컴퓨터 바이러스란 무엇입니까?

컴퓨터 바이러스는 탄생한 이래 이미 오늘날의 정보사회의 독종이 되었다. 컴퓨터 네트워크가 발달하면서 정보사회 곳곳으로 확산되면서 컴퓨터 데이터 파괴, 조작 절차 변경, 컴퓨터 하드웨어 파괴 등 막대한 피해를 입혔다. 컴퓨터와 인터넷 바이러스를 더 잘 예방하기 위해서는 컴퓨터 바이러스의 이치를 이해하고 컴퓨터 바이러스의 예방과 제거 방법을 파악해야 한다.

8. 1 컴퓨터 바이러스 개요

이 장의 첫 페이지로 돌아갑니다

/바이러스/요소/

8.1..1컴퓨터 바이러스의 정의

컴퓨터 바이러스' 는 미국 컴퓨터 바이러스 연구 전문가인 F 코헨 박사가 최초로 제안했다. "컴퓨터 바이러스" 에는 여러 가지 정의가 있습니다. 외국에서 가장 유행하는 정의는 컴퓨터 바이러스가 다른 프로그램에 첨부된 자가 복제를 할 수 있는 프로그램 코드라는 것이다. 중화인민공화국의 컴퓨터 정보 시스템 보안 규정에서' 컴퓨터 바이러스' 는 컴퓨터 프로그램에 컴파일되거나 삽입된 컴퓨터 기능이나 데이터의 파괴를 가리킨다.

이 섹션으로 돌아가기

8. 1.2 컴퓨터 바이러스 발전사

1. 컴퓨터 바이러스 개발의 간략한 역사

세계 최초로 확인된 컴퓨터 바이러스는 1983 년 컴퓨터 바이러스 전파에 대한 연구 보고서가 나왔다. 웜 프로그램의 설계 아이디어도 제시했다. 1984 년 미국인 톰슨은 유닉스 운영체제를 위한 바이러스 프로그램을 개발했다.

1988165438+10 월 2 일 밤, 미국 코넬대 대학원생 로트 모리스 (Rot Morris) 가 인터넷에 컴퓨터 바이러스 웜을 투하했다. 이 바이러스 프로그램은 급속히 확대되어 대량의 컴퓨터가 마비됐고, 심지어 유럽에서도 인터넷에 연결된 컴퓨터까지 영향을 받아 직접 경제적 손실이 거의 1 억 달러에 달했다.

중국의 컴퓨터 바이러스 개발.

우리나라에서는 1980 년대 말, 컴퓨터 바이러스 문제의 연구와 예방이 이미 컴퓨터 안전의 중요한 과제가 되었다. 블랙 금요일 바이러스는 19438 년부터 0982 년까지 우리나라를 침략했다. 1985 는 중국에서 더 위험한' 바이러스 생산자' 를 발견하여 생존력과 파괴력이 모두 강하다. 1537, CLME 등이 있습니다. 1990 년대에는 중국에서 컴퓨터 바이러스의 전파가 더욱 심각했다. CIH 바이러스는 컴퓨터 하드웨어를 공격하는 최초의 바이러스로, 컴퓨터의 마더보드를 공격하고 네트워크를 마비시킬 수 있다.

3. 10 컴퓨터 바이러스 개발 단계

(1)DOS 부트 단계

(2)DOS 실행 파일 단계

(3) 혼합 단계

(4) 동반 단계

(5) 다형성 단계

(6) 발전기, 변형기 단계

(7) 네트워크, 웜 단계

(8) 창 단계

(9) 매크로 바이러스 단계

(10) 인터넷 단계

이 섹션으로 돌아가기

컴퓨터 바이러스의 출현은 컴퓨터 기술 발전과 컴퓨터 중심의 사회정보화 과정이 일정 단계로 발전한 필연적인 산물이다. 그 과정은 다음과 같이 나눌 수 있습니다.

프로그래밍 → 전파 → 잠복 → 트리거, 실행 → 공격 구현

이 상황의 원인은 다음과 같습니다.

(1) 일부 컴퓨터 애호가들은 궁금하거나 관심이 많다.

(2) 개인에 의한 보복 심리.

(3) 소프트웨어 암호화에서

(4) 게임에서 생성

(5) 연구 또는 실험을 위해 설계된 "유용한" 프로그램.

(6) 특별한 정치적, 경제적 및 군사적 목적으로 인해.

8. 1.3 컴퓨터 바이러스 분류

바이러스는 여러 종류가 있으며 다음과 같이 분류됩니다.

1. 감염 방식에 따라 부팅 바이러스, 파일 바이러스 및 혼합 바이러스로 나눌 수 있습니다.

2. 연결방식에 따라 소스 코드형, 침입형, 운영 체제형, 하우징형 바이러스로 나눌 수 있습니다.

파괴에 따라 양성 바이러스와 악성 바이러스로 나눌 수 있다.

