다. 이메일 주소를 찾는 다른 방법도 있습니다. 다른 유형의 웜: IM-Worm - 인터넷 호출기를 사용하는 웜, IRC-Worm - IRC 채널의 웜, Net-Worm - 기타 네트워크 웜.

고전적인 컴퓨터 바이러스

이 범주에는 리소스 전체에 복사본을 배포하는 프로그램이 포함됩니다. 로컬 컴퓨터다음 목적을 위해: 사용자 작업 시 코드를 후속적으로 실행하거나 다른 컴퓨터 리소스에 추가로 구현합니다.

웜과 달리 바이러스는 네트워크 서비스를 사용하여 다른 컴퓨터에 침투하지 않습니다. 바이러스의 기능을 넘어서는 어떤 이유로 감염된 개체가 다른 컴퓨터에서 활성화된 경우에만 바이러스 복사본이 원격 컴퓨터에 도달합니다. 예를 들면 다음과 같습니다.

• 액세스 가능한 디스크를 감염시키면 바이러스가 네트워크 리소스에 있는 파일에 침투했습니다.
• 바이러스가 이동식 미디어나 감염된 파일에 자신을 복사했습니다.
• 사용자가 감염된 첨부 파일이 포함된 이메일을 보냈습니다.

일부 바이러스에는 백도어 절차나 디스크의 정보를 파괴하는 트로이 목마와 같은 다른 유형의 악성 소프트웨어 속성이 포함되어 있습니다.

많은 표 형식과 그래픽 편집자, 디자인 시스템, 워드 프로세서에는 반복적인 작업 실행을 자동화하는 자체 매크로 언어(매크로)가 있습니다. 이러한 매크로 언어는 종종 복잡한 구조와 풍부한 명령 세트를 가지고 있습니다. 매크로 바이러스는 이러한 데이터 처리 시스템에 내장된 매크로 언어로 된 프로그램입니다. 재현하기 위해 이 클래스의 바이러스는 매크로 언어의 기능을 사용하고 도움을 받아 감염된 파일(문서 또는 테이블)에서 다른 파일로 자신을 전송합니다.

스크립트 바이러스

또한 스크립트 바이러스는 파일 바이러스의 하위 그룹이라는 점에 유의해야 합니다. 이러한 바이러스는 다양한 스크립트 언어(VBS, JS, BAT, PHP 등)로 작성됩니다. 이는 다른 스크립트 프로그램(MS Windows 또는 Linux 명령 및 서비스 파일)을 감염시키거나 다중 구성 요소 바이러스의 일부입니다. 또한 이러한 바이러스는 스크립트가 실행될 수 있는 경우 다른 형식(예: HTML)의 파일을 감염시킬 수 있습니다.

트로이 목마

이 범주에는 정보를 수집하여 공격자에게 전송, 정보의 파괴 또는 악의적인 수정, 컴퓨터 중단, 부적절한 목적을 위한 컴퓨터 리소스 사용 등 사용자가 승인하지 않은 다양한 작업을 수행하는 프로그램이 포함됩니다. 특정 범주의 트로이 목마 프로그램이 손상을 일으킵니다. 원격 컴퓨터감염된 컴퓨터의 작동을 방해하지 않고 네트워크를 차단합니다(예: 원격 네트워크 리소스에 대한 대규모 DoS 공격을 위해 설계된 트로이 목마 프로그램).

트로이 목마 프로그램은 다양하며 감염된 컴퓨터에서 수행하는 작업이 서로 다릅니다.

