보안IT뉴스 보안권고문 보안Tip 보안처방 보안통신 보안용어 보안백신메일 보안캘린더 보안위협DB 찾기
보안칼럼
에브리존 Zip에브리존 See에브리존 FTP

  보안IT뉴스
  보안권고문
  보안Tip
  보안처방
  보안통신
  보안용어
  보안백신메일
  보안캘린더
  보안위협DB찾기
  보안칼럼

   보안칼럼
   
 목록 |  윗글 |  아랫글
 바이러스 이름은 어떻게 지을까?
   기술개발연구소 2002-03-21       조회  21909 
W32/.. W95/.. VBS/.. JS/.. Backdoor/... 등등.. 백신 치료를 할 때 표시된 바이러스 이름을 보면 그 이름이 어떻게 나오게 되었는지 궁금한 적이 있었을 것이다. 바이러스의 이름은 어떻게 만들어 지는 것일까? 바이러스는 도스 운영체제 이후의 윈도우즈 운영체제에서 많이 발생하기 시작하였다. 아마 윈도우즈 자체가 편리함을 위한 운영체제인 만큼 여러가지 방향에서 바이러스가 발생할 수 있는 여지가 생겼기 때문일 것이다. 일단 컴퓨터 바이러스의 유래를 알아보기로 하자. 바이러스란? 사용자 몰래 다른 프로그램에 자신을 복사하는 프로그램을 말한다. 그 유래는 파키스탄에서 만들어진 브레인바이러스(Brain Virus)가 최초이며, 컴퓨터 바이러스의 세계적인 위세는 이스라엘에서 만들어진 예루살렘바이러스 라 할 수 있다. 이 후 미국에서 주로 수많은 바이러스가 만들어 졌으며, 현재 세계적으로 수많은 사람들이 특정/불특정의 이유로 바이러스를 만들어내고 있다. 또한 왜 바이러스를 만드는 것일까? 주로 특정한 이유에서 만들어내는 경우가 많으며, 이 경우는 원하는 것을 얻어내기위한 툴! 이라는 의미가 강하지만, 불특정한 이유(자신의 실력을 뽑내기위한)에서 제작된 바이러스 의 경우, 대단한 피해를 입히게 된다. 때문에 이유있는 바이러스 의 경우, 백신으로 잡기도 쉽지만, 그 반대의 경우, 피해도 크며 백신으로 잡아내기 또한 어렵다. 초기의 바이러스는 그 형태도 간단하였고, 잡아내기도 어렵지 않았다. 하지만 시간이 현재에 이르러서는 바이러스제작자와 백신제작자의 공방은 서로 수많은 시간을 소비하게 만들고 있다. 형태로 본다면, 주로 원시형 바이러스 -> 암호화 -> 다형성 -> 혼합형 으로 이름 붙여 부를 수 있다. 최근에는 다형성(감염시마다 다른 형태를 보임) 보다는 인터넷 웜 + 백도어 + 다형성 등의 혼합형이 주류를 이루고 있다. 이 경우, 백신만을 맹신하기 보다는 사용자 측면에서 간단한 공부가 필요하다. 에브리존의 바이러스 정보, 또는 바이러스 FAQ 등을 재미삼아 읽어보아도 왠만한 바이러스는 웃어넘길 수 있을것이다. 물론 사견이다. 주로 바이러스라고해서 큰피해를 입히거나 하지는 않지만 일단 감염되었다면 기분나쁜일에는 틀림없다. 그 현재의 바이러스 위해정도를 살펴본다면, 사용자의 정보를 빼내어가기위한 백도어등이 주류이며, 불특정한 이유로, 컴퓨터를 못쓰게 만드는 지경에 이르는 바이러스도 많이 발생하고 있다. 또한 인터넷사용자의 증대로 인터넷, e-mail 등을 통한 감염이 주류를 이루고 있다. 이제 본론으로 바이러스의 이름에 대한 정의 방법등을 알아보자. 보통 터보백신 등의 백신으로 바이러스 검사를 해본 경험은 누구나 있을 것이다. 감염된 경험 또한 많이 가지고 있을 것인데, 이 때 표시된 이름을 보면 저 이름이 어떻게 나오게 되었는가 하는것이 궁굼했을 것이다. 