4. 인터넷 바이러스

이 섹션으로 돌아가기

8. 1.4 컴퓨터 바이러스의 특징

(1) 전염성 (자체 복제 기능)

(2) 비허가 (제어 시스템)

(3) 은폐

(4) 잠복기

(5) 고의적인 쓰기, 인위적인 파괴

(6) 예측할 수 없는

이 섹션으로 돌아가기

8. 1.5 컴퓨터 바이러스의 은신처 및 침입 경로

1. 바이러스의 은신처

(1) 실행 파일입니다.

(2) 부트 섹터.

(3) 양식 및 문서.

(4) 자바 애플릿 및 ActiveX 컨트롤.

2. 바이러스 침입 경로

(1) 기존 방법 (디스크, 광 디스크 등). ) 을 참조하십시오

(2) 인터넷

이 섹션으로 돌아가기

8. 1.6 현대 컴퓨터 바이러스의 유행 특성

1. 공격 대상은 종종 뒤섞여 있다.

2. 역 추적 기술

은폐성을 증강하다

4. 암호화 기술 처리

5. 바이러스가 다른 종류로 번식합니다

은폐 강화:

(1) 인터럽트 벡터 값 수정을 방지합니다.

(2) 메모리의 합법적 인 신원을 요청하십시오.

(3) 숙주 절차의 외부 특성 유지

(4) 감염의 명백한 징후가있는 약을 사용하지 마십시오.

암호화 기술 처리:

(1) 동적 암호화 프로그램 세그먼트

(2) 표시된 정보를 암호화합니다

(3) 숙주 프로그램 세그먼트 암호화

이 섹션으로 돌아가기

8. 1.7 컴퓨터 바이러스 파괴

(1) 시스템 데이터 영역 공격

(2) 공격 서류

(3) 공격 기억

(4) 시스템 작동을 방해하여 작동 속도를 저하시킵니다.

(5) 키보드, 스피커 또는 화면을 방해합니다

(6) CMOS 공격

(7) 프린터 간섭

(8) 사이버 바이러스가 네트워크 시스템을 파괴한다.

이 섹션으로 돌아가기

8. 1.8 컴퓨터 바이러스의 작용 메커니즘

바이러스 감염을 유도하는 예

하드 드라이브가 부팅되고 하드 드라이브가 이미 작은 공 바이러스에 감염되었다고 가정하면, 작은 구 바이러스의 부팅 모듈은 모든 바이러스 코드 1024 바이트를 메모리의 가장 높은 세그먼트 (97c 0:7c 00；) 로 보호합니다. 그런 다음 INT 13H 의 인터럽트 벡터가 바이러스를 가리키는 감염 모듈을 수정합니다. 나중에 플로피 디스크를 읽고 쓰는 작업이 INT 13H 함수를 통과하면 컴퓨터 바이러스의 감염 블록이 먼저 제어권을 얻게 되며 다음과 같은 작업을 수행합니다.

1) 대상 플로피 디스크의 부트 섹터 (부트 섹터) 읽기.

2) 감염 조건이 충족되었는지 확인합니다.

3) 감염 조건이 충족되면 (즉, 대상 디스크 부트 영역 0 1FCH 의 오프셋 위치가 57 13H 인 경우) 바이러스 코드의 처음 5 12 바이트를 부트 프로그램에 기록하고 마지막 5/kloc 를 기록합니다

4) 원래 INT 13H 포털로 이동하여 일반적인 디스크 시스템 작업을 수행합니다.

파일 바이러스 감염의 예

VVV.COM 파일 (또는. (EXE) 예루살렘 바이러스에 감염되었습니다. 이 파일을 실행하면 예루살렘 바이러스의 부팅 모듈이 INT 2 1H 의 인터럽트 벡터를 수정하여 바이러스 감염 모듈을 가리키고 바이러스 코드를 메모리에 저장한 다음 운영 체제로 반환합니다. 나중에 실행 파일을 로드하는 작업이 있을 경우 바이러스 감염 모듈은 INT 2 1H 호출을 통해 먼저 제어권을 얻고 다음과 같은 작업을 수행합니다.

1) 파일의 특정 부분을 읽습니다.

2) 전염성 유무를 확인합니다.

3) 조건이 충족되면 바이러스 코드를 실행 파일에 연결하고 연결된 파일을 디스크에 다시 씁니다.

4) 원래의 INT 2 1H 포털로 다시 전환하여 실행 파일을 정상적으로 로드합니다.

컴퓨터 바이러스의 일반적인 구성

컴퓨터 바이러스는 구조적으로 동성을 가지고 있으며, 일반적으로 안내 부분, 감염 부분, 표현 부분의 세 부분으로 구성됩니다.

1. 가이드 섹션

바이러스의 초기화 부분이며, 숙주 프로그램이 실행됨에 따라 메모리에 들어 와서 감염 부분을 준비합니다.