• 백도어 - 트로이 목마 원격 관리 유틸리티.
• Trojan-PSW - 비밀번호 도용.
• Trojan-AOL은 AOL(America Online) 네트워크에 대한 액세스 코드를 "훔치는" 트로이 목마 프로그램 계열입니다. 그들은 숫자가 많기 때문에 특별한 그룹에 할당됩니다.
• Trojan-Clicker - 인터넷 클릭커. 인터넷 리소스(일반적으로 웹 페이지)에 대한 무단 액세스를 구성하는 것이 주요 기능인 트로이 목마 프로그램 계열입니다. 이는 브라우저에 적절한 명령을 보내거나 교체하여 수행됩니다. 시스템 파일, 인터넷 리소스의 "표준" 주소를 나타냅니다(예: 호스트 파일 MS 윈도우에서).
• Trojan-Downloader - 기타 악성 프로그램 전달.
• Trojan-Dropper - 기타 악성 프로그램 설치 프로그램. 이 클래스의 트로이 목마 프로그램은 비밀리에 다른 프로그램을 설치할 목적으로 작성되었으며 거의 ​​항상 바이러스나 기타 트로이 목마 프로그램을 피해자 컴퓨터에 "미끄러뜨리는" 데 사용됩니다.
• Trojan-Proxy - 트로이 프록시 서버. 다양한 인터넷 리소스에 대한 익명 액세스를 비밀리에 제공하는 트로이 목마 프로그램 계열입니다. 일반적으로 스팸을 보내는 데 사용됩니다.
• Trojan-Spy - 스파이웨어. 이 트로이 목마는 감염된 컴퓨터의 사용자에 대해 키보드에서 입력한 정보, 스크린샷, 목록 등 전자 스파이 활동을 수행합니다. 활성 애플리케이션사용자의 행동은 디스크의 일부 파일에 저장되고 주기적으로 공격자에게 전송됩니다. 이 유형의 트로이 목마는 사용자 정보를 훔치는 데 자주 사용됩니다. 다양한 시스템온라인 결제 및 은행 시스템.
• 트로이 목마 - 기타 트로이 목마 프로그램. 이 범주에는 사용자를 동시에 감시하고 원격 공격자에게 프록시 서비스를 제공하는 "다목적" 트로이 목마도 포함됩니다.
• Trojan ArcBomb - 아카이브의 "폭탄"입니다. 이는 데이터 보관을 취소하려고 할 때 아카이버의 비정상적인 동작을 유발하는 방식으로 특별히 설계된 아카이브입니다. 즉, 컴퓨터가 정지되거나 크게 느려지거나 디스크에 많은 양의 "빈" 데이터가 채워지는 등의 현상이 발생합니다. "아카이브 폭탄"은 파일 및 파일에 특히 위험합니다. 메일 서버, 서버가 들어오는 정보에 대해 어떤 종류의 자동 처리를 사용하는 경우 "보관 폭탄"으로 인해 서버 작동이 중단될 수 있습니다.
• Trojan-Notifier - 성공적인 공격에 대한 알림입니다. 트로이 목마 이런 유형의감염된 컴퓨터에 대해 "소유자"에게 알리기 위한 것입니다. 이 경우 컴퓨터에 대한 정보는 "소유자" 주소(예: 컴퓨터의 IP 주소, 번호)로 전송됩니다. 열린 포트, 이메일 주소 등 전송이 수행됩니다. 다양한 방법으로: 이메일, "호스트" 웹 페이지에 특별히 고안된 주소, ICQ 메시지. 이러한 트로이 목마 프로그램은 공격받은 시스템에 트로이 목마 구성 요소가 성공적으로 설치되었음을 "마스터"에게 알리기 위해 다중 구성 요소로 구성된 트로이 목마 세트에서 사용됩니다.

스크립트 바이러스 및 웜

컴퓨터 바이러스의 종류

오늘날 컴퓨터 바이러스에 대해 들어보지 못한 사람은 없습니다. 그게 뭐야, 그게 뭐야? 컴퓨터 바이러스의 종류악성 코드에 대해 알아보겠습니다. 이 기사에서 알아보겠습니다. 그래서, 컴퓨터 바이러스다음 유형으로 나눌 수 있습니다.

광고 및 정보 프로그램이란 주요 기능 외에도 광고 배너 및 모든 종류의 팝업 광고 창을 표시하는 프로그램을 말합니다. 이러한 광고 메시지는 때때로 숨기거나 비활성화하기가 매우 어려울 수 있습니다. 그런 광고 프로그램작업 시 이는 컴퓨터 사용자의 행동을 기반으로 하며 시스템 보안상의 이유로 상당히 문제가 됩니다.

백도어

숨겨진 관리 유틸리티를 사용하면 보안 시스템을 우회하고 설치하는 사용자의 컴퓨터를 제어할 수 있습니다. 스텔스 모드로 실행되는 프로그램은 해커에게 시스템을 제어할 수 있는 무제한 권한을 부여합니다. 이러한 백도어 프로그램의 도움으로 사용자의 개인 정보 및 개인 데이터에 접근하는 것이 가능합니다. 종종 이러한 프로그램은 컴퓨터 바이러스로 시스템을 감염시키고 사용자가 모르는 사이에 은밀하게 악성 코드를 설치하는 데 사용됩니다.

