악의적인 유틸리티. 악성로드로

악성 코드. 이게 뭔가요?

컴퓨터 바이러스- 다양성 악성 코드, 독특한 특징그것은 번식(자기복제) 능력이다. 또한 감염된 프로그램을 실행한 사용자가 제어하는 ​​데이터를 손상시키거나 완전히 파괴할 수도 있습니다.

사전이나 백과사전에서 '라는 용어를 찾아보면 컴퓨터 바이러스”, 그러면 많은 정의를 찾을 수 있으며 그 중 공통된 특징은 “해를 끼친다”와 “독립적 재생산”입니다. 그리고 원칙적으로 이것은 사실입니다. . . 고전적인 바이러스의 경우. 현대는 악의적이다 소프트웨어매우 다양하며 항상 고전적인 바이러스의 특징을 포함하지는 않습니다. 먼저, 오늘날 우리 컴퓨터를 위협하는 것이 정확히 무엇인지 살펴보겠습니다.

고전적인 바이러스. 이 클래스에는 바이러스의 주요 특징(재생산 능력)을 가지고 있으며 바이러스 내에서 작동하는 악성 프로그램이 포함됩니다. 로컬 컴퓨터. 즉, 우리는 인터넷이 널리 사용되기 전에도 대부분 나타난 바이러스에 대해 구체적으로 이야기하고 있습니다. 파괴적인 행동 측면에서 고전적인 바이러스는 서로 매우 다릅니다. 그 중에는 완전히 무해한 프로그램(예: 농담 프로그램)과 시스템 충돌, 하드 드라이브의 모든 문서 파괴 등을 일으킬 수 있는 매우 위험한 프로그램도 있습니다.

오늘날 고전적인 바이러스의 인기는 매우 낮습니다. 대부분의 경우 모바일 저장 장치(CD 및 DVD, 플래시 카드, 외장 하드 드라이브)를 사용하여 한 조직에서 다른 조직으로 배포됩니다.

처음에는 배포 범위 측면에서 손바닥이 실행 파일을 감염시키는 바이러스에 의해 안정적으로 유지되었습니다. 그러나 오늘날 그들은 매크로 바이러스로 인해 그것을 잃었습니다. 이 악성코드는 다양한 문서에 자신을 주입하는 매크로로 구성됩니다(문서와 템플릿은 특히 이 영향을 받습니다). 마이크로소프트사무실) 및 특정 파괴적인 작업을 수행합니다. 감염된 파일을 열면 Normal.dot 템플릿이 변경됩니다. 그 후에는 이 프로그램 인스턴스에서 열린 모든 문서에 바이러스가 포함됩니다.

그러나 기존의 맬웨어는 최신 바이러스 백신으로 잘 탐지되고 제거되므로 사실상 사용자의 주의가 필요하지 않습니다. 이 규칙에는 몇 가지 예외가 있습니다. 예를 들어 모바일 저장 장치의 자동 로딩을 사용하는 바이러스입니다. 감염 과정에서 그들은 autorun.inf에 실행 파일에 대한 링크를 작성합니다. 따라서 감염된 플래시 드라이브가 컴퓨터에 연결될 때마다 자동 시작바이러스.

네트워크 웜. 네트워크 웜에는 일반적으로 로컬 네트워크나 인터넷을 통해 자신의 복사본을 배포하는 악성 소프트웨어가 포함됩니다. 이를 위해 그들은 사용됩니다 다른 방법. 최근까지 가장 인기 있는 것은 이메일 배포였습니다(옵션: 다양한 IM 관리자(ICQ, IRC), 웹 페이지 또는 FTP 서버에 있는 파일에 대한 링크). 네트워크 웜은 시스템에 침투하여 감염된 컴퓨터의 주소록에 있는 편지함으로 자체 복사본이 포함된 편지를 독립적으로 보냈습니다. 네트워크 웜은 전 세계에 걸쳐 여러 차례 실제 전염병을 일으킨 것으로 알려져 있습니다.

그러나 최근에점점 더 많은 바이러스가 클라이언트와 운영 체제 자체의 "구멍"을 활용하여 자동 주입으로 이동하고 있습니다. 이 경우 감염은 완전히 동일한 방식으로 발생하지만 사용자 참여가 없습니다. 웹 페이지를 방문하거나 이메일을 열면 바이러스 다운로더가 자동으로 실행됩니다.

네트워크 웜의 존재는 세 가지 주요 징후로 감지할 수 있습니다. 첫 번째 - 큰 수지속적으로 또는 다소 일정한 간격으로 전송되는 나가는 TCP/IP 패킷입니다. 두 번째는 TCP/IP 패킷의 의심스러운 내용입니다. 그러나 최종 사용자의 경우 가장 큰 이점은 세 번째 신호, 즉 소비되는 트래픽의 비정상적인 구조입니다. 설명할 수 없는 소비의 증가 또는 비중의 급격한 증가 나가는 트래픽거의 확실하게 악성 코드가 있음을 나타냅니다.

트로이 목마. 트로이 목마에는 일반적으로 시스템에 도입되어 사용자로부터 비밀리에 공격자가 의도한 작업을 수행하는 모든 프로그램이 포함됩니다. 이는 많은 유틸리티를 포함하는 매우 다양한 종류의 맬웨어입니다. 우선, 행동 유형에 따라 구별됩니다. 그 중에는 공격자가 수행할 수 있는 프로그램이 있습니다. 원격 제어감염된 컴퓨터, 광고 게재, 가짜 사이트를 포함한 다양한 사이트로 사용자 유도(소위 피싱), 시스템에 기타 악성코드 다운로드 및 설치, 감염된 PC를 이용하여 다른 사람에게 해를 끼치는 행위(스팸 발송, DDoS 공격 가담) .