2. 감염 부분

기능은 바이러스 코드를 대상에 복사하는 것입니다. 일반적으로 목표에 감염되기 전에 감염 조건이 충족되었는지, 바이러스가 이미 목표에 감염되었는지 등을 판단해야 한다. 예를 들어 CIH 바이러스는 Windows 95/98 운영 체제에서만 작동합니다.

3. 성능 섹션

그것은 바이러스 사이의 가장 다른 부분이며, 처음 두 부분은 이 부분을 위해 봉사하는 것이다. 감염된 시스템을 파괴하거나 감염된 시스템의 장비에 특정 현상을 표시합니다. 대부분의 바이러스는 특정 조건에서만 성능 부분을 트리거합니다.

컴퓨터 바이러스 감염 과정

컴퓨터 바이러스 감염 과정

1) 은 메모리에 상주합니다.

2) 감염 조건을 결정합니다.

3) 감염.

이 섹션으로 돌아가기

컴퓨터 바이러스 트리거 메커니즘

감염, 잠복, 트리거, 파괴는 바이러스의 기본 특징이다.

현재 바이러스가 사용하는 트리거 조건은 주로 다음과 같습니다.

1. 날짜 트리거: 많은 바이러스가 날짜를 트리거 조건으로 사용합니다. 날짜 트리거는 일반적으로 특정 날짜 트리거, 월 트리거, 상반기 트리거, 하반기 트리거 등이 포함됩니다.

2. 시간 트리거: 시간 트리거에는 특정 시간 트리거, 중독 후 누적 근무 시간 트리거, 파일의 마지막 쓰기 시간 트리거 등이 포함됩니다.

키보드 트리거: 일부 바이러스는 사용자의 키 입력을 모니터링합니다. 바이러스가 예정된 키 입력을 발견하면 특정 작업을 수행하기 위해 바이러스가 활성화됩니다. 키보드 트리거에는 키 입력 횟수 트리거, 키 조합 트리거, 열 시작 트리거 등이 포함됩니다.

4. 감염 트리거: 많은 바이러스가 감염을 트리거하기 위해 일정한 조건이 필요하고, 상당수 바이러스는 오히려 감염 관련 정보를 파괴 행위의 트리거 조건으로 이용한다. 이를 감염 트리거라고 한다. 감염된 파일 수, 감염된 디스크 수, 감염 실패 등이 포함됩니다.

5. 트리거 시작: 트리거 조건으로 시작 트리거라고 하는 바이러스 통계 시스템의 시작 횟수입니다.

6. 디스크 액세스 트리거: 디스크 액세스 트리거라고 하는 바이러스 통계 디스크 I/O 액세스 횟수입니다.

7. 인터럽트 함수 트리거 호출: 바이러스가 인터럽트 호출 횟수를 계산하고 미리 결정된 횟수를 트리거 조건으로 합니다.

8.CPU 모델/마더보드 모델 트리거: 바이러스는 운영 환경의 CPU 모델/마더보드 모델을 인식하며 사전 구성된 CPU 모델/마더보드 모델을 트리거 조건으로 사용합니다. 이 바이러스의 트리거 방식은 매우 이상하고 보기 드물다.

바이러스가 사용하는 트리거 조건은 다양하며, 종종 이러한 조건 중 하나만 사용하는 것이 아니라 여러 조건의 조합이다.

컴퓨터 바이러스 감염 메커니즘

1. 컴퓨터 바이러스 전파 방식

수동 감염 (사용자가 디스크 또는 파일 복제)

활성 감염 (활성화 시 자동 감염)

2. 컴퓨터 바이러스 감염 과정

복제와 기억 감염.

바이러스 감염 메커니즘

앞의 예를 참조하십시오.

컴퓨터 바이러스 파괴 메커니즘

파괴 메커니즘은 설계 원리와 작동 원리에서 감염 메커니즘과 거의 같다.

인터럽트 벡터의 입구 주소 (일반 시계의 인터럽트는 INT 8H 또는 INT 1CH 와 같은 클럭 인터럽트 관련 인터럽트) 를 수정하여 인터럽트 벡터가 바이러스 프로그램의 손상 모듈을 가리키도록 했습니다.

바이러스의 대상과 공격 장소는 시스템 데이터 영역, 파일, 메모리, 시스템 작동, 실행 속도, 디스크, 화면 디스플레이, 키보드, 스피커, 프린터, CMOS, 마더보드 등입니다.

컴퓨터 바이러스 시작 메커니즘

1, 바이러스의 기생 대상.

디스크의 부트 섹터 실행 파일

2, 바이러스 기생 방식

대체 방법 (부트 섹터); 연결 방법 (실행 파일)

3, 바이러스 시작 과정

상주 메모리 시스템 제어권을 훔치다. 시스템 기능을 복원합니다.

