탐지된 개체 유형
|
구성된 애플리케이션 설정에 상관없이 Kaspersky Endpoint Security가 항상 바이러스, 웜 및 트로이목마를 탐지하고 차단합니다. 이러한 악성 코드가 컴퓨터에 심각한 손상을 불러 일으킬 수 있기 때문입니다.
- 바이러스 및 웜
하위 카테고리: 바이러스, 웜(Viruses_and_Worms)
위험도: 높음
클래식 바이러스 및 웜은 사용자가 승인하지 않은 동작을 수행합니다. 자체 복제 기능이 있는 경우 스스로를 복사할 수 있습니다.
클래식 바이러스
클래식 바이러스가 컴퓨터에 침투하면 파일을 감염시킨 후 활성화되어 악성 작업을 수행하고, 자신의 사본을 다른 파일에 추가합니다.
클래식 바이러스는 컴퓨터의 로컬 리소스에만 전파되므로 다른 컴퓨터에 침투할 수는 없습니다. 이 바이러스는 공유 폴더 또는 삽입된 CD에 저장된 파일에 자신의 사본을 추가하거나 사용자가 감염된 파일을 첨부한 이메일 메시지를 전달하는 경우에만 다른 컴퓨터로 이동할 수 있습니다.
클래식 바이러스 코드는 컴퓨터, 운영 체제 및 애플리케이션의 다양한 영역에 침투할 수 있습니다. 환경에 따라 바이러스는 파일 바이러스, 부트 바이러스, 스크립트 바이러스 및 매크로 바이러스로 나뉩니다.
바이러스는 다양한 기술을 동원하여 파일을 감염시킬 수 있습니다. 덮어쓰기 바이러스는 감염된 파일 코드 위에 자신의 코드를 써서 파일의 컨텐츠를 지웁니다. 감염된 파일은 기능이 중지되며 복원할 수 없습니다. 기생 바이러스는 파일을 수정한 다음 그냥 두거나 부분적으로만 기능하도록 둡니다. 동반 바이러스는 파일을 수정하지는 않지만 자신의 복제를 만듭니다. 감염된 파일을 열면 바이러스의 복제가 시작됩니다. 다음과 같은 바이러스 유형 또한 발생됩니다: 링크 바이러스, OBJ 바이러스, LIB 바이러스, 소스 코드 바이러스, 기타 등등.
Worm
웜 코드 역시 클래식 바이러스와 마찬가지로 컴퓨터에 침투한 후 활성화되어 악성 작업을 수행합니다. 웜이라는 이름은 한 컴퓨터에서 다른 컴퓨터로 "크롤링"하며 사용자의 허가 없이 다양한 데이터 채널을 통해 사본을 유포하는 기능 때문에 붙여졌습니다.
다양한 웜 유형을 구분하게 하는 주요 기능은 웜의 유포 방식입니다. 다음 표에는 유포되는 방식에 따라 분류된 다양한 형태의 웜에 대한 개요 정보가 나와 있습니다.
웜이 유포되는 방식
유형
|
이름
|
설명
|
Email-Worm
|
Email-Worm
|
이 형태의 웜은 이메일을 통해 유포됩니다.
감염된 이메일 메시지에는 웜의 사본이 포함된 첨부파일이나 웹 사이트로 업로드된 파일 링크가 포함되어 있으며, 후자의 경우 해당 웹 사이트는 감염의 목적으로 해킹되었거나 만들어진 것일 수 있습니다. 첨부파일을 열면 웜이 활성화됩니다. 링크를 누르거나 파일을 다운로드해서 열 경우에도 웜이 악성 작업을 시작합니다. 그런 다음 웜은 자신의 사본 유포, 다른 이메일 주소 검색 및 감염된 메시지 전송을 진행합니다.
|
IM-Worm
|
IM 클라이언트 웜
|
이것은 IM 클라이언트를 통해 퍼집니다.
