악성코드 유형

악성코드 유형

악성코드는 다양한 종류가 있다.

이 종류를 구분하는데는 악성코드가 시도하는 행위를 통해 분류하게 된다. 

 

그럼 종류를 나열해보도록 한다.

 

백도어(backdoor) : 백도어는 직역하면 뒷문 이라고 할 수 있는데 공격자가 컴퓨터에 언제든 접속 할 수 있도록 만들어진 악성코드라고 할 수 있다. 일반적으로 컴퓨터에 패스워드와 같은 인증을 통해 접근하게 되는데 이러한 백도어를 이용하게 되면 인증 없이 접속해 로컬 시스템에서 명령어를 실행할 수 있게 된다. 

 

봇넷(botnet) : 백도어와 마찬가지로 시스템에 접속할 수 있다는 것이 같지만 공격자는 봇넷에 감염된 시스템을 제어할 수 있는 명령 제어 서버를 둔다. 이 명령 제어 서버는 봇넷에 감염된 하나의 시스템을 제어하는 것이 아니라 동시에 여러대의 감염된 시스템을 제어할 수 있게 된다. 이를 통해 DDOS 와 같은 공격도 가능해지게 된다. 

 

다운로더(downloader) : 다운로더 자체는 악성코드라고 말하기 어려울 수 있다. 다운로드의 목적은 다운로더를 실행시켜 악성코드를 다운로드 하고 설치하는데 있다. 자체는 악성이 아니지만 실제 악성인 파일을 이를 통해 다운로드 받고 설치, 실행하는 방식이다.

 

정보 유출 악성코드(information-stealing malware) : 이 악성코드에 감염되게 되면 피해자의 컴퓨터에 저장된 정보를 수집하여 공격자에게 정보를 전송하게 된다. 사용자의 키보드 입력값을 탈취해 전송하는 키로거가 있고 저장되어 있는 중요한 파일, 정보 등을 네트워크를 통해 전송하기도 한다.

 

실행기(launcher) : 다른 악성 코드를 실행하기 위해 사용하는 악성 프로그램이다. 일반적으로 악성 코드 실행 시 상위 권한이 필요하거나 은폐를 위한 목적으로  사용된다. 

 

루트킷(rootkit) : 피해자가 자신이 감염되었다는 것을 알기 어렵게 하고 인지 하더라도 코드 탐지를 어렵게 하기위해 다른 코드 내에 존재를 숨기고 있는 악성 코드를 말한다. 위에 말한 백도어 같은 악성 코드는 감염시킨 후 사용자가 모르게 계속 존재해야 하기 때문에 루트킷 방식으로 함께 사용된다.

 

스케어웨어(scareware) : 감염된 사용자에게 겁을 주는 악성코드이다. 일반적으로는 백신프로그램으로 위장한 프로그램으로 악성코드에 감염되었다고 창을 띄우고 백신 프로그램에서 결제하도록 유도한다. 실제 악성코드가 감염된 것이 아니고 자체가 악성코드이므로 구입하게 되면 스케어웨어만 삭제되고 아무일도 없게 된다.

 

스팸 전송 악성코드(spam-sending malware) : 이 악성코드에 감염이 되면 스팸 메일을 전송하는데 이용된다. 공격자는 여러 시스템을 감염시켜 다수의 피해자를 만들고 스팸 전송 시스템을 판매하여 이들을 이용한 스팸 메일 전송을 진행한다.

 

웜/바이러스(worm/virus) : 가장 많이 들어본 종류일 것이다. 자기 자신을 복제하여 다른 컴퓨터들을 추가로 감염시키는 악성코드이다. 네트워크를 통해 다른 컴퓨터들로 퍼져 나가는 방식을 사용하기도 한다.

 

이외에도 많은 유형의 악성코드들이 있다. 

최근의 악성코드들은 한가지 유형으로 특정할 수 없고 여러가지의 유형을 복합적으로 가지고 있는 형태를 띈다. 

따라서 악성코드 분석에 있어 어떤 유형의 악성코드이다 특정하는데 신경쓰지 않도록 한다. 

 

---

참고 <실전 악성코드와 멀웨어 분석, 에이콘>