인터럽트 및 컴퓨터 바이러스

1. 인터럽트의 기본 개념

예를 들어, 관리자가 파일을 처리할 때 전화가 울렸다 (인터럽트 요청). 그래서 그는 파일에 표시 (우편 주소) 를 하고, 작업을 일시 중지하고, 전화를 받고 (중단), "제 2 방안에 따라" (인터럽트 서비스 프로그램 조정) 하고, 냉정하게 (중단 전 재개) 해야 한다 ...

인터럽트는 CPU 가 외부 돌발사건을 처리하는 중요한 기술이다. 이를 통해 CPU 는 실행 중 외부 이벤트에 의해 발생한 인터럽트 요청을 적시에 처리하고 처리가 완료되면 즉시 중단점으로 돌아가 CPU 의 원래 작업을 계속할 수 있습니다.

2. 인터럽트 및 컴퓨터 바이러스

바이러스와 관련된 중요한 중단은 다음과 같습니다.

INT 08H 와 INT 1CH 는 규칙적으로 중단되고, 일부 바이러스는 타이밍을 이용하여 발생 조건을 판단한다.

INT 09H 키보드 입력이 중단되고 바이러스를 사용하여 사용자 키 입력을 모니터링합니다.

INT 10H 화면 입/출력이 중단되고 일부 바이러스는 화면에 캐릭터 그래픽을 표시하여 자신을 표현합니다.

INT 13H 디스크 입/출력이 중단되고 부트 바이러스가 바이러스를 감염시키고 디스크를 포맷하는 데 사용됩니다.

INT 2 1H DOS 함수 호출은 DOS 의 대부분의 함수를 포함하고 있으며, 발견된 대부분의 파일 바이러스는 INT 2 1H 인터럽트를 수정하므로 안티 바이러스의 중점 모니터링 부분이되었습니다.

INT 24H DOS 의 심각한 오류 처리가 중단되고 쓰기 보호 디스크 감염을 방지하기 위해 파일 바이러스가 자주 수정됩니다.

8.2. 1 컴퓨터 바이러스 탐지

바이러스 검사 방법은 다음과 같습니다.

피쳐 코딩 방법

체크섬 방법

행동 모니터링 방법

소프트웨어 시뮬레이션 방법

1, 피쳐 코드 방법

외국 전문가들은 특징코드법이 알려진 바이러스를 탐지하는 가장 간단하고 비용이 가장 낮은 방법이라고 생각한다.

피쳐 코드 방법 구현 단계:

알려진 바이러스의 샘플을 수집하십시오. 피쳐 코드 추출 징표를 바이러스 창고에 통합하다. 탐지된 파일을 열고 바이러스 라이브러리의 바이러스 특성 코드가 포함되어 있는지 검색하여 확인합니다.

서명 방법의 장점은 다음과 같습니다.

탐지가 정확하고 빠르며 바이러스 이름을 식별할 수 있어 오보율이 낮다. 검사 결과에 따라 디톡스를 할 수 있다.

단점은 다음과 같습니다.

알 수 없는 바이러스를 감지할 수 없습니다. 알려진 바이러스의 특성 코드를 수집하는 것은 비쌉니다. 네트워크는 비효율적입니다 (네트워크 서버에서는 긴 검색으로 인해 전체 네트워크의 성능이 저하됩니다).

특징 코딩 방법의 특징:

저속

낮은 오보율

다형성 바이러스를 검사할 수 없습니다

은폐된 바이러스에 대처할 수 없다

다형성 바이러스는 특수 암호화 기술을 통해 작성된 바이러스입니다. 이 바이러스는 한 대상에 감염될 때마다 무작위로 바이러스 주체를 암호화한다. 다형성 바이러스는 주로 바이러스 검사 소프트웨어를 위해 설계되었기 때문에 이러한 바이러스가 증가함에 따라 바이러스 검사 소프트웨어를 작성하는 것이 더욱 어려워지고 많은 오보를 초래할 수 있습니다.

2, 체크섬 방법

일반 파일의 내용 체크섬을 계산하고 체크섬을 한 파일에 쓰거나 다른 파일에 저장합니다. 파일을 사용하는 동안 파일의 현재 내용에서 계산한 체크섬이 원래 체크섬과 일치하는지 확인하여 파일이 감염되었는지 여부를 확인할 수 있습니다. 이 방법을 체크섬 방법이라고 합니다.

이점:

방법은 간단합니다. 알 수 없는 바이러스나 검사된 파일의 미묘한 변화를 발견할 수 있습니다.

단점:

Pass 를 해제하여 정상 상태의 체크섬을 기록하면 거짓 경보가 발생하고 바이러스 이름을 인식하지 못하며 숨겨진 바이러스를 처리할 수 없습니다.

체크섬 방법의 특징

알려진 바이러스와 알 수 없는 바이러스를 모두 찾을 수 있습니다.

바이러스 범주를 인식 할 수 없으며 바이러스 이름을 신고 할 수 없습니다.

잦은 가짜 경보

파일 실행 속도에 영향을 줍니다.