피해자의 시스템에 트로이 목마를 도입하기 위해 공격자는 모든 종류의 트릭을 사용합니다. 파일을 열도록 권장하는 매력적인 텍스트와 함께 이메일로 전송되는 경우가 많습니다. 하지만 대개는 그렇지 않습니다. 자동발송편지는 관심 대상이나 대량 스팸 피해자에게 표적 배포에 관한 것입니다. 다양한 웹 서버에 호스팅된 '크랙'과 비밀번호 생성기를 감염시키는 방법도 자주 사용됩니다. 이것이 바로 이러한 파일을 다운로드하고 사용하는 것이 잠재적으로 위험한 것으로 간주되는 이유입니다. 트로이 목마를 확산시키는 또 다른 방법은 특수 스크립트가 포함된 웹 페이지를 이용하는 것입니다. 기존 덕분에 다른 브라우저취약점으로 인해 이러한 사이트를 방문하면 악성 코드가 자동으로 컴퓨터에 다운로드되어 시스템에 주입됩니다(소위 XSS 공격). 대부분 이것은 성인용 웹 프로젝트, warez 아카이브에서 발견됩니다. 그러나 최근에는 신뢰할 수 있는 웹사이트가 해킹되어 해당 페이지에 유사한 스크립트가 도입되는 사례가 발생하고 있습니다.

실제로 트로이 목마는 시스템에 침투하는 방식과 감염 시 나타나는 외부 징후 측면에서 여러 면에서 네트워크 웜과 유사합니다. 그러나 그것 사이에는 심각한 차이점이 있습니다. 첫째, 트로이 목마는 더욱 다양합니다. 더 넓은 범위의 가능한 조치를 위해서는 다양한 기술을 사용해야 합니다. 둘째, 트로이 목마는 탐지하기가 더 어렵습니다. 그것들은 대량으로 "무심코" 배포되지 않습니다. 소비되는 트래픽 구성의 변화는 일부 트래픽(예: 스팸 전송, DDoS 공격 참여)에 의해서만 발생합니다. 또한 트로이 목마는 보다 발전된 숨기기 기술(예: 루트킷을 대체할 수 있는 기술)을 사용하는 경우가 많습니다. 시스템 유틸리티및 요격 시스템 윈도우 기능 API).

누가 이 모든 것을 필요로 합니까?

오늘날 많은 사람들은 "누가 바이러스를 작성하고 왜 작성합니까?"라는 질문을 자주합니다. 바이러스 백신 소프트웨어 개발자가 제품에 대한 수요를 창출하기 위해 특별히 이러한 작업을 수행한다는 의견도 있습니다. 판매자는 자동차를 훔칩니다.

~에 지금은모든 악성 소프트웨어 제작자는 하나의 단순한 특징, 즉 그들이 이 활동을 시작한 이유에 따라 여러 클래스로 나눌 수 있습니다. 당연히 이러한 분류는 매우 임의적이며 클래스 간의 경계가 매우 모호합니다. 그러나 바이러스 및 기타 악성 코드를 만드는 사람과 그 이유에 대한 명확한 그림을 제공합니다.

재학생. 사람이 악성 프로그램을 작성하도록 강요하는 주요 이유 중 하나는 자기 확인입니다. 많은 경우, 바이러스는 프로그래밍 언어를 공부하는 학생들에 의해 생성됩니다. 그들은 자신이 할 수 있는지 없는지 이해하기 위해 스스로 그것을 만듭니다. 그런 사람들은 자신의 창작물을 배포하려고도 하지 않고 단지 자신의 작품의 예로서 저장만 합니다. 어떤 경우에도 그러한 바이러스는 심각한 위험을 초래하지 않습니다. 대부분의 경우 매우 원시적이므로 모든 바이러스 백신 소프트웨어로 쉽게 검색할 수 있습니다.

훌리건. 불행하게도 모든 사람이 자신을 주장하는 능력에 대해 알 필요는 없습니다. 어떤 경우에는 모든 사람의 관심이 필요합니다. 가장 간단한 방법으로자신을 "멋진" 프로그래머이자 해커로 보여주는 것은 자신만의 바이러스를 만드는 것입니다. 때때로 그런 사람들은 스스로 그것을 하려고 노력합니다. 그러나 경험이 적고 지식이 부족하여 흥미로운 것을 "창조"할 수 없습니다.

일부 "실행자"는 저항이 가장 적은 길을 더욱 더 택합니다. 오늘날 인터넷에는 바이러스 작성 및 게시물 작성 방법을 자세히 설명하는 사이트가 많이 있습니다. 소스 코드악성 코드. 따라서 "작성자"는 텍스트를 약간만 조정하고(일부는 단순히 자신에 대한 정보를 입력함) 프로젝트를 컴파일하면 됩니다. 하지만 그게 전부는 아닙니다. 인터넷에서 소위 바이러스 생성자를 찾을 수 있습니다. 프로그래밍을 전혀 모르더라도 도움을 받으면 자신만의 바이러스를 만들 수 있습니다. 이렇게 하려면 여러 매개변수를 설정하고 버튼 하나만 누르면 됩니다. 말할 필요도 없이, 그러한 “창조물”은 사실상 위험을 초래하지 않습니다. 이들 모두는 "표준" 기반으로 구축되었으며 종종 오류가 발생했습니다. 따라서 모든 바이러스 백신에서 쉽게 탐지하고 파괴할 수 있습니다.

전문가. 연구자들에 따르면 오늘날 바이러스 백신 데이터베이스에 포함된 악성 코드의 최대 90%는 전문가가 작성한 것입니다. 이러한 프로그램은 가장 큰 위험을 초래합니다. 그들은 종종 독창적인 알고리즘을 사용합니다. 다양한 방법바이러스 백신, 운영 체제의 "구멍" 및 기타 취약점으로부터 보호합니다. 전문가가 악성 코드를 만들고 배포하는 동기는 다양합니다. 일부는 훌리건적인 이유로 그렇게합니다. 다른 사람들은 이런 식으로 반대 국가의 정부 기관(예: 미국과 중국 해커 간의 선정적인 "전쟁"), 반대 종교 단체의 웹 사이트 등 상대방에게 타격을 가하는 방식으로 항의를 표현하지만 점점 더 많은 바이러스가 이익을 얻으려는 목적으로 작성되었습니다.

