보안과 해킹에 관련된 바이러스 1
바이러스는 1세데부터 5세대까지가 있고 그 이후의 바이러스는
차세대 바이러스로 분류 되는데 1세대는 원시형 바이러스 2세대는
암호형 바이러스 3세대 은폐형 바이러스 4세대 다형성 바이러스
5세대 매크로 바이러스 이후로 차세대 바이러스로 넘어가게 된다.
1세대 원시형 바이러스는 부트 바이러스라고 불리기도 하며
컴퓨터 바이러스가 등장하기 시작할 때 쯤부터 퍼지던 가장 원시적인
형태의 바이러스이며 단순히 자기 복제 기능과 데이터 파괴 기능
만을 가지고 있다. 부트 바이러스(Boot Virus) 와 파일 바이러스
(File Virus)로 구분되어 진다. 부트 바이러스는 플로피 디스크나
하드 디스크의 부트 섹터에 감염되는 바이러스로 MBR(Master
Boot Record) 과 함께 PC메모리에 저장되고, 부팅할 때 사용되는
모든 프로그램을 감염 시키는 바이러스 이다. 이때 부팅이란
PC가 켜진 후에 운영체제(이하 OS)가 실행 되기 전까지 수행되는
일련의 작업 과정을 말한다.
부트 바이러스는 BIOS > 부트로더 > 커널 > OS 순으로 진행되고
컴퓨터 부팅 3단계인 POST(Power On Self Test) > CMOS
(Complementary Metal-Oxide Semiconductor) > 운영체제 위치
정보로드를 거친다. 1단계 POST는 운영체제와 관련 있는 부분인데
운영체제를 설치할 때 항상 POST과정을 거친다. PC의 전원이
켜지면 ROM에 들어있는 BIOS가 로드되고 BIOS(Basic Input/
Ouput System)는 컴퓨터에 연결된 저장 매체에서 설정된
부팅 순서대로 부트로더들을 불러온다. 부트로더는 커널을
메모리에 로드하고 최종적으로 OS를 읽어내는 역할을 한다.
POST 과정 때 하드웨어 자체가 시스템에 문제가 없는 기본 사항을
스스로 체크하는 과정으로, POST 는 BIOS 에 의해 실행되고
POST 도중 하드웨어에서 문제가 발견되면 사용자에게 그문제를
알린다. 2단계 CMOS는 부팅할 때 <esc> 키 또는 <f2> 키를
누르면 CMOS에 들어 갈수 있는 데 다만 WINDOW 7 또는
10 에서는 보기 힘든 화면이다. 3단계인 운영체제 위치 정보 로드
에 대해 설명하자면 부트 바이러스는 바로 이 3단계에서 동작하며,
부트 바이러스의 종류로는 브레인, 몽키, 미켈란젤로 바이러스가
있다. 미켈란 젤로 바이러스는 이탈리아의 조각가이자 화가인
미켈란 젤로의 생일인 3월 6일을 맞아 정상적인 컴퓨터 기능을
마비시키도록 입력된 악성 프로그램이다. 몽키 바이러스는
아직까지 존재하고 이 바이러스는 감염되는 위치가 파일이
아닌 부트섹터 이다. 윈도우 에서는 실행 파일의 포맷이 도스와
달라 파일들을 감염시키는데 제한적이지만 컴퓨터가 부팅될 때
처음으로 읽혀지는 부트섹터는 파일 시스템만 같다면 감염이 가능하다.
부트 바이러스의 감염 주요 증상으로는 인터넷 브라우저를 열면
중국 사이트로 연결되고, 바탕화면에 알 수 없는 아이콘 생성이되며
시작 프로그램 항목 등에도 의심스러운 파일이 등록이 된다.
바이러스 백신 프로그램의 정상 동작 등이 막히는 경우가 발생
하기도 하며 치료 후에도 재 부팅 시 다시 동일한 증상이 계속하여
발생한다. 파일 바이러스는 파일을 감염시키는 서비스를 발생하고
감염위치에 따른 구분을 준다. 부트 바이러스와는 달리 하드 디스크가
PC에서 일반화 되면서 등장하였고 일반적으로 COM이나 EXE와
같은 실행 파일과 오버레이 파일, 디바이스 드라이버 등에 감염된다.
전체 바이러스의 80% 이상을 차지 하며 바이러스에 감염된 실행파일이
실행 될때 바이러스 코드가 동시에 실행이 된다. 종류로는 예루살램,
썬데이(Sunday), 스콜피온(Scorpion), 크로우(Crow), FCL, CIH
바이러스 등이 있다.
댓글