숨겨진 바이러스에는 효과가 없습니다.

3, 행동 감시법

바이러스의 독특한 행동 특징을 이용하여 이를 모니터링하는 방법을 행동 감시법이라고 한다.

어떤 행위는 바이러스의 행위이며, 게다가 비교적 특별하다. 정상적인 절차에서 이러한 행동은 드물다. 프로그램이 실행 중일 때, 그 행동을 감시하고, 바이러스 행위가 즉시 경보를 울린다.

바이러스의 행동 특성을 감시하다

A, int/kloc 점유-0/3h (디스크 입출력 중단)

B, DOS 시스템을 데이터 영역 메모리의 총량으로 변경합니다 (DOS 시스템이 바이러스를 덮지 못하도록 하기 위해).

C, com 및 exe 파일 작성

D. 바이러스 프로그램과 숙주 프로그램 간의 전환

이점:

알 수 없는 바이러스를 발견할 수 있고, 대부분의 알 수 없는 바이러스를 상당히 정확하게 예측할 수 있다.

단점:

괜히 놀랄지도 몰라 바이러스 이름을 식별하기 어렵다.

4, 소프트웨어 시뮬레이션 방법

그것은 소프트웨어 방법으로 프로그램 실행을 시뮬레이션하고 분석하는 소프트웨어 분석기이다.

주로 다형성 바이러스를 감지하는 데 사용됩니다. 특징코드 방법의 보충으로 삼다.

5. 선지자 스캔법

이 기술은 미지의 컴퓨터 바이러스를 위해 특별히 설계되었다. 이 기술을 통해 CPU 의 동작을 직접 시뮬레이션하여 특정 변종 바이러스의 활동을 감지하고 이 바이러스의 바이러스 코드를 개발할 수 있습니다. 이 기술은 다른 해독 기술보다 더 엄격하고 복잡한 방안보다 시간이 더 걸리기 때문에 응용이 그렇게 광범위하지 않다.

6, 실시간 I/O 스캔

실시간 데이터 입/출력은 바이러스 코드와 비교되어 바이러스가 실행되기 전에 바이러스를 차단하고자 합니다.

이론적으로 이러한 실시간 스캐너는 전체 데이터 전송 속도에 영향을 줄 수 있습니다.

이상 상황의 판단

컴퓨터가 제대로 작동하지 않으면 바이러스에 감염되었을 수 있습니다.

1) 화면에 비정상적인 그래픽이나 그림이 나타났는데, 귀신, 떨어지는 빗방울, 인물, 나뭇잎 등이 있을 수 있습니다. , 그리고 시스템을 종료하거나 복원하기가 어렵습니다.

2) 스피커는 음악 재생 또는 임의 조합, 난잡한 소리 등 정상적인 작동과 무관한 소리를 낸다.

3) 디스크 여유 공간이 줄고, 많은 수의 불량 클러스터가 나타나고, 더 이상 작동하지 않을 때까지 불량 클러스터 수가 계속 증가합니다.

4) 하드 드라이브에서 시스템을 부팅할 수 없습니다.

5) 디스크에 파일 또는 프로그램이 없습니다.

6) 디스크에서 파일 읽기/쓰기가 현저히 느려지고 액세스 시간이 길어집니다.

7) 시스템 부팅이 느리거나 문제가 있으며 "쓰기 보호 오류" 메시지가 나타날 수 있습니다.

8) 시스템이 자주 작동을 멈추거나 비정상적으로 재부팅됩니다.

9) 원래 실행되었던 프로그램이 갑자기 실행되지 않아 오류 메시지가 계속 표시됩니다.

프린터가 정상적으로 시작되지 않습니다.

8.2.3 컴퓨터 바이러스 예방 및 제어

1. 법률 및 관리 시스템 구축 및 개선

2. 교육 및 옹호 강화

보다 효과적인 기술적 조치를 취하십시오.

4. 네트워크 컴퓨터 바이러스 예방 및 치료

더욱 효과적인 기술 조치를 취하다.

(1) 시스템 보안

(2) 소프트웨어 필터링

(3) 파일 암호화

(4) 공정 제어

(5) 백업 복구

(6) 기타 효과적인 조치

기타 효과적인 조치

1) 접미사가 있는 중요 디스크 및 중요 파일. COM 과. EXE 에는 바이러스가 디스크나 실행 파일에 기록되지 않도록 하는 읽기 전용 기능이 제공됩니다.

2) 감염원을 없애다.

3) 프로그램의 고유 값 파일을 작성합니다.

4) 엄격한 메모리 관리.

5) 엄격한 인터럽트 벡터 관리.

6) 물리적 액세스 제어 조치 강화

7) 일단 바이러스가 전염되는 것을 발견하면 믿을 수 있는 바이러스 백신 소프트웨어를 사용하고 경험 많은 전문가에게 처리해야 한다. 필요한 경우 컴퓨터 안전 감독 부서에 보고하고 확산 방지에 각별한 주의를 기울여야 한다.