맬웨어 생성 프로세스에서 이익을 얻을 수 있는 방법은 여러 가지가 있습니다. 가장 눈에 띄는 것은 "클리커", "다이얼러" 및 모든 종류의 광고 트로이 목마입니다. 그들의 도움으로 당신은 참여로부터 좋은 돈을 얻을 수 있습니다 제휴 프로그램각종 웹사이트, 유료전화 서비스, 광고 게재. 또 다른 옵션은 비밀번호를 도용하거나 피싱 공격을 실행하는 악성 코드입니다. 이들의 도움으로 공격자는 피해자의 전자 계정이나 번호에 접근할 수 있습니다. 신용 카드. 또한 스팸을 보내는 트로이 목마도 잊어서는 안 됩니다. 감염된 컴퓨터를 통해 (고객이 알 필요가 없는) 광고 메일링 서비스를 제공하는 것도 돈을 벌 수 있습니다.

이와 별도로 다양한 회사, 범죄 및 극단주의 단체에 명백히 불법적인 서비스를 제공하는 데 사용되는 악성 코드를 언급할 가치가 있습니다. 우선, 이것은 경쟁자나 상대방에 대한 대규모 DDoS 공격 조직입니다. 공격자는 전 세계 트로이 목마에 감염된 컴퓨터를 통해 수행되는 구현에 대한 대가로 돈을 받습니다. 또 다른 일반적인 서비스는 기업 네트워크에 침투하여 기밀 데이터를 훔치는 것입니다.

연구원. 이것은 가장 작은 그룹입니다. 여기에는 이론적 연구에 참여하는 실제 팬이 포함됩니다. 그들은 새로운 바이러스 백신 보호 알고리즘을 고안하고, OS와 소프트웨어에서 "구멍"을 찾아 구현 방법을 개발합니다. 다양한 시스템. 그들의 연구 성과는 전문 바이러스 작가들에 의해 적극적으로 사용되어 그들의 "창조물"을 더욱 위험하게 만들고 있습니다.

요약하자면

오늘날 맬웨어는 매우 다양하며 심각한 위협을 야기합니다. 또한 운영 체제 손상이나 삭제에 대해서만 이야기하는 경우가 점점 더 많아지고 있습니다. 하드 드라이브파일. 현대의 바이러스와 트로이 목마는 피해자에게 물질적 피해를 입히고 바이러스 제작자와 배포자가 돈을 벌 수 있도록 해줍니다. 이는 악성코드가 매우 활발하게 발전한다는 사실로 이어집니다.

법과 법 집행 기관의 도움으로 바이러스의 확산을 억제하는 것은 비현실적입니다. 우리가 이미 말했듯이, 전문적인 바이러스 작성자를 찾고 그의 유죄를 입증하는 것은 매우 어렵습니다. 특히 바이러스 전염병에는 국경이 없고 ​​전 세계로 퍼져 있다는 점을 고려하면 더욱 그렇습니다. 따라서 사용자는 스스로 보안을 관리해야 합니다.

사이트 http://soft.cnews.ru에서 가져온 자료

주제에 관한 출판물

2014년 4월 29일 출장이 잦은 직원들을 위해 많은 기업들이 자비로 모바일 기기를 구입하고 있습니다. 이러한 상황에서 IT 서비스는 기업 데이터에 액세스할 수 있지만 경계 외부에 있는 장치를 긴급하게 제어해야 합니다. 기업 네트워크.
2013년 12월 30일 엔드포인트 보호 솔루션은 실제로 기업에 대량 배포가 시작된 지 얼마 되지 않아 시장에 등장했습니다. 로컬 네트워크. 이들 제품의 프로토타입은 보호를 위한 기존의 바이러스 백신이었습니다. 개인용 컴퓨터.
2013년 10월 1일 방화벽(방화벽 또는 방화벽이라고도 함)은 다양한 위협으로부터 기업 네트워크를 보호하는 가장 중요한 수단입니다. 최근 몇 년 동안 방화벽은 전문 필터링 도구에서 다음으로 크게 발전했습니다. 네트워크 패킷그것은 보편적인 방어 시스템이 되었습니다.

바이러스는 일반적으로 자신을 복제하는 악성 프로그램의 한 유형으로 이해됩니다. 도움을 받으면 다른 파일도 감염됩니다(실제 재생산을 목적으로 생물학적 세포를 감염시키는 바이러스와 유사).

바이러스의 도움으로 다양한 작업을 수행할 수 있습니다. 배경, 비밀번호를 훔치고 컴퓨터를 정지시킵니다(RAM은 가득 차고 CPU에는 다양한 프로세스가 로드됩니다).

그러나 맬웨어 바이러스의 주요 기능은 복제 능력입니다. 활성화되면 컴퓨터의 프로그램이 감염됩니다.

다른 컴퓨터에서 소프트웨어를 실행하면 바이러스가 여기에서도 파일을 감염시킵니다. 예를 들어 감염된 PC의 플래시 드라이브를 건강한 컴퓨터에 삽입하면 즉시 바이러스가 전송됩니다.

벌레

웜의 행동은 바이러스의 행동과 유사합니다. 유일한 차이점은 배포에 있습니다. 사람이 실행하는 프로그램이 바이러스에 감염되면(감염된 컴퓨터에서 프로그램을 사용하지 않으면 바이러스가 침투하지 않음) 웜은 개인 주도로 컴퓨터 네트워크를 통해 확산됩니다.

예를 들어 Blaster는 Windows XP로 빠르게 확산되었습니다. 이 운영 체제도 다르지 않았기 때문입니다. 안정적인 보호웹 서비스

따라서 웜은 인터넷을 통해 OS에 액세스하는 방법을 사용했습니다.