부트 바이러스

종종 주요 부트 섹터 HDD는 특수 부팅 바이러스의 영향을 받습니다. 이 유형의 바이러스는 시스템의 원활한 시작에 필요한 정보를 대체합니다. 이러한 악성 프로그램의 결과 중 하나는 다운로드할 수 없다는 것입니다. 운영 체제...

봇 네트워크

봇 네트워크는 공격자가 관리할 수 있고 서로 상호 작용하는 감염된 많은 컴퓨터로 구성되는 인터넷상의 본격적인 네트워크입니다. 이러한 네트워크에 대한 제어는 시스템에 침투하는 바이러스나 트로이 목마를 사용하여 달성됩니다. 작동 중에는 악성 코드가 어떤 방식으로도 나타나지 않으며 공격자의 명령을 기다립니다. 이러한 네트워크는 스팸 메시지를 보내거나 정리하는 데 사용됩니다. DDoS 공격~에 필수 서버. 흥미롭게도 감염된 컴퓨터의 사용자는 네트워크에서 무슨 일이 일어나고 있는지 전혀 알 수 없습니다.

악용하다

익스플로잇(문자 그대로 보안 허점)은 OS나 프로그램의 특정 허점과 취약점을 악용하는 스크립트나 프로그램입니다. 비슷한 방식으로 프로그램이 시스템에 침투하여 관리자 액세스 권한을 얻을 수 있습니다.

Hoax (문자 그대로 농담, 거짓말, 사기, 농담, 속임수)

수년 동안 많은 인터넷 사용자는 이메일을 통해 배포되는 것으로 추정되는 바이러스에 대한 전자 메시지를 받아왔습니다. 이러한 경고는 개인 목록에 있는 모든 연락처에 보내달라는 눈물 어린 요청과 함께 한꺼번에 전송됩니다.

트랩

허니팟(허니팟)은 네트워크 서비스, 전체 네트워크를 모니터링하고 공격 발생 시 공격을 기록하는 작업을 수행합니다. 일반 사용자는 그러한 서비스의 존재를 전혀 인식하지 못합니다. 해커가 네트워크의 공백을 탐색하고 모니터링하면 그러한 함정이 제공하는 서비스를 활용할 수 있습니다. 그러면 로그 파일에 기록되고 자동 경보가 발생합니다.

매크로 바이러스

매크로 바이러스는 응용 프로그램 매크로 언어로 작성된 매우 작은 프로그램입니다. 이러한 프로그램은 이 응용 프로그램을 위해 특별히 작성된 문서에만 배포됩니다.

이러한 악성 프로그램을 활성화하려면 애플리케이션을 시작하고 감염된 매크로 파일을 실행해야 합니다. 일반 매크로 바이러스와의 차이점은 응용 프로그램 시작 파일이 아닌 응용 프로그램 문서에서 감염이 발생한다는 것입니다.

농업

파밍(Pharming)은 사용자를 가짜 웹사이트로 연결하기 위해 브라우저의 호스트 파일을 은밀하게 조작하는 것입니다. 사기꾼은 대규모 서버를 유지 관리하며 이러한 서버는 가짜 인터넷 페이지의 대규모 데이터베이스를 저장합니다. 트로이목마나 바이러스 등을 이용하여 호스트 파일을 조작할 경우 감염된 시스템을 조작할 가능성이 높다. 결과적으로 감염된 시스템은 브라우저에 주소를 올바르게 입력하더라도 가짜 사이트만 로드합니다.

피싱

피싱(Phishing)은 말 그대로 인터넷 상에서 사용자의 개인정보를 낚는 행위를 의미합니다. 공격자는 잠재적인 피해자에게 확인을 위해 개인 정보를 보내야 한다는 내용의 이메일을 보냅니다. 이는 대개 사용자의 이름과 성, 필수 비밀번호, PIN 코드온라인으로 사용자 계정에 액세스합니다. 이렇게 훔친 데이터를 사용하여 해커는 다른 사람을 사칭하고 그를 대신하여 모든 작업을 수행할 수 있습니다.