운영체제별, 또는 제작언어, 방법, 용도 등에 따른 분류라고 할 수 있다. 다음은 어디까지나 터보백신의 분류법이며, 다른 백신도 이와 유사한 분류법을 사용한다. W32/... 하면 윈도우즈 플랫폼 어디서나 작동하는 것을 말한다. ex> W32/Weird, W32/MTX 등등.. W95/... 하면 윈도우즈 플랫폼 중 윈도우즈 9x 버전, 즉 윈도우즈 95, 98, ME 에서 활동하는 바이러스를 말한다. ex> W95/CIH, W95/Love 등등.. Backdoor-W32/.. 하면 윈도우즈 플랫폼 어디서나 활동하는 백도어(해킹툴, 정보유출기능)을 말한다. VBS/.. 하면 Visual Basic 스크립트로 제작되어 활동하는 바이러스를 말하며, 웹관련에서 다룰때 주의해야한다. JS/.. 라면 자바 스크립트가 되겠다. Trojan-W32/.. 하면, 자기 복사등의 능력없이 고의적인 부작용을 발생하는 툴을 말한다. X97M/.. 등의 경우, 마이크로소프트의 오피스 문서의 매크로부분에 붙은 바이러스로 일종의 악성 스크립트라 할 수 있다. Joke/.. 는 요즘 새로 많이 발생하는 바이러스며, 어쩌면 바이러스가 아니라고 해야 할지 모른다. 왜냐하면, 바이러스로 규정할 때, 사용자에게 유해한 악성프로그램을 통칭하는데 요즘 사용자를 놀래키거나 가짜로 바이러스인척 하는 프로그램등도 바이러스로 포함하여 조크, 농담 으로 규정하며, 백신에서 검사/삭제 하고 있다. 기타 등등의 경우, 앞의 접두어 만으로 알 수 있다. 기존 바이러스가 변종이 발생한 경우는 -> [기존이름 + .크기/.X(알파벳)] 으로 나타낸다. ex) X97M/Barisada.B , W32/Hybris.Plugin.1472 의 경우 기존의 변종이 된다. 웜등의 경우 다음처럼 표시한다. 접미어로 기존이름 + @m, + @mm 으로 붙이며, @m 은 보통의 웜(Worm)을 뜻하며, @mm 은 메일등의 수단을 통해 전달되는 웜(Worm)을 말한다. -> 전체적으로 요약해보자. W32/.. , JS/.. 등 접두어 -> 어느 플랫폼에서 활동하는가? 또는 무엇으로 만들어졌는가? 이다. .57344, .B, @m, @mm 등 접미어 -> 변종, 또는 웜인지 판별한다. W32/ [이름] .B 등의 사이에 들어가는 것이 바이러스의 이름이 된다. W32/Nimda.57344 + @mm = W32/Nimda.57344@mm 즉 해석하면, 윈도우즈 플랫폼 어디서나 활동하는 Nimda 라는 이름의 크기가 57344 하는 인터넷웜이다. Backdoor-W32/SchoolBus.45990 즉 해석하면, 윈도우즈 플랫폼 어디서나 활동하는 백도어(해킹툴, 정보유출기능)기능을 하고, 크기가 45990 하는 SchoolBus 라는 이름의 바이러스를 말한다. 다양한 운영체제(OS)중 윈도우즈계열의 윈도우즈 98 부터는 32bit 운영체제가 되었다. 바이러스도 이전의 구 바이러스인 도스용 바이러스와, 현재의 윈도우즈용 바이러스 그리고 다른 플랫폼인 리눅스용 바이러스도 생겨났다. 요즘의 컴퓨터 사용자들은 대부분 도스운영체제를 잘 모르는 실정이며, 윈도우즈부터 익히며 사용한 분들이 많을 것이다. 때문에 도스용 바이러스는 감염될여지가 거의 없다고 생각하며, 이는 훗날 다시 기회가 된다면 다시한번 살펴보았으면 한다.
 목록