일반적으로 이러한 웜은 사용자의 연락처 목록을 사용하여 웹 사이트에 있는 웜의 사본을 포함한 파일 링크를 메시지에 포함시켜 보냅니다. 사용자가 파일을 다운로드하여 열면 웜이 활성화됩니다.
|
IRC-Worm
|
인터넷 채팅 웜
|
이 형태의 웜은 인터넷상의 다른 사용자와 실시간으로 통신할 수 있는 서비스 시스템인 인터넷 릴레이 채팅을 통해 유포됩니다.
이러한 웜은 인터넷 채팅 시 자신의 사본이 포함된 파일 또는 파일에 대한 링크를 게시합니다. 사용자가 파일을 다운로드하여 열면 웜이 활성화됩니다.
|
Net-Worm
|
네트워크 웜
|
이러한 웜은 컴퓨터 네트워크를 통해 유포됩니다.
다른 형태의 웜과 달리 일반적인 네트워크 웜은 사용자의 관여 없이 유포됩니다. 이 형태의 웜은 취약한 프로그램이 포함되어 있는 컴퓨터의 로컬 네트워크를 검색합니다. 이를 위해 웜 코드나 웜 코드 일부를 포함하는 특별한 형태의 네트워크 패킷(익스플로잇)을 보냅니다. 네트워크에 "취약한" 컴퓨터가 있으면 이 네트워크 패킷이 전송됩니다. 웜은 컴퓨터에 완전히 침투한 후 활성화됩니다.
|
P2P-Worm
|
파일 공유 네트워크 웜
|
이 형태의 웜은 P2P 파일 공유 네트워크를 통해 유포됩니다.
P2P 네트워크에 침투하기 위해 웜은 일반적으로 사용자의 컴퓨터에 있는 파일 공유 폴더로 자신을 복사합니다. 그러면 P2P 네트워크에 이 파일에 대한 정보가 표시되므로 P2P 사용자가 네트워크에서 다른 파일과 마찬가지로 감염된 파일을 "찾아" 다운로드하여 열 수 있습니다.
보다 정교한 웜은 특정 P2P 네트워크의 네트워크 프로토콜을 에뮬레이션합니다: 쿼리 검색에 긍정적인 응답을 반환하고 웜 파일의 복사본을 다운로드하도록 합니다.
|
Worm
|
기타 웜 형태
|
그 외 다음과 같은 형태의 웜이 있습니다:
- 네트워크 리소스를 통해 자신의 사본을 유포하는 웜. 이 형태의 웜은 운영 체제의 기능을 사용하여 사용 가능한 네트워크 폴더를 검색하고, 인터넷상의 컴퓨터에 연결하며, 디스크 드라이브에 대한 모든 권한을 얻으려고 시도합니다. 이전에 설명한 형태의 웜과 달리 다른 형태의 웜은 자체적으로 활성화되지 않고 사용자가 웜 사본이 포함된 파일을 열 때 활성화됩니다.
- 즉, 이러한 웜은 위의 표에 설명되어 있는 방법을 사용하지 않고 전파됩니다(예: 휴대폰을 통해 전파되는 웜).
|
- 트로이목마(랜섬웨어 포함)
하위 카테고리: 트로이목마
위험도: 높음
웜 및 바이러스와 달리 트로이목마는 자체적으로 복제되지 않습니다. 예를 들어, 트로이목마는 사용자가 감염된 웹 페이지를 방문할 때 이메일 또는 브라우저를 통해 컴퓨터에 침투합니다. 트로이목마는 사용자의 참여를 통해 시작됩니다. 시작되는 즉시 악성 작업을 수행합니다.
트로이목마의 형태에 따라 감염된 컴퓨터에서 수행하는 작업도 달라집니다. 트로이목마는 주로 정보의 차단과 수정, 제거 및 컴퓨터 또는 네트워크 중지를 주 목적으로 하지만. 파일 송수신 및 실행, 화면 메시지 표시, 웹 페이지 요청, 프로그램 다운로드 및 설치, 컴퓨터 다시 시작 등의 작업도 할 수 있습니다.
해커는 일반적으로 여러 트로이목마의 "세트"를 사용합니다.