그 후, 악성코드는 추가 복제를 계속하기 위해 감염된 새로운 시스템으로 이동했습니다.

오늘날 Windows에는 고품질 보호 기능이 있으므로 이러한 웜은 거의 볼 수 없습니다. 기본적으로 방화벽이 사용됩니다.

그러나 웜은 다른 방법으로 확산될 수 있습니다. 예를 들어, 웜은 전자 메일함을 통해 컴퓨터를 감염시키고 연락처 목록에 저장된 모든 사람에게 자신의 복사본을 보냅니다.

웜과 바이러스는 컴퓨터를 감염시킬 때 다른 많은 위험한 작업을 수행할 수 있습니다. 맬웨어에 웜의 특성을 부여하는 가장 중요한 점은 자체 복사본을 배포하는 방식입니다.

트로이 사람

트로이 목마 프로그램은 일반적으로 일반 파일처럼 보이는 악성 코드 유형으로 이해됩니다.

트로이 목마를 실행하면 일반 유틸리티와 함께 ​​백그라운드에서 작동하기 시작합니다. 이런 방식으로 트로이 목마 개발자는 피해자의 컴퓨터에 액세스할 수 있습니다.

또한 트로이 목마를 사용하면 컴퓨터의 활동을 모니터링하고 컴퓨터를 봇넷에 연결할 수 있습니다. 트로이 목마는 게이트웨이를 열고 다양한 유형의 악성 응용 프로그램을 컴퓨터에 다운로드하는 데 사용됩니다.

주요 차별화 포인트를 살펴보겠습니다.

¹ 악성 코드는 다음 형식에 숨겨져 있습니다. 유용한 응용 프로그램시작하는 동안 백그라운드에서 작동하여 다음에 대한 액세스를 제공합니다. 자신의 컴퓨터. 호메로스 작품의 주인공이 된 트로이 목마와 비교할 수 있다.

² 이 악성 코드는 다양한 파일에 자신을 복사하지 않으며 웜이나 바이러스처럼 인터넷을 통해 독립적으로 확산될 수 없습니다.

³ 불법 복제 소프트웨어는 트로이 목마에 감염될 수 있습니다.

스파이웨어

스파이웨어는 또 다른 유형의 맬웨어입니다. 간단한 말로, 이 응용 프로그램은 스파이입니다.

도움을 받아 정보가 수집됩니다. 다양한 유형의 맬웨어에는 스파이웨어가 포함되어 있는 경우가 많습니다.

예를 들어, 금융 정보가 도난당하는 경우가 있습니다.

스파이웨어는 완전 무료 소프트웨어와 함께 사용되는 경우가 많으며 방문한 인터넷 페이지, 파일 다운로드 등에 대한 정보를 수집합니다.

소프트웨어 개발자는 자신의 지식을 판매하여 돈을 얻습니다.

애드웨어

애드웨어는 스파이웨어의 동맹자로 간주될 수 있습니다.

우리는 컴퓨터에 광고 메시지를 표시하는 모든 유형의 소프트웨어에 대해 이야기하고 있습니다.

또한 사이트를 탐색하는 동안 애드웨어가 사이트에 추가 광고를 사용하는 경우도 종종 발생합니다. 이 상황에서는 아무것도 의심하기 어렵습니다.

키로거

Keylogger는 악성 유틸리티입니다.

백그라운드에서 실행되며 모든 버튼 누름을 기록합니다. 이 정보에는 비밀번호, 사용자 이름, 신용 카드 정보 및 기타 민감한 정보가 포함될 수 있습니다.

키로거는 버튼 누름을 저장할 가능성이 높습니다. 자체 서버, 사람이나 특수 소프트웨어에 의해 분석됩니다.

봇넷

봇넷은 개발자가 제어하는 ​​거대한 컴퓨터 네트워크입니다.

이 경우 장치가 특정 악성 코드에 감염되었기 때문에 컴퓨터가 "봇" 역할을 합니다.

컴퓨터가 "봇"에 감염되면 일부 제어 서버에 접속하여 개발자의 봇넷의 지시를 기다립니다.

예를 들어, 봇넷은 다음을 생성할 수 있습니다. DDoS 공격. 봇넷의 모든 컴퓨터는 다양한 요청으로 특정 서버와 웹사이트를 공격하는 데 사용될 수 있습니다.

이러한 빈번한 요청으로 인해 서버가 중단될 수 있습니다.

봇넷 개발자는 자신의 봇넷에 대한 액세스 권한을 판매합니다. 사기꾼은 교활한 아이디어를 실행하기 위해 대규모 봇넷을 사용할 수 있습니다.

루트킷

루트킷은 일반적으로 개인용 컴퓨터 깊숙한 곳에 위치한 악성 소프트웨어로 이해됩니다.

숨김 다양한 방법으로사용자 및 보안 프로그램에서.

예를 들어 루트킷은 Windows가 시작되고 운영 체제의 시스템 기능을 편집하기 전에 로드됩니다.

루트킷은 위장될 수 있습니다. 그러나 악성 유틸리티를 루트킷으로 바꾸는 가장 중요한 점은 그것이 운영 체제의 "활"에 숨겨져 있다는 것입니다.

배너 랜섬웨어

우리는 다소 교활한 유형의 악성 소프트웨어 제품에 대해 이야기하고 있습니다.

이런 유형의 악인을 접한 사람이 꽤 많은 것 같습니다.

그래서 컴퓨터나 별도의 파일인질로 잡히게 됩니다. 그들을 위해 몸값을 지불해야 합니다.

가장 인기 있는 유형은 돈을 보내고 코드를 지정해야 하는 포르노 배너입니다. 포르노 사이트를 방문하는 것뿐만 아니라 이 소프트웨어의 피해자가 될 수도 있습니다.

