컴퓨터 바이러스 분류

제 1세대 : 원시형(Primitive) 바이러스 제 2세대 : 암호화(Encryption) 바이러스 제 3세대 : 은폐형(Stealth) 바이러스 제 4세대 : 갑옷형(Armour) 바이러스 제 5세대 : 매크로(Macro) 바이러스

 ▪ 제 1세대 원시형 바이러스(Primitive Virus) 실력이 뛰어나지 않은 프로그래머들이 만들어 프로그램 구조가 단순하고 분석이 상대적으로 쉬운 바이러스로 돌(Stoned) 바이러스, 예루살렘(Jerusalem) 바이러스 등 기존의 도스용 바이러스 대부분이 포함된다.

 

▪ 제 2세대 암호화 바이러스(Encryption Virus) 백신 프로그램이 진단할 수 없도록 바이러스 프로그램의 일부 또는 대부분을 암호화시켜 저장한다. 그러나 실행 시작점 부분에 위치하는 암호 해독 데이터는 항상 일정한 바이러스로 폭포(Cascade) 바이러스, 느림보(Slow) 바이러스 등이 있다.

 

▪ 제 3세대 은폐형 바이러스(Stealth Virus) 자신을 은폐하고 사용자나 백신 프로그램에 거짓 정보를 제공하기 위해서 다양한 기법을 사용한다, 기억 장소에 존재하면서 감염된 파일의 길이가 증가하지 않은 것처럼 보이게 하고, 백신 프로그램이 감염된 부분을 읽으려고 할 때 감염되기 전의 내용을 보여줘 바이러스가 없는 것처럼 백신 프로그램이나 사용자를 속인다. 조쉬(Joshi) 바이러스, 방랑자.1347(Wanderer.1347) 바이러스, 프로도(Frodo) 바이러스 등이 있다.

 

▪ 제 4세대 갑옷형 바이러스(Armour Virus) 제 2세대, 3세대 바이러스들은 백신 프로그램이 바이러스를 진단하기 어렵게 하는 것이 목표였으나 백신 프로그램의 발달로 이런 목표가 무산되자 바이러스 제작자들은 백신 프로그램 제작자에게 공격의 화살을 돌려 백신 프로그램으로부터 숨기보다는 여러 단계의 암호화와 다양한 기법을 동원하여 바이러스 분석을 어렵게 하고 백신 프로그램 개발을 지연시켰다. 갑옷형 바이러스의 일종인 다형성(Polymorphic) 바이러스는 암호화 기법을 사용한다. 그러나 암호화를 푸는 부분이 항상 일정한 암호화 바이러스와는 달리 암호화를 푸는 부분조차 감염될 때마다 달라지고 한 개의 바이러스가 몇 억가지 이상의 변형을 만드는 경우도 있다.

 

▪ 제 5세대 매크로 바이러스(Macro virus) 매크로 바이러스는 운영체제(OS)와 관계없이 동작하는 응용 프로그램 내부에서 동작하는 것이 가장 큰 특징이다. 매크로 기능이 있는 MS 사 오피스 제품군(워드, 엑셀, 파워포인트)이외에 비지오(Visio), 오토캐드(AutoCAD) 등 VBS(Visual Basic Script)를 지원하는 다양한 프로그램에서 활동하기 때문에 현재 등장하고 있는 바이러스 중에서 가장 높음 비중을 차지하고 있다. 참고로 한글과컴퓨터 사의 한글 프로그램도 매크로 기능을 갖고 있지만 VBA(Visual Basic for Applications) 환경을 지원하지 않기 때문에 아직까지 '한글'에서 활동하는 매크로 바이러스는 등장하지 않았다. 참고로 제 1세대 ~ 제 5세대의 구분은 컴퓨터 바이러스의 발전 단계이지 등장 순서의 구분은 아니다. 현재는 제 1세대부터 제 5세대까지의 바이러스가 공존하고 있으며, OS와 애플리케이션의 자체적인 보안 취약점을 악용하는 사례가 갈수록 늘어나고 있다.

 

출처 : Ahnlab 연구소