악성 코드

악성코드

 

보안 업계에서는 악성코드를 체계적으로 분류하고 식별하기 위해 특정한 명명 규칙을 사용합니다.

이 규칙을 이해하면 악성코드의 특성을 신속하게 파악할 수 있어, 효과적인 대응 전략 수립에 도움이 됩니다.

 

악성코드 명명의 기본 구조는 다음과 같습니다: (스크립트 언어/계열.악성코드 이름)유형

 

이 구조를 세부적으로 분석해 보겠습니다:

1. 스크립트 언어 또는 계열 이는 악성코드의 구현 언어나 실행 환경을 나타냅니다. 예를 들어:
   • JS: JavaScript
   • HTML: HTML
   • MSIL: Microsoft Intermediate Language
   • AutoIt: AutoIt 스크립팅 언어
2. 악성코드 이름/변종 이 부분은 악성코드의 패밀리나 특정 변종을 식별합니다. 예를 들어:
   • Agent: 일반적인 트로이 목마 계열
   • Phishing: 피싱 공격에 사용되는 악성코드
   • Kryptik: 난독화 기술을 사용하는 악성코드 계열 변종을 구분하기 위해 추가적인 숫자나 문자가 사용될 수 있습니다.
3. 유형 악성코드의 동작 방식이나 주요 특징을 나타냅니다:
   • !tr: 트로이 목마(Trojan)
   • !worm: 웜
   • !ransom: 랜섬웨어
   • !virus: 바이러스

실제 예시를 통해 이 명명 규칙을 적용해 보겠습니다:

1. JS/Phishing.651!tr 분석: JavaScript 기반의 피싱 트로이 목마, 651번째 변종
2. HTML/FakeLogin.SF!tr 분석: HTML을 이용한 가짜 로그인 페이지 형태의 트로이 목마, SF 변종
3. MSIL/Kryptik.AJAP!tr 분석: Microsoft Intermediate Language로 작성된 Kryptik 계열 트로이 목마, AJAP 변종
4. AutoIt/Agent.OM!tr 분석: AutoIt 스크립트로 작성된 Agent 계열 트로이 목마, OM 변종