트로이목마의 동작 유형이 다음 표에 설명되어 있습니다.
감염된 컴퓨터에서 트로이목마의 동작 유형
유형
|
이름
|
설명
|
Trojan-ArcBomb
|
트로이목마 - "압축 파일 폭탄"
|
압축을 해제했을 때 이러한 압축 파일은 컴퓨터 작업에 영향을 미칠 만큼 크기가 증가합니다.
사용자가 이 파일을 압축 해제하면 컴퓨터의 성능이 저하되거나 아예 실행 중지될 수 있으며, 하드 디스크는 "빈" 데이터로 가득 찰 수 있습니다. "압축 파일 폭탄"은 특히 파일 및 메일 서버에 위험합니다. 서버에서 자동 시스템을 사용하여 들어오는 정보를 처리할 경우 "압축 파일 폭탄"으로 인해 서버가 중지될 수 있습니다.
|
Backdoor
|
원격 관리를 위한 트로이목마
|
이 형태의 트로이목마는 모든 트로이목마 중에서도 가장 위험한 형태로 간주됩니다. 그 기능을 봤을 때 컴퓨터에 설치된 원격 관리 애플리케이션과 비슷합니다.
이러한 프로그램은 침입자가 컴퓨터를 원격으로 관리할 수 있도록 사용자 모르게 컴퓨터에 프로그램을 설치합니다.
|
Trojan
|
트로이목마
|
이 형태의 트로이목마에는 다음과 같은 악성 애플리케이션이 포함됩니다.
- 클래식 트로이목마. 이 프로그램은 트로이목마의 주 기능만 수행합니다: 주로 정보의 차단과 수정, 제거 및 컴퓨터 또는 네트워크 중지. 표에 설명된 다른 형태의 트로이목마와 달리 고급 기능은 포함하지 않습니다.
- 다용도 트로이목마. 이 형태의 트로이목마는 여러 트로이목마에서 일반적으로 보여지는 고급 기능을 갖추고 있습니다.
|
Trojan-Ransom
|
랜섬 트로이목마
|
이 형태의 트로이목마는 사용자의 정보를 "인질"로 취하여 해당 정보를 수정 또는 차단하거나 사용자가 정보를 사용할 수 없도록 컴퓨터의 작동에 영향을 줍니다. 침입자는 컴퓨터 성능 및 컴퓨터에 저장된 데이터를 복원하는 애플리케이션을 보내준다는 약속을 하며 사용자에게 대가를 요구합니다.
|
Trojan-Clicker
|
트로이목마 클리커
|
자체적으로 브라우저에 명령을 보내거나 운영 체제 파일에 지정된 웹 주소를 변경하여 사용자 컴퓨터에서 웹 페이지에 접근합니다.
이러한 프로그램을 사용하여 침입자는 네트워크 공격을 침투시키고 웹 사이트 방문 수를 증가시켜 배너 광고의 표시 횟수를 높입니다.
|
Trojan-Downloader
|
트로이목마 다운로드
|
침입자의 웹 페이지에 접근하여 다른 악성 애플리케이션을 다운로드한 후 이를 사용자 컴퓨터에 설치합니다. 이 형태의 트로이목마는 다운로드할 악성 애플리케이션의 파일 이름을 포함하고 있거나 접근하는 웹 페이지에서 파일 이름을 수신할 수 있습니다.
|
Trojan-Dropper
|
트로이목마 드로퍼
|
하드 드라이브에 복사한 후 설치하는 다른 트로이목마를 포함합니다.
침입자는 다음과 같은 목적을 위해 트로이목마 드로퍼형 프로그램을 사용할 수 있습니다:
- 사용자가 알아채지 못하게 악성 애플리케이션을 설치합니다. Trojan-Dropper형 프로그램은 메시지를 표시하지 않거나 아니면 압축 파일에 오류가 있다거나 호환되지 않는 버전의 운영 체제라는 오류를 알리는 허위 메시지를 표시합니다.