CryptoLocker와 같은 악성코드가 있습니다.

문자 그대로 일부 개체를 암호화하고 해당 개체에 대한 액세스를 열려면 비용을 요구합니다. 이러한 유형의 악성 코드는 가장 위험합니다.

피싱

피싱 (eng. 피싱, 낚시-낚시, 낚시-인터넷 사기 유형으로, 그 목적은 로그인 및 비밀번호와 같은 기밀 사용자 데이터에 액세스하는 것입니다.

이는 대량 메일 발송을 통해 이루어집니다. 이메일인기 브랜드를 대신하여 은행이나 소셜 네트워크 등 다양한 서비스 내에서 개인 메시지를 보낼 수 있습니다. 네트워크.

사용자가 가짜 사이트에 접속한 후, 사기꾼은 다양한 심리적 기법을 사용하여 사용자가 사이트에 액세스하는 데 사용하는 로그인 비밀번호와 데이터를 가짜 페이지에 입력하도록 강요합니다. 이를 통해 사기꾼은 계정에 액세스하고 은행 계좌.

스팸

스팸은 수신 의사를 표시하지 않은 사람에게 상업 광고 또는 기타 광고를 보내는 메일입니다.

일반적으로 받아 들여지는 의미에서 러시아어로 "스팸"이라는 용어는 이메일 전송과 관련하여 처음 사용되었습니다.

인스턴트 메시징 시스템(예: ICQ)의 원치 않는 메시지를 SPIM(영어) 러시아어라고 합니다. (영어: IM을 통한 스팸).

전 세계 메일 트래픽에서 스팸이 ​​차지하는 비율은 60~80%입니다(Wikipedia에서 발췌).

결론

다음은 가장 "인기 있는" 유형의 악성 코드 바이러스를 거의 모두 나열한 것입니다.

그들과의 회의를 최소화하고, 결코 만나지 않을 회의도 있기를 바랍니다. 컴퓨터와 사용자 데이터를 보호하는 방법에 대해 읽어보세요.

결과

바이러스 백신 소프트웨어를 왜 이렇게 부르나요? 아마도 많은 사람들이 "바이러스"가 악성 소프트웨어의 동의어라고 확신하고 있기 때문일 것입니다.

아시다시피 바이러스 백신은 바이러스뿐만 아니라 기타 원치 않는 프로그램으로부터 보호하고 감염 방지를 위해 보호합니다. 지금은 이것이 전부입니다. 이는 컴퓨터를 보호하는 주요 구성 요소 중 하나이므로 주의하세요.

흥미로운 영상: 파괴적인 컴퓨터 바이러스 10종.

요즘에는 컴퓨터에 연결되지 않은 사람이라도 컴퓨터 바이러스가 무엇인지 대략 알고 있습니다. 그러나 컴퓨터 바이러스가 악성 소프트웨어의 일부일 뿐이라는 사실을 모든 사람이 아는 것은 아닙니다. 실제로 컴퓨터 작동에 부정적인 영향을 미칠 수 있는 모든 프로그램이 바이러스인 것은 아닙니다. 제가 이 글에서 집중적으로 다루고 싶은 부분이 바로 이것입니다. 우리는 악성코드를 클래스와 유형으로 나누는 데 중점을 둘 것입니다.

일반적으로 각 바이러스 백신 회사에는 해당 연구실의 전문가가 새로운 항목의 소속을 결정하는 자체 분류가 있습니다. 악성코드. 많은 사람들이 동일한 코드에 대해 회사마다 이름이 다르다는 사실을 알고 있다고 생각합니다. 책임이 있는 것은 분류의 차이이다. 하지만 너무 성급하게 굴지 말고 바로 사업에 착수합시다. 오늘 우리는 Evgeniy Kaspersky 연구실의 분류를 사용할 것입니다(이 사람이 누구인지 설명할 필요는 없을 것 같습니다). 악성 소프트웨어는 4개의 큰 그룹으로 나뉘며, 그룹은 다시 클래스로 나뉩니다. 그럼 순서대로 시작해 보겠습니다.

네트워크 웜

최근 네트워크 웜은 바이러스 작성자들 사이에서 인기를 잃었습니다. 그리고 이 "운동"의 활동가들을 바이러스의 실제 창조자라고 부를 수 있을까요? 내 생각에는 그렇지 않다. 이 사람들의 대부분은 트로이 목마 프로그램 설계자가 어떤 식 으로든 그들의 손에 넘어간 학생 또는 학생입니다. 그리고 실제로 악의적인 기능을 제대로 수행할 가치가 있는 웜 표본의 발생도 최소한으로 줄었습니다. 2006년 상반기 Kaspersky Lab 보안 게시판을 예로 들어 보겠습니다(그림 1 참조). 다이어그램은 어떤 악성코드 그룹이 지배적인지 명확하게 보여줍니다. 글쎄요, 우리는 네트워크 웜에 대해 이야기하고 있습니다. 네트워크 웜은 악성입니다. 프로그램 코드, 복사본을 로컬 또는/및 글로벌 네트워크피해자 컴퓨터에 침투하여 해당 컴퓨터에서 자신의 복사본을 실행하고 추가로 배포하는 것을 목표로 합니다. 웜은 확산을 위해 이메일, ISQ, P2P 및 IRC 네트워크, LAN, 데이터 교환 네트워크를 사용합니다. 모바일 장치. 대부분의 웜은 파일(이메일 첨부 파일, 파일 링크 등)로 배포됩니다. 그러나 네트워크 패킷 형태로 확산되는 웜도 있습니다. 이러한 종류는 컴퓨터의 메모리에 직접 침투하여 즉시 상주하는 역할을 시작합니다. 피해자 컴퓨터에 침투하는 데는 자체 지향(패키지 웜), 사용자 지향(사회 공학), 운영 체제 및 애플리케이션 보안 시스템의 다양한 허점 등 여러 가지 방법이 사용됩니다. 일부 웜은 다른 유형의 맬웨어(대부분 트로이 목마)의 속성을 가지고 있습니다. 이제 네트워크 웜 클래스에 대해 더 자세히 설명하겠습니다.