8.3 매크로 바이러스

8.3. 1 매크로 바이러스 분류

8.3.2 매크로 바이러스의 행동 및 특성

8.3.3 매크로 바이러스 특징

8.3.4 매크로 바이러스 예방 및 제거 방법

이 장의 첫 페이지로 돌아갑니다

8.3. 1 매크로 바이러스 분류

1. 공용 매크로 바이러스 (* * * *)

이 매크로 바이러스는 모든 Word 문서에 유효하며, Word 문서가 시작되거나 호출될 때 자동으로 실행을 트리거합니다. 여기에는 두 가지 중요한 특징이 있습니다.

1) 은' Autoxxxx' 로만 명명할 수 있습니다. 즉 매크로 이름은' Auto' 로 시작하고 xxxx 는 AutoOpen, AutoClose, AutoCopy 등과 같은 특정 매크로 파일 이름을 나타냅니다.

2) "공개" 효과를 내려면 Word*** 템플릿에 연결해야 합니다. 일반적으로 사용자가 다른 공용 템플릿을 지정하거나 컴파일하지 않을 때 Normal.dot 템플릿을 첨부하거나 먼저 작성할 수 있어야 합니다.

2. 개인 매크로 바이러스

전용 매크로 바이러스와 공용 매크로 바이러스의 주요 차이점은 전자가 일반적으로 사용자 정의 Word 템플릿에 배치되고 해당 템플릿을 사용하는 Word 문서에만 관련되어 있다는 것입니다. 즉, 특정 템플릿을 사용하는 문서만 유효하며, 전용 매크로 바이러스는 일반적으로 다른 템플릿을 사용하는 문서에는 영향을 주지 않는다는 것입니다.

이 섹션으로 돌아가기

8.3.2 매크로 바이러스의 행동 및 특성

매크로 바이러스는 새로운 형태의 컴퓨터 바이러스로, 플랫폼 간 컴퓨터 바이러스이다. Windows, Windows 95/98/NT, OS/2, Macintosh System 7 등의 운영 체제에서 바이러스 동작을 수행할 수 있습니다.

매크로 바이러스의 주요 특징은 다음과 같습니다.

1) 매크로 바이러스가 감염될 수 있습니다. DOC 문서 및. 점 템플릿 파일.

2) 매크로 바이러스 감염은 일반적으로 Word 에서 매크로 바이러스가 있는 문서나 템플릿을 열 때 활성화됩니다.

3) 대부분의 매크로 바이러스에는 문서 (템플릿) 를 조작할 수 있는 자동 켜기, 자동 끄기, 자동 새로 만들기 및 자동 종료가 포함됩니다.

4) 매크로 바이러스에는 항상 문서를 읽고 쓰는 매크로 명령이 포함되어 있습니다.

5) 매크로 바이러스는 다음 위치에 저장됩니다. DOC 문서 및. 암호화 및 압축 형식인 BFF (이진 파일 형식) 형식의 점 템플릿으로, Word 버전마다 호환되지 않을 수 있습니다.

6) 매크로 바이러스 호환.

이 섹션으로 돌아가기

8.3.3 매크로 바이러스 특징

1. 매우 빠르게 전파됩니다.

2. 생산과 변경을 용이하게 합니다

손상 가능성이 높습니다.

4. 다중 플랫폼 교차 감염

이 섹션으로 돌아가기

8.3.4 매크로 바이러스 판단 방법

매크로 바이러스 보호 기능이 켜진 상태에서 OFFICE 문서를 열 때 매크로 바이러스 경고 상자가 나타나면 해당 문서에 대해 매우 경계해야 합니다. 이 문서는 감염될 가능성이 높습니다.

참고: 매크로 바이러스에 감염된 문서만 삭제해도 OFFICE 시스템에서 매크로 바이러스를 제거할 수 없습니다!

8.3.5 매크로 바이러스 예방 및 제거 방법

(1) 선호하는 방법: 최신 버전의 바이러스 백신 소프트웨어를 사용하여 매크로 바이러스를 제거한다.

(2) 긴급 처리: 워드패드 또는 Word 6.0 문서를 교량으로 매크로 바이러스를 제거한다.

(3) 이미 매크로 바이러스에 감염된 경우 다음과 같이 제거할 수 있습니다.

자주 사용하는 템플릿 Normal.dot 파일을 대체 (또는 삭제) 합니다. 일반적인 바이러스 백신 소프트웨어를 사용하여 모든 Word 파일을 바이러스 검사합니다.

(4) 매크로 바이러스 예방.