- 다른 알려진 악성 애플리케이션으로부터 보호하십시오. 일부 안티 바이러스 소프트웨어는 Trojan-Dropper형 애플리케이션 내의 악성 애플리케이션을 탐지하지 못합니다.
|
Trojan-Notifier
|
트로이목마 알림 기능
|
이 트로이목마는 감염된 컴퓨터가 접근 가능하다는 것을 침입자에게 알리고 컴퓨터에 대한 정보를 침입자에게 전송합니다: IP 주소, 열린 포트 번호, 이메일 주소. 이메일, FTP, 침입자의 웹 페이지 접근 등의 방법을 사용하여 침입자와 연결합니다.
Trojan-Notifier형 프로그램은 보통 여러 개의 트로이목마로 구성되며. 침입자에게 다른 트로이목마가 사용자의 컴퓨터에 설치되었음을 알려줍니다.
|
Trojan-Proxy
|
트로이목마 프록시
|
이 형태의 트로이목마는 침입자가 사용자의 컴퓨터를 사용하여 웹 페이지에 익명으로 접근하도록 하며, 일반적으로 스팸 전달에 사용됩니다.
|
Trojan-PSW
|
Password-stealing-ware
|
Password-stealing-ware는 소프트웨어 등록 데이터 등의 사용자 계정을 훔치는 형태의 트로이목마입니다. 이 형태의 트로이목마는 시스템 파일의 기밀 데이터를 찾아서 이메일, FTP, 침입자의 웹 페이지 접근 또는 기타 방법으로 “공격자”에게 해당 정보를 전송합니다.
이러한 트로이목마 중 일부는 이 표에서 기술된 별도 유형으로 분류됩니다. 은행 계정을 도용하는 트로이목마(Trojan-Banker), IM 클라이언트의 사용자 정보를 도용하는 트로이목마(Trojan-IM) 및 온라인 게임 사용자 정보를 도용하는 트로이목마(Trojan-GameThief)가 여기에 해당됩니다.
|
Trojan-Spy
|
트로이목마 스파이
|
이 형태의 트로이목마는 사용자가 컴퓨터에서 수행한 작업에 대한 정보를 수집하여 사용자를 정탐합니다. 이 트로이목마는 사용자가 키보드로 입력한 데이터를 가로채거나 스크린샷을 찍거나 활성 애플리케이션의 목록을 수집할 수 있습니다. 정보를 수신한 후에는 이메일, FTP, 침입자의 웹 페이지 접근 또는 기타 방법으로 침입자에게 해당 정보를 전송합니다.
|
Trojan-DDoS
|
트로이목마 네트워크 공격자
|
사용자 컴퓨터에서 원격 서버로 대량의 요청을 전송합니다. 서버는 모든 요청을 처리할 리소스가 부족하여 작동을 멈추게 됩니다(서비스 거부 또는 DoS). 해커들은 다수의 컴퓨터를 사용하여 한 대의 서버를 동시에 공격할 수 있도록 이러한 프로그램을 많은 컴퓨터에 감염시킵니다.
DoS 프로그램은 사용자에 대한 정보가 있는 단일 컴퓨터에서 공격을 가합니다. DDoS(분산된 서비스 거부 공격) 프로그램은 사용자 모르게 여러 컴퓨터에서 감염 컴퓨터에 분산 공격을 가합니다.
|
Trojan-IM
|
IM 클라이언트의 사용자 정보를 훔치는 트로이목마
|
이러한 트로이목마는 IM 클라이언트 사용자의 계정과 암호를 도용합니다. 이메일, FTP, 침입자의 웹 페이지 접근 또는 기타 방법으로 침입자에게 데이터를 전송합니다.
|
Rootkit
|
루트킷
|
이 형태의 트로이목마는 다른 악성 애플리케이션과 그 활동을 마스킹하여 운영 체제에서 해당 애플리케이션의 지속 기간을 연장시킵니다. 또한 이 형태의 트로이목마는 감염된 컴퓨터의 메모리에 악성 애플리케이션을 실행하는 파일, 프로세스 또는 레지스트리 키를 숨길 수 있습니다. 루트킷은 사용자 컴퓨터와 네트워크에 있는 다른 컴퓨터의 애플리케이션 간에 데이터 교환을 마스킹할 수 있습니다.