다형성 바이러스

다형성 바이러스는 작업에 위장과 변형을 사용하는 바이러스입니다. 그 과정에서 그들은 자신의 프로그램 코드시간이 지남에 따라 서명이 변경되기 때문에 감지하기가 매우 어렵습니다.

소프트웨어 바이러스

컴퓨터 바이러스는 실행 중인 다른 프로그램에 독립적으로 연결되어 해당 프로그램의 작동에 영향을 줄 수 있는 일반적인 프로그램입니다. 바이러스는 자체 복사본을 독립적으로 배포하므로 트로이 목마 프로그램과 크게 구별됩니다. 또한 바이러스와 웜의 차이점은 바이러스가 작동하려면 코드를 첨부할 수 있는 프로그램이 필요하다는 것입니다.

루트킷

루트킷은 특정 세트입니다. 소프트웨어는 사용자 시스템에 은밀하게 설치되어 데이터를 복사하는 동시에 사이버 범죄자의 개인 로그인 및 다양한 프로세스를 숨깁니다.

스크립트 바이러스 및 웜

이러한 유형의 컴퓨터 바이러스는 작성이 매우 간단하며 주로 이메일을 통해 배포됩니다. 스크립트 바이러스는 새로 생성된 스크립트에 자신을 추가하거나 운영 중인 네트워크 기능을 통해 확산되기 위해 스크립트 언어를 사용하여 작동합니다. 이메일을 통해 감염되거나 사용자 간 파일 교환으로 인해 감염되는 경우가 많습니다. 웜은 스스로 복제하지만 그 과정에서 다른 프로그램을 감염시키는 프로그램입니다. 웜은 번식할 때 다른 프로그램의 일부가 될 수 없다는 점에서 일반적인 유형의 컴퓨터 바이러스와 구별됩니다.

스파이웨어

스파이는 사용자가 알지 못하는 사이에 사용자의 개인 데이터를 제3자에게 보낼 수 있습니다. 스파이웨어동시에, 그들은 인터넷에서 사용자의 행동을 분석하고, 또한 수집된 데이터를 기반으로 사용자에게 확실히 사용자의 관심을 끌 광고나 팝업(팝업 창)을 표시합니다.

실제로 매크로 바이러스는 독립적인 "종"이 아니라 대규모 악성 프로그램 계열인 스크립트 바이러스의 변종 중 하나일 뿐입니다. 이들의 격리는 이 전체 제품군의 기반을 마련한 것이 매크로바이러스였으며 또한 프로그램에 "맞춤화된" 바이러스라는 사실과만 관련이 있습니다. 마이크로소프트 오피스, 전체 클랜 중에서 가장 널리 퍼졌습니다. 또한 스크립트 바이러스는 파일 바이러스의 하위 그룹이라는 점에 유의해야 합니다. 이러한 바이러스는 다양한 스크립트 언어(VBS, JS, BAT, PHP 등)로 작성됩니다.

스크립트 바이러스의 일반적인 특징은 "내장" 프로그래밍 언어 중 하나에 바인딩된다는 것입니다. 각 바이러스는 다음 중 하나의 보호에 있는 특정 "구멍"에 연결되어 있습니다. 윈도우 프로그램독립적인 프로그램이 아니라 일반적으로 무해한 프로그램의 "엔진"이 일반적이지 않은 파괴적인 작업을 수행하도록 강제하는 일련의 명령입니다.

의 경우와 마찬가지로 워드 문서, 마이크로 프로그램(스크립트, Java 애플릿 등)을 사용하는 것 자체는 범죄가 아닙니다. 대부분은 매우 평화롭게 작동하여 페이지를 더 매력적이고 편리하게 만듭니다. 채팅, 방명록, 투표 시스템, 카운터 - 우리 페이지는 이러한 모든 편의를 마이크로프로그램("스크립트") 덕분에 제공합니다. Java 애플릿의 경우 페이지에서의 존재도 정당화됩니다. 예를 들어 마우스 커서 아래에서 확장되는 편리하고 기능적인 메뉴를 표시할 수 있습니다.

편리함은 편리함이지만 이러한 모든 애플릿과 스크립트는 실제 완전한 프로그램이라는 점을 잊지 마십시오. 더욱이 이들 중 다수는 알 수 없는 서버가 아닌 컴퓨터에서 직접 시작하고 작동합니다! 그리고 여기에 바이러스를 삽입함으로써 페이지 작성자는 귀하의 콘텐츠에 액세스할 수 있게 됩니다. 하드 드라이브. 단순한 비밀번호 도용부터 하드 드라이브 포맷까지 결과는 이미 알려져 있습니다.

