멀웨어 이름 읽고 이해하는 방법

 

안티바이러스가 귀하의 컴퓨터에서 감지한 것에 대해 혼란스러우세요? 귀하께서만 그러신 것이 아닙니다. 본 가이드는 여러 가지 이름이 가진 의미와 패러사이트에 대한 자세한 정보를 얻는 방법에 대해 설명합니다. 멀웨어 감지는 결코 사용자 친화적이지 않으며, 대부분의 경우에 해당 제조업체는 사용자가 그들이 멀웨어 감지에 큰 도움이 되었으며 그 정도면 충분하다고 생각하도록 만듭니다.

이에 대한 문제는 다음과 같습니다: 안티바이러스 공급 업체는 사용자가 이 패러사이트에 대한 자세한 정보가 필요하다는 것을 잊어버리거나 무시합니다. 이는 다음과 같이 많은 경우에 사실이 아닙니다:

  1. 감염이 일부 데이터를 손상했다면 어떻게 결정합니까?
  2. 그것이 긍정 오류이거나 의심스러운 프로그램이라면 어떻게 합니까?
  3. 같은 문제가 계속해서 다시 나타나면 어떻게 합니까?

이것이 바로 패러사이트가 다른 출처에서 어떻게 불릴 수 있는지와 멀웨어 제작자로부터 얻을 수 있는 용어를 이해해야 하는 이유입니다.

안티멀웨어 제작자는 어떻게 패러사이트의 이름을 지을까요?

사실 패러사이트명은 여러 가지 방식으로 구성될 수 있습니다. 이름은 거의 사용자 친화적이지 않으며 안티바이러스 데이터베이스에서만 패러사이트를 식별하는 역할을 합니다. 그러나, 대부분의 안티바이러스 공급 업체는 데이터를 올바르게 정렬하기를 원하기 때문에 관련된 패러사이트를 비슷한 이름으로 지정하여 자신의 연구에 도움이 되도록 합니다. 따라서 일반적으로 각 감지는 2~5 가지 파트로 나뉩니다:

  1. 멀웨어 기능 (백도어, 애드웨어, 스파이웨어, 에이전트/제네릭, 다운로더, 로그, 하이잭커 등). 이 파트는 패러사이트가 귀하의 시스템에서 수행할 작업과 귀하께서 발견하실 수 있는 증상을 정의합니다. 일부 안티바이러스는 덜 상세하게 분류하고 일부는 더 상세하게 분류함을 기억하시기 바랍니다. HEUR 또는 Behavioral 감지에 대한 특별한 언급이 있는데, 이는 패러사이트가 사용한 일종의 악성 코드 때문에 해당 패러사이트가 의심되고 알 수 없음을 의미합니다.
  2. 실행되는 플랫폼 또는 OS (Win32/W32, OSX, Android, Symbian, JS/HTML, Linux ). 이는 특정 바이러스가 실행될 수 있는 위치를 보여줍니다. 그러나 이는 해당 패러사이트가 다른 플랫폼을 감염시키지 못하게 한다는 것을 의미하지는 않습니다. 그러므로 예를 들어, JS.InjectorWindows 또는 Mac 트로이목마를 설치하려고 할 수 있지만 이는 사용자가 감염된 페이지를 확인했을 때만 가능합니다.
  3. 배포 방법(바이러스, 트로이목마, ). 바이러스가 파일을 감염시키는 반면, 트로이목마는 좋은 파일을 대체하거나 흉내내며, 웜은 다양한 취약점을 이용하여 스스로 설치하려고 합니다. 잠재적으로 원치 않는 프로그램(PUP, PUA, „Not a virus” 또는 번들)은 특수한 경우로 사람들이 직접 설치했지만 원치 않는 기능을 하거나 잘못 광고되었을 수 있습니다. 이 정보는 바이러스 백신 제작자와 멀웨어 피해자 모두에게 중요하지만, 더 자주 사용된다 하더라도 기능보다 중요하지는 않습니다.
  4. 사용자 친화적인“ 그룹명. 일부 AV 제작자는 이를 생략했지만, 일부는 일종의 멀웨어 그룹명을 포함시켰습니다. 일반적으로, 이는 일종의 증상이나 멀웨어 파일의 문자열을 참조합니다. 때때로 다른 안티멀웨어 도구 데이터베이스의 이름이 채택됩니다. 일반적으로, 이는 전체 패러사이트명의 마지막 부분 중 하나입니다.
  5. 여러 버전이 존재하는 경우, 특정 패러사이트의 버전. 일반적으로, 패러사이트명의 마지막 부분이 버전을 나타냅니다.

:

Trojan.Generic 또는 Trojan.Agent 또는 Trojan.Win32 – 그룹이나 기능에 대한 특정 정보가 없는 트로이목마 패러사이트. 더 많은 정보를 얻기 위해 다른 도구로 검사하거나 VirusTotal 또는 유사 온라인 검사 서비스에 정보를 업로드해야 함이 명백합니다. 긍정 오류일 수도 있습니다.

W32.Downadup.b – Downdup 그룹의 Windows 32 비트 패러사이트, 버전 B

많은 안티바이러스 공급 업체가 자신의 데이터베이스를 온라인에 게시하는 한편, 최고의 감지 조사 방법은 멀웨어 그룹의 범위를 좁히고 그에 대한 사람이 읽을 수 있는 형태의 정보를 찾는 것입니다. 복잡한 경우 해당 패러사이트를 VirusTotal에 업로드하거나 패러사이트 그룹별 정보를 검색하여 수행할 수 있습니다.