|
Trojan-SMS
|
SMS 메시지 형태의 트로이목마
|
이 형태의 트로이목마는 특별 요금 전화번호로 SMS 메시지를 전송하여 휴대폰을 감염시킵니다.
|
Trojan-GameThief
|
온라인 게임 사용자의 정보를 훔치는 트로이목마
|
이러한 트로이목마는 온라인 게임 사용자의 계정 정보를 도용해 이메일, FTP, 침입자의 웹 페이지 접근 또는 기타 방법으로 해당 데이터를 전송합니다.
|
Trojan-Banker
|
은행 계정을 훔치는 트로이목마
|
은행 계좌 데이터 또는 이머니(emoney) 시스템 데이터를 도용하고 이메일, FTP, 침입자의 웹 페이지 접근 또는 기타 방법으로 해당 데이터를 전송합니다.
|
Trojan-Mailfinder
|
이메일 주소를 수집하는 트로이목마
|
이 형태의 트로이목마는 컴퓨터에 저장된 이메일 주소를 수집하여 이메일, FTP, 침입자의 웹 페이지 접근 또는 기타 방법으로 침입자에게 해당 정보를 전송합니다. 이 경우 침입자가 수집한 주소로 스팸을 보낼 수 있습니다.
|
- 악성 도구
하위 카테고리: 악성 도구
위험도: 중간
다른 종류의 악성 코드와 달리 악성 도구는 활동을 시작하는 즉시 작업을 수행하지 않습니다. 악성 툴은 사용자의 컴퓨터에 안전하게 저장되어 있다가 시작될 수 있습니다. 침입자는 보통 이러한 프로그램의 기능을 사용하여 바이러스, 웜 및 트로이목마를 만들거나, 원격 서버에 대한 네트워크 공격을 가하거나, 컴퓨터를 해킹하거나, 기타 악성 작업을 수행합니다.
악성 도구의 다양한 기능은 다음 표에 설명된 형태에 따라 분류할 수 있습니다.
악성 도구의 기능
유형
|
이름
|
설명
|
Constructor
|
바이러스 제작
|
이 형태의 악성 툴은 새 바이러스, 웜 및 트로이목마를 만들 수 있습니다. 일부 바이러스 제작 유틸리티는 일반적인 창 기반의 인터페이스를 제공하는데, 이러한 인터페이스를 통해 사용자는 제작할 악성 애플리케이션의 형태, 디버거 대응 방법 및 기타 기능을 선택할 수 있습니다.
|
Dos
|
네트워크 공격
|
사용자 컴퓨터에서 원격 서버로 대량의 요청을 전송합니다. 서버는 모든 요청을 처리할 리소스가 부족하여 작동을 멈추게 됩니다(서비스 거부 또는 DoS).
|
Exploit
|
익스플로잇
|
익스플로잇은 데이터 또는 프로그램 코드의 집합이며, 해당 데이터 또는 코드가 처리되는 애플리케이션의 취약점을 활용하여 컴퓨터에 대한 악성 작업을 수행합니다. 예를 들어 익스플로잇은 파일을 쓰거나 읽을 수 있으며 "감염된" 웹 페이지를 요청할 수 있습니다.
서로 다른 익스플로잇은 각기 다른 애플리케이션 또는 네트워크 서비스의 취약점을 활용합니다. 네트워크 패킷으로 위장된 익스플로잇은 네트워크를 통해 수많은 컴퓨터로 전송되어 취약한 네트워크 서비스가 포함된 컴퓨터를 검색합니다. DOC 파일의 익스플로잇은 텍스트 편집기의 취약점을 활용합니다. 이 형태의 익스플로잇은 사용자가 감염된 파일을 열었을 때 해커가 사전 프로그래밍해 놓은 작업을 수행할 수 있습니다. 이메일 메시지에 삽입된 익스플로잇은 모든 이메일 클라이언트의 취약점을 검색합니다. 이 형태의 악성 툴은 사용자가 이 이메일 클라이언트에서 감염된 메시지를 여는 즉시 악성 작업을 수행할 수 있습니다.