Word 사용자들은 대부분 일반적인 워드 프로세싱 기능을 사용하기 때문에 매크로 프로그래밍을 사용하는 사람은 거의 없다. 따라서 바이러스를 조기에 발견하고 불필요한 손실을 피하기 위해 쓰기 금지된 플로피 디스크에 깨끗한 Normal.dot 파일과 매크로 바이러스 검사 소프트웨어를 보관할 수 있습니다. 일반 템플릿이 감염된 것을 발견하면 감염된 템플릿 파일을 플로피 디스크에 저장된 Normal.dot 파일로 교체하고 바이러스 백신 소프트웨어를 실행할 수 있습니다.

8.4 네트워크 컴퓨터 바이러스

8.4. 1 네트워크 컴퓨터 바이러스의 특징

8.4.2 바이러스에 대한 네트워크의 민감도

8.4.3 네트워크 바이러스 예-이메일 바이러스

이 장의 첫 페이지로 돌아갑니다

8.4. 1 네트워크 컴퓨터 바이러스의 특징

네트워크 환경에서 컴퓨터 바이러스는 다음과 같은 새로운 기능을 가지고 있습니다.

(1) 전염 속도가 빠르다.

(2) 감염이 광범위합니다.

(3) 감염의 형태는 다양하다.

(4) 제거하기 어렵다.

(5) 파괴력이 강하다

이 섹션으로 돌아가기

8.4.2 네트워크 바이러스 전파 방식

특히 전파 방식 는 다음과 같습니다.

1, 바이러스가 디스크 스테이션에서 서버로 직접 복제됩니다.

2. 바이러스가 먼저 워크스테이션에 감염되고 워크스테이션 메모리에 머물다가 네트워크 디스크에서 프로그램을 실행할 때 서버에 감염됩니다.

3. 바이러스가 먼저 워크스테이션에 감염되고 워크스테이션 메모리에 머물며 바이러스가 실행되는 동안 미러링 경로를 통해 서버를 직접 감염시킵니다.

_4. 원격 워크스테이션이 바이러스에 침입하면 바이러스도 통신의 데이터 교환을 통해 네트워크 서버에 들어갈 수 있다.

8.4.3 네트워크 바이러스의 예

-웜

1. 웜의 정의

인터넷 웜은 컴퓨터 사용자의 개입 없이 실행할 수 있는 독립 실행형 프로그램입니다. 네트워크에 허점이 있는 컴퓨터에서 일부 또는 전체 제어권을 지속적으로 획득하여 전파됩니다.

웜과 바이러스의 가장 큰 차이점은 인위적인 개입이 필요 없고, 스스로 복제 전파할 수 있다는 것이다.

벌레의 행동 특성

2. 1 웜 작업 흐름

웜 프로그램의 작업 흐름은 그림 2 와 같이 취약성 검사, 공격, 감염 및 현장 처리의 네 단계로 나눌 수 있습니다.

웜 프로그램이 취약한 컴퓨터 시스템을 스캔한 후 웜 본문을 대상 호스트로 마이그레이션합니다. 그런 다음 웜 프로그램이 감염된 시스템에 들어가 대상 호스트를 현장에서 처리합니다. 현장 처리에는 숨기기, 정보 수집 등이 포함됩니다. 동시에 웜 프로그램은 여러 개의 복사본을 생성하고 위의 프로세스를 반복합니다. 웜마다 IP 생성 정책이 다르거나 무작위로 생성될 수 있습니다. 각 단계의 복잡성은 모두 다르고, 어떤 것은 복잡하고, 어떤 것은 매우 간단하다.

2.2 웜의 동작 특성

자기 번식:

본질적으로 웜은 해커의 침입을 위한 자동화 도구로 진화했다. 웜이 풀릴 때 전체 프로세스는 취약점 검색, 검색 결과 사용에서 공격 시스템, 복제에 이르기까지 웜 자체에 의해 수행됩니다. 자주성으로 볼 때, 이것은 일반 바이러스와는 다르다.

소프트웨어 취약점 활용:

어떤 컴퓨터 시스템에도 허점이 있다. 이러한 웜은 시스템의 취약점을 활용하여 공격받는 컴퓨터 시스템에 대한 적절한 권한을 획득하여 복제 및 전파를 가능하게 합니다. 이러한 취약점은 다방면이며, 운영 체제 자체의 문제, 응용 서비스 문제, 네트워크 관리자 구성 문제가 있다. 바로 허점 원인의 복잡성 때문에 다양한 유형의 벌레가 범람하고 있다.

네트워크 정체 발생:

취약한 호스트를 스캔하는 과정에서 웜은 다른 컴퓨터가 있는지 판단해야 합니다. 특정 응용 프로그램 서비스가 있는지 확인합니다. 허점이 있는지 판단하면 반드시 추가 네트워크 데이터 트래픽이 발생할 수 있습니다. 한편, 웜 복사본이 서로 다른 시스템 간에 전송되거나 무작위 대상으로 전송되는 공격 데이터는 필연적으로 대량의 네트워크 데이터 트래픽을 생성합니다. 시스템의 정상적인 작동을 파괴하는 악성 코드를 포함하지 않는 벌레도 엄청난 네트워크 트래픽을 발생시켜 전체 네트워크가 마비되고 경제적 손실을 초래할 수 있습니다.