이메일 웜(Email-Worm).이 종류의 네트워크 웜은 이메일을 사용하여 확산됩니다. 이 경우, 웜은 코드 본문이 첨부된 편지를 피해자에게 보내거나, 편지에는 리소스(물론 감염됨)에 대한 링크가 포함되어 있습니다. 웜이 메시지를 보내는 데는 다음과 같은 방법이 사용됩니다. 웜 코드에 내장된 메일 라이브러리를 사용하여 SMTP 서버에 직접 연결합니다. MS Outlook 서비스 사용; Windows MAPI 기능을 사용합니다.

피해자의 주소를 찾는 데 가장 많이 사용됨 주소록 MS Outlook이지만 WAB 주소 데이터베이스도 사용할 수 있습니다. 웜은 디스크에 저장된 파일을 검사하고 해당 파일에서 주소와 관련된 줄을 추출할 수 있습니다. 이메일. 웜은 다음에서 발견된 모든 주소로 자신의 복사본을 보낼 수 있습니다. 사서함(일부는 상자에 있는 편지에 답할 수 있는 능력이 있습니다). 메소드를 결합할 수 있는 인스턴스가 있습니다.

인터넷 메신저(IM-Worm)를 사용하는 웜입니다.알려진 컴퓨터 웜 이런 유형의유일한 배포 방법을 사용합니다 - 발견된 연락처(연락처 목록에서)에 있는 파일에 대한 URL이 포함된 메시지를 보냅니다. 웹 서버. 이 기술은 메일 웜이 사용하는 유사한 메일링 방법을 거의 완벽하게 복제합니다.

IRC 채널의 웜(IRC-Worm).이 클래스의 웜은 두 가지 전파 유형을 사용합니다. 즉, 사용자에게 본문 파일에 대한 URL 링크를 보내는 것입니다. 사용자에게 파일 전송(이 경우 사용자가 수신 확인을 해야 함)

파일 공유 네트워크용 웜(P2P-웜).대부분의 이러한 웜의 작동 메커니즘은 매우 간단합니다. P2P 네트워크에 침투하려면 웜이 일반적으로 로컬 시스템에 있는 파일 공유 디렉터리에 자신을 복사하기만 하면 됩니다. P2P 네트워크는 배포에 대한 나머지 모든 작업을 처리합니다. 네트워크에서 파일을 검색할 때 보고합니다. 원격 사용자영형 이 파일감염된 컴퓨터에서 다운로드하는 데 필요한 모든 서비스를 제공합니다.

모방하는 더 정교한 P2P 웜이 있습니다. 네트워크 프로토콜특정 파일 공유 시스템에 대해 긍정적으로 반응합니다. 검색어(동시에 웜은 다운로드를 위해 자신의 복사본을 제공합니다.)

첫 번째 방법을 사용하여 웜은 쓰기 및 복사를 위해 열려 있는 리소스가 있는 시스템을 네트워크에서 검색합니다. 동시에 그는 할 수 있습니다 무작위로컴퓨터를 찾고 리소스에 대한 액세스를 열어보십시오. 두 번째 방법을 사용하여 침투하기 위해 웜은 심각한 취약점이 포함된 소프트웨어가 설치된 컴퓨터를 검색합니다. 따라서 웜은 특수 제작된 패킷(요청)을 보내고 웜의 일부가 컴퓨터에 침투한 후 전체 본문 파일을 다운로드하고 실행하여 실행합니다.

고전적인 바이러스

전문가가 "바이러스"라고 말하는 것은 이러한 유형의 악성 코드를 의미합니다. 웜과 달리 바이러스는 자신의 복사본을 배포하기 위해 네트워크 서비스를 사용하지 않습니다. 일반적으로 컴퓨터 바이러스는 코드 기능과 무관한 이유로 피해자 컴퓨터에 감염됩니다. 일반적으로 확인하지 않은 것은 사용자의 책임입니다. 바이러스 백신 프로그램정보가 컴퓨터에 저장되어 실제로 감염이 발생합니다. 고전적인 바이러스를 "잡는" 방법에는 여러 가지가 있습니다.

• 외부 미디어정보;
• 인터넷 자원;
• 네트워크(LAN, 인터넷)를 통해 배포되는 파일입니다.

일반적인 컴퓨터 바이러스에는 다른 유형의 맬웨어(예: 디스크의 정보를 삭제하는 트로이 목마)의 속성이 있을 수 있습니다. 바이러스는 서식지에 따라 분류되고, 이러한 분류는 감염 방법에 따라 하위 분류로 나뉩니다. 따라서 바이러스는 서식지에 따라 파일, 부트, 매크로, 스크립트 바이러스로 구분됩니다. 파일 바이러스는 감염에 사용됩니다. 파일 시스템 OS. 그들은 다양한 방법으로 실행 파일에 자신을 주입하고, 중복 파일을 만드는 등의 작업을 수행합니다.

바이러스 덮어쓰기.가장 흔한 감염 방법. 바이러스는 프로그램 코드를 다시 작성하고(자체 코드로 대체) 그 후에는 당연히 파일 작동이 중지됩니다. 이 방법으로 감염된 파일은 복구할 수 없습니다. 덮어쓰기 바이러스는 감염된 시스템(또는 프로그램)이 작동을 멈추면 빠르게 그 모습을 드러냅니다.

동반 바이러스. 이 방법이는 중복 파일 생성을 의미하지만 피해자 파일의 코드는 변경되지 않습니다. 일반적으로 바이러스는 파일 확장자를 변경(예: .exe에서 .com으로)한 다음 피해자 파일 이름과 동일한 이름으로 복사본을 생성하고 동일한 확장자를 부여합니다. 의심하지 않는 사용자는 자신이 좋아하는 프로그램을 실행하고 그것이 바이러스라고 의심하지 않습니다. 그러면 바이러스는 여러 개의 파일을 더 감염시키고 사용자가 요청한 프로그램을 시작합니다.