익스플로잇을 사용하여 네트워크를 통해 유포되는 Net-Worm. Nuker 익스플로잇은 컴퓨터를 중지시키는 네트워크 패킷입니다.
|
FileCryptor
|
암호화 프로그램
|
이 형태의 악성 툴은 다른 악성 애플리케이션을 암호화하여 안티 바이러스 애플리케이션에서 탐지하지 못하도록 합니다.
|
Flooder
|
네트워크 "감염"용 프로그램
|
이 형태의 악성 툴은 네트워크 채널을 통해 수많은 메시지를 전송합니다. 이 형태의 툴에는 인터넷 릴레이 채팅을 오염시키는 프로그램이 포함될 수 있습니다.
그러나 이메일, 메신저 클라이언트, 모바일 통신 시스템에 사용되는 채널을 "감염"시키는 프로그램은 이 Flooder형 툴에 포함되지 않습니다. 이러한 프로그램은 본 표에 설명된 다른 형태(Email-Flooder, IM-Flooder 및 SMS-Flooder)와 구분됩니다.
|
HackTool
|
해킹 툴
|
이 형태의 악성 툴은 해당 툴이 설치된 컴퓨터를 해킹하거나 다른 컴퓨터를 공격할 수 있습니다(예: 사용자 허가 없이 새로운 시스템 계정 추가, 시스템 로그를 삭제하여 운영 체제에 해당 악성 툴의 존재를 숨김). 이 형태의 툴에는 암호 가로채기와 같은 악성 기능을 특징으로 하는 일부 Sniffer가 포함됩니다. Sniffer는 네트워크 트래픽을 볼 수 있는 프로그램입니다.
|
Hoax
|
혹스
|
혹스는 감염되지 않은 파일에서 "바이러스를 탐지"하고 사용자에게 디스크가 포맷되었다는 허위 사실을 알립니다.
|
Spoofer
|
스푸핑 툴
|
이 형태의 악성 툴은 가짜 발신자 주소를 사용하여 메시지와 네트워크 요청을 전송합니다. 예를 들어, 침입자는 Spoofer형 툴을 사용하여 실제 메시지 발신자인 것처럼 행세합니다.
|
VirTool
|
악성 애플리케이션을 수정하는 툴
|
다른 악성 코드의 수정을 허용하여 안티 바이러스 애플리케이션으로부터 바이러스의 존재를 숨깁니다.
|
Email-Flooder
|
이메일 주소를 "오염"시키는 프로그램
|
이 형태의 악성 툴은 다양한 이메일 주소로 수많은 메시지를 전송하여 해당 이메일 주소를 "오염"시킵니다. 대용량의 메시지가 들어오면 사용자는 자신의 받은 편지함에서 정작 유용한 메시지를 볼 수 없게 됩니다.
|
IM-Flooder
|
IM 클라이언트의 트래픽을 "오염"시키는 프로그램
|
메신저 클라이언트 사용자에게 다량의 메시지를 보냅니다. 대용량의 메시지가 수신되어 사용자는 정작 유용한 메시지를 볼 수 없게 됩니다.
|
SMS-Flooder
|
SMS 메시지로 트래픽을 "오염"시키는 프로그램
|
이 형태의 악성 툴은 휴대폰으로 수많은 SMS 메시지를 전송합니다.
|
- 애드웨어
하위 카테고리: 광고 소프트웨어(Adware)
위험도: 중간
애드웨어는 사용자에게 광고 정보를 표시하는 프로그램입니다. 애드웨어 프로그램은 다른 프로그램의 인터페이스에 배너 광고를 표시하고, 검색 쿼리를 광고 웹 페이지로 리다이렉트합니다. 그들 중 일부는 사용자에 대한 마케팅 정보를 수집하고, 개발자에게 이를 보냅니다: 이 정보는 사용자 또는 사용자의 검색 쿼리의 컨텐츠에 의해 방문하는 웹사이트의 이름을 포함할 수 있습니다. Trojan-Spy형 프로그램과 달리 애드웨어 프로그램은 사용자의 허가를 받아 개발자에게 이러한 정보를 전송합니다.