물론, 일반 바이러스에 비해 "킬러 스크립트"를 처리해야 하는 빈도는 100배 더 낮습니다. 그건 그렇고, 이 경우 기존 바이러스 백신에 대한 희망은 거의 없지만 페이지와 함께 열리는 악성 프로그램은 브라우저 자체의 보호를 극복해야 하며 제작자는 이러한 사항을 잘 알고 있습니다.

잠시 다시 돌아가 보자. 인터넷 설정탐색기 - 즉 메뉴에 있음 도구/인터넷 옵션/보안. 인터넷 익스플로러여러 수준의 보안을 제공합니다. 표준 보호 수준 외에(영역 인터넷) 우리는 (구역을) 강화할 수 있습니다 한계) 또는 가드를 낮추십시오 (구역 안정적인 노드). 버튼을 누르면 또 다른, 브라우저 보안을 수동으로 조정할 수 있습니다.

그러나 대부분의 스크립트 바이러스는 이메일을 통해 확산됩니다(이러한 바이러스를 종종 "인터넷 웜"이라고 함). 아마도 이 가족의 가장 뛰어난 대표자는 바이러스일 것입니다. 러브레터그리고 안나 쿠르니코바, 2001-2002 시즌에 공격이 발생했습니다. 이 두 바이러스는 모두 운영 체제의 약한 보호 기능뿐만 아니라 사용자의 순진함을 기반으로 동일한 기술을 사용했습니다.

바이러스는 첨부 파일이 포함된 이메일 메시지를 통해 가장 자주 전송된다는 점을 기억합니다. 또한 바이러스는 프로그램(확장자가 *.exe, *.com.인 실행 파일)을 통해 컴퓨터에 침투할 수 있다는 사실도 기억합니다. 마이크로소프트 문서사무실. 우리는 또한 사진의 측면이나 사운드 파일어떤 문제도 우리를 위협할 수 없는 것 같습니다. 따라서 예기치 않게 사서함에서 그림이 첨부된 편지를 발견하고(파일 이름과 확장자로 판단), 우리는 즉시 즐겁게 편지를 시작합니다... 그리고 우리는 악성 바이러스 "스크립트"가 그림 아래에 숨겨져 있음을 발견합니다. . 바이러스가 모든 데이터를 완전히 파괴한 후가 아니라 즉시 탐지하는 것이 좋습니다.

바이러스 제작자의 비결은 간단합니다. 우리에게 그림처럼 보였던 파일에는 이중 확장자가 있었습니다! 예를 들어, 안나쿠르니코바. jpg. VBS

실제 파일 형식은 두 번째 확장자이고, 첫 번째 확장자는 단순히 이름의 일부입니다. 그리고 vbs Windows 확장자는 잘 알려져 있기 때문에 망설임 없이 사용자의 눈에서 숨기고 화면에는 이름만 남깁니다. 안나쿠르니코바. jpg

그리고 Windows는 등록된 모든 파일 형식에 대해 이 작업을 수행합니다. 즉, 권한이 삭제되고 파일 형식이 아이콘으로 표시되어야 합니다. 아쉽게도 우리는 거의 관심을 기울이지 않습니다.

좋은 함정이지만 발견하기가 더 쉽습니다. 파일 형식 표시 모드를 미리 활성화하면 "이중 확장" 트릭이 작동하지 않습니다. 메뉴를 사용하여 이 작업을 수행할 수 있습니다. 폴더 속성~에 제어판 Windows: 이 아이콘을 클릭한 다음 북마크를 엽니다. 보다그리고 그 줄의 선택을 취소하세요 등록된 파일 형식의 확장자 숨기기.

기억하다: 이메일에 대한 "첨부 파일"로는 몇 가지 유형의 파일만 허용됩니다. 비교적 안전함 txt 파일, jpg, gif, tif, bmp, mp3, wma.

확실히 목록은 이렇습니다 위험한파일 유형:

실제로 잠재적인 "바이러스 운반자" 목록에는 12개 이상의 파일 형식이 포함됩니다. 그러나 이것은 다른 것보다 더 일반적입니다.