다른 감염 방법도 있지만 매우 드물기 때문에 나열에만 집중하겠습니다. 개체 모듈(OBJ)을 감염시키는 바이러스; 컴파일러 라이브러리(LIB)를 감염시키는 바이러스; 프로그램의 소스코드를 감염시키는 바이러스. 현재 알려진 부트 바이러스 감염 부트 섹터플로피 디스크 및 하드 드라이브의 부트 섹터 또는 마스터 부트 레코드(MBR). 부트 바이러스의 작동 원리는 필요한 테스트를 거친 후 컴퓨터를 켜거나 다시 시작할 때 운영 체제를 시작하는 알고리즘을 기반으로 합니다. 설치된 장비(메모리, 디스크 등) 프로그램 시스템 부팅첫 번째 물리적 섹터를 읽습니다. 부팅 디스크(에 설정된 매개변수에 따라 A:, C: 또는 CD-ROM BIOS 설정) 제어권을 전달합니다. 디스크를 감염시킬 때 부트 바이러스는 시스템 부팅 시 제어권을 얻는 프로그램 대신 해당 코드를 "대체"합니다. 따라서 감염 원리는 위의 모든 방법에서 동일합니다. 바이러스는 시스템이 다시 시작될 때 시스템을 "강제"하여 메모리를 읽고 원래 부트로더 코드가 아닌 바이러스 코드에 제어권을 부여합니다. 플로피 디스크는 알려진 유일한 방법으로 감염됩니다. 즉, 바이러스는 플로피 디스크 부팅 섹터의 원래 코드 대신 자신의 코드를 작성합니다. 윈체스터는 세 가지에 감염됩니다 가능한 방법: 바이러스는 MBR 코드 대신 또는 부팅 디스크(일반적으로 C: 드라이브)의 부팅 섹터 코드 대신 쓰거나, MBR에 있는 디스크 파티션 테이블의 활성 부팅 섹터 주소를 수정합니다. 하드 드라이브. 디스크가 감염되면 대부분의 경우 바이러스는 원래 부팅 섹터(또는 MBR)를 디스크의 다른 섹터(예: 첫 번째 사용 가능한 섹터)로 전송합니다. 바이러스의 길이가 섹터의 길이보다 길면 바이러스의 첫 번째 부분은 감염된 섹터에 배치되고 나머지 부분은 다른 섹터(예: 첫 번째 무료 섹터)에 배치됩니다. 매크로 바이러스는 주로 MS Office 문서를 감염시킵니다. 이 경우 바이러스는 문서의 매크로 영역에 코드를 추가합니다. 위에서 설명한 패키지의 다양한 응용 프로그램 문서에서 바이러스 코드의 위치가 다르기 때문에 개략적으로만 표시할 수 있습니다(그림 2 참조). 스크립트 바이러스는 스크립트 언어(VBS, JS, BAT, PHP 등)로 작성된 바이러스입니다. 그들은 .exe에서 .html까지 상당히 광범위한 확장자를 가진 파일을 감염시킵니다.

악성 코드는 PC 리소스나 PC에 저장된 사용자 데이터에 무단으로 액세스하는 소프트웨어입니다. 이러한 미니 프로그램은 무단으로 다운로드 및 설치되고, 애플리케이션 작동을 방해하고, 자율적으로 실행되고, 사용자 활동을 모니터링하고, 경우에 따라 바이러스 백신 및 방화벽 작동을 중지하고 데이터를 보내기 때문에 악성입니다. 그러나 악성 소프트웨어나 "악성 프로그램" 바이러스를 완전한 의미에서 "악성" 바이러스라고 부르는 것은 올바르지 않습니다. 이들은 자체적인 "악성" 목표를 추구하는 작은 소프트웨어입니다.

컴퓨터에 몰래 침입하는 이러한 프로그램은 바이러스 백신으로 식별되지 않는 경우가 많으며 어떤 경우에는 해당 프로그램의 작동을 비활성화하기도 합니다. 그리고 그것들을 제거하는 것은 매우 어렵습니다. 그러나 악성코드를 제거할 수 있는 특별한 소프트웨어 방법이 있습니다.

또는 웹 사이트에서는 해결하기 쉽지 않은 시급한 문제입니다. 프로그램 중 하나를 사용하여 광고를 제거하는 방법을 알려 드리겠습니다. 하지만 권장 사항을 따르기 전에 브라우저에서 확장 프로그램 실행을 중지하고, 신뢰할 수 있는 확장 프로그램도 실행하고 결과를 살펴보세요. 유틸리티가 필요하지 않을 수도 있습니다. 방법이 작동하지 않으면 계속 읽으십시오.

Microsoft 악성 소프트웨어 제거 도구

AdwCleaner

AdwCleaner를 추천하는 이유는 무엇입니까? 이 프로그램은 완전 무료이며 러시아어를 지원하여 제작되었으며 설치가 필요하지 않으며 애드웨어 및 모든 종류의 맬웨어 소프트웨어를 효과적으로 제거하며 지속적으로 개선되고 무료로 배포됩니다. 유용한 추천그리고 팁. 예, 악성 소프트웨어 및 광고를 확인하고 제거하는 절차가 완료되면 유틸리티는 원치 않는 소프트웨어로부터 컴퓨터를 보호하는 방법을 알려줍니다.

훈련받지 않은 PC 사용자라도 이 유틸리티를 사용할 수 있습니다. 소프트웨어를 실행하고 "스캔"을 클릭한 후 스캔 결과를 확인하고 삭제하기만 하면 됩니다. 불필요한 프로그램. 특정 애플리케이션의 "필요성"이 의심스러우면 확인란을 선택 취소하세요.