시스템 리소스 소비:

웜이 컴퓨터 시스템에 침입하면 감염된 컴퓨터에 자체 사본이 여러 개 생성되고 각 사본은 새로운 공격 대상을 찾기 위해 검색 프로그램을 시작합니다. 많은 프로세스가 시스템 자원을 소비하여 시스템 성능을 저하시킬 수 있으며, 이는 특히 네트워크 서버에 미치는 영향이 두드러집니다.

안전의 위험을 남기다:

대부분의 웜은 사용자 정보 등과 같은 시스템의 민감한 정보를 수집, 전파 및 노출합니다. ) 시스템에 뒷문을 남겨 향후 보안 위험을 초래할 수 있습니다.

3, 웜과 일반 바이러스의 유사점과 차이점

바이러스 유형: 일반적인 바이러스 웜

존재 형태: 파일을 저장하는 독립 실행형 프로그램

감염 메커니즘: 숙주 프로그램이 능동적 인 공격을 실행합니다.

감염 대상: 로컬 파일 네트워크 컴퓨터

4, 웜 파괴 및 개발 동향

벌레의 모든 폭발은 사회에 막대한 손실을 가져다 줄 것이다.

현재 웜이 폭발하는 빈도는 점점 빨라지고, 기술은 점점 더 새로워지며, 해커 기술과 결합되고 있다. 특히 최근 2 년 동안 점점 더 많은 웜 (예: 충격파, 진동파) 이 나타났다.

웜을 깊이 연구하고 효과적인 해결책을 제시하여 기업과 정부에 안전한 네트워크 환경을 제공하는 것은 우리가 시급히 해결해야 할 문제이다.

5, 웜 조치를 방지하기 위해 기업

기업은 웜을 예방하고 제어할 때 다음과 같은 몇 가지 문제를 고려해야 합니다.

바이러스 검사 능력;

바이러스 모니터링 기능;

신바이러스의 반응.

웜 예방을 위한 기업의 권장 전략은 다음과 같습니다.

(1) 네트워크 관리자의 보안 관리 수준을 강화하고, 보안 인식을 높이고, 시스템 취약점을 줄입니다.

(2) 네트워크 이상 및 바이러스 공격을 처음으로 감지할 수 있는 바이러스 감지 시스템을 구축합니다.

(3) 비상 대응 시스템을 구축하여 위험을 최소화하십시오!

(4) 재해 백업 시스템 구축. 데이터베이스 및 데이터 시스템의 경우 예기치 않은 재해로 인한 데이터 손실을 방지하기 위해 정기 백업 및 다중 시스템 백업 조치를 취해야 합니다!

LAN 의 경우 다음과 같은 주요 수단을 사용할 수 있습니다.

(1) 인터넷 액세스처에 방화벽 기반 안티바이러스 제품을 설치하여 바이러스를 LAN 에서 격리시킵니다.

(2) 메일 서버를 모니터링하여 유독 메일의 전파를 방지한다!

(3) LAN 사용자 보안 교육.

(4) LAN 내 업그레이드 시스템 구축, 다양한 운영 체제의 패치 업그레이드, 공통 애플리케이션 업그레이드, 각종 바이러스 백신 소프트웨어의 바이러스 라이브러리 업그레이드 등!

6. 개인 사용자에게 직접적인 위협이 되는 웜

개인 사용자의 경우 위협적인 웜은 일반적으로 이메일과 악성 웹 페이지, 즉 다양한 사기 수단을 통해 사용자가 클릭하도록 유인합니다!

위협이 가장 크고, 근절하기 어렵고, 손실이 더 크다.

악성 홈페이지는 바로 해커의 코드 파괴 프로그램으로, 웹 페이지에 내장되어 있다. 사용자가 실수로 바이러스가 들어 있는 웹 페이지를 열면 바이러스가 폭발한다.

Vb 스크립트 및 Java 스크립트 프로그래밍 형식을 자주 채택합니다!

개인 사용자의 웜 예방 조치

1. 적절한 안티바이러스 소프트웨어를 설치합니다

시만텍의 노턴 시리즈 바이러스 백신 소프트웨어, 서성, kv 시리즈 등 바이러스 백신 소프트웨어.

2. 바이러스 창고를 자주 업그레이드합니다.

안티 바이러스 소프트웨어는 바이러스 기반 기능입니다.

3. 바이러스 백신 인식 제고

낯선 사이트를 쉽게 클릭하지 마세요. 악성 코드가 들어있을 수도 있어요! IE 보안 수준을 높음으로 변경합니다.

4. 익숙하지 않은 메일, 특히 첨부 파일이 있는 메일은 함부로 보지 마세요.

IE, OE 프로그램 및 기타 널리 사용되는 어플리케이션 업그레이드!