다음을 통해서만 AdwCleaner 유틸리티를 컴퓨터에 다운로드하십시오. 공식 페이지작가. 안에 그렇지 않으면동일한 악성 소프트웨어를 다른 덮개로 받게 될 위험이 있습니다. 비공식 리소스에서 소프트웨어를 다운로드한 경우 실시간으로 확인하세요.

Malwarebytes 안티 멀웨어 무료

Zemana 안티맬웨어

이 프로그램은 러시아어를 지원하며 상당히 간단한 인터페이스를 갖추고 있습니다. 클라우드 기술을 사용하여 개별 프로그램 구성 요소를 검색하고 찾습니다. 동시에 실시간으로 작동하여 유해한 악성 코드와 애드웨어가 컴퓨터에 침입하는 것을 방지하는 기능도 있습니다.

히트맨프로

Microsoft 악성 소프트웨어 제거 도구

스파이봇 수색 및 파괴

우리 의견으로는 이 유틸리티는 악성 악성 소프트웨어와 애드웨어를 제거할 수 있을 뿐만 아니라 이미 다른 위협이나 활동으로부터 온라인으로 컴퓨터를 보호할 수 있게 해주는 가장 효과적인 미니 유틸리티입니다. 설치된 애플리케이션. PC를 한 번 청소해야 한다면, 공식 유틸리티. 그리고 지속적인 보호가 필요하다면 보다 효과적인 프로그램을 설치하세요.

악성 프로그램

악성 프로그램(바이러스 백신 서비스 전문 용어로 " 악성 코드", 영어 악성 코드, 악성 소프트웨어- "악성 소프트웨어") - 소유자가 컴퓨터 리소스를 무단으로 사용하거나 컴퓨터에 해를 끼칠 목적으로 컴퓨터 자체의 컴퓨팅 리소스 또는 컴퓨터에 저장된 정보에 무단으로 액세스하도록 설계된 모든 소프트웨어 정보를 복제, 왜곡, 삭제 또는 대체함으로써 정보의 소유자, 컴퓨터 소유자, 컴퓨터 네트워크의 소유자에게 피해를 입힐 수 있습니다.

동의어

• 배드웨어 (나쁜- 나쁘고 (부드럽다) 제품- 소프트웨어) - 나쁜 소프트웨어.
• 컴퓨터 오염물질 (컴퓨터- 컴퓨터와 오염물질오염물질(Contaminant)은 캘리포니아주, 웨스트버지니아주 등 미국 일부 주 법률에서 사용되는 악성 소프트웨어를 가리키는 용어입니다.
• 크라임웨어 (범죄- 범죄와 (부드러운 제품- 소프트웨어)는 금융 범죄를 자동화하기 위해 특별히 제작된 악성 프로그램 종류입니다. 이는 악성코드라는 용어의 동의어는 아니지만(악성코드라는 용어의 의미가 더 넓음), 크라임웨어와 관련된 모든 프로그램은 악성입니다.

술어

기본 정의에 따르면 맬웨어는 기존 액세스 제어 규칙을 우회하여 정보에 대한 무단 액세스를 얻도록 설계되었습니다. 기술 및 수출 통제를 위한 연방 서비스( 러시아 FSTEC)는 이러한 개념을 다음과 같이 정의합니다.

• 정보에 대한 접근 승인(정보에 대한 영어 승인 액세스) - 액세스 제어 규칙을 위반하지 않는 정보에 대한 액세스입니다.
• 정보에 대한 무단 액세스(영어 무단 접근 정보) - 해당 수단에서 제공하는 표준적인 수단을 이용하여 접근 통제 규칙을 위반하는 정보에 접근하는 행위 컴퓨터 기술또는 자동화 시스템. 표준이란 컴퓨터 또는 자동화 시스템을 위한 소프트웨어, 펌웨어 및 하드웨어 세트를 의미합니다.
• 액세스 제어 규칙(영어 접근 중재 규칙) - 접근 객체에 대한 접근 주체의 접근 권한을 규제하는 일련의 규칙

"맬웨어"라는 용어의 다른 정의

형법 제 273조에 따르면 러시아 연방(“컴퓨터용 악성 프로그램의 생성, 사용 및 배포”)에서 악성 프로그램의 정의는 다음과 같습니다. 정보, 컴퓨터, 시스템 컴퓨터 또는 해당 네트워크의 작동 중단..."

현재 제273조의 표현은 유해성 개념을 매우 광범위하게 해석하고 있다는 점에 유의해야 합니다. 형법에 이 조항을 포함시키는 문제가 논의되었을 때 명시적으로 승인되지 않은 프로그램 활동은 "무단"으로 간주된다는 점을 이해했습니다. 사용자이 프로그램. 그러나 현재 사법 관행은 저작권 소유자가 수정을 허용하지 않는 경우 다른 프로그램의 실행 파일 및/또는 데이터베이스를 수정(사용자의 허가를 받아)하는 악성 프로그램으로 분류하기도 합니다. 동시에 여러 사건에서 피고측의 원칙적인 입장과 적법한 심사를 거쳐 법원은 제273조의 광의의 해석이 불법이라고 판결했습니다.

Microsoft Corporation은 "악성 프로그램"이라는 용어를 다음과 같이 정의합니다. "악성 프로그램은 "악성 소프트웨어"의 약어이며 일반적으로 개별 컴퓨터, 서버 또는 컴퓨터에 손상을 입히도록 특별히 설계된 소프트웨어를 지칭하는 일반적인 용어로 사용됩니다. 컴퓨터 네트워크, 바이러스, 스파이웨어 등 여부와 관계없이.”

악성코드 분류

각 바이러스 백신 소프트웨어 회사는 자체 회사 분류 및 악성 코드 명명법을 가지고 있습니다. 이 문서에 제공된 분류는 Kaspersky Lab의 명명법을 기반으로 합니다.

악성로드로