- 자동 다이얼러
하위 카테고리: 컴퓨터를 손상시키거나 개인 정보를 훔칠 목적으로 악용될 수 있는 정상적인 프로그램을 포함합니다.
위험도: 중간
이러한 애플리케이션 중 대부분은 유용하며 많은 사용자가 해당 프로그램을 사용합니다. 이러한 애플리케이션에는 IRC 클라이언트, 자동 다이얼러, 파일 다운로드 프로그램, 컴퓨터 시스템 활동 모니터, 암호 유틸리티, FTP, HTTP 및 Telnet용 인터넷 서버가 포함됩니다.
그러나 침입자가 이러한 프로그램에 대한 접근 권한을 얻게 되거나 침입자가 사용자 컴퓨터에 이러한 형태의 프로그램을 이식하면 애플리케이션 기능 중 일부가 보안을 위협하는 데 활용될 수 있습니다.
이러한 애플리케이션은 기능이 서로 다르며 다음 표에 그 유형이 설명되어 있습니다.
유형
|
이름
|
설명
|
Client-IRC
|
인터넷 채팅 클라이언트
|
인터넷 릴레이 채팅에서 다른 사용자와 대화하기 위해 이러한 프로그램을 설치합니다. 침입자는 이러한 프로그램을 통해 악성 코드를 유포합니다.
|
Dialer
|
자동 다이얼러
|
이러한 프로그램은 숨겨진 모드로 모뎀을 통해 전화 연결을 설정할 수 있습니다.
|
Downloader
|
다운로드용 프로그램
|
이러한 프로그램은 숨겨진 모드로 웹 페이지에서 파일을 다운로드할 수 있습니다.
|
Monitor
|
모니터링용 프로그램
|
해당 프로그램이 설치된 컴퓨터의 활동(활성 애플리케이션 확인 및 다른 컴퓨터에 설치된 애플리케이션과 데이터를 교환하는 방법)을 모니터링할 수 있습니다.
|
PSWTool
|
암호 복원툴
|
잊어버린 암호를 확인하고 복원하는 툴입니다. 침입자는 사용자 모르게 컴퓨터에 이러한 프로그램을 설치하여 암호를 확인합니다.
|
RemoteAdmin
|
원격 관리 프로그램
|
시스템 관리자에 의해 광범위하게 사용되는 프로그램입니다. 이러한 프로그램은 원격 컴퓨터의 모니터링 및 관리를 위해 원격 컴퓨터의 인터페이스에 대한 접근 권한을 제공합니다. 침입자도 이와 같은 목적으로 사용자 장치에 은밀히 침투합니다: 원격 컴퓨터를 감시하고 관리하기 위한 목적.
합법적인 원격 관리 프로그램은 원격 관리를 위한 Backdoor형 트로이목마와 다릅니다. 트로이목마는 운영 체제에 독립적으로 침투하여 자신을 설치할 수 있지만 정상적 애플리케이션을 그럴 수 없습니다.
|
Server-FTP
|
FTP 서버
|
이 형태의 프로그램은 FTP 서버 기능을 합니다. 침입자는 사용자의 컴퓨터에 이러한 형태의 프로그램을 이식하여 FTP를 통해 사용자 컴퓨터에 대한 원격 접속 권한을 얻습니다.
|
Server-Proxy
|
프록시 서버
|
이 형태의 프로그램은 프록시 서버 기능을 합니다. 침입자가 이 유형의 리스크웨어를 사용자 컴퓨터에 심어 사용자 이름으로 스팸을 전송합니다.
|
Server-Telnet
|
Telnet 서버
|
이 형태의 프로그램은 Telnet 기능을 합니다. 침입자는 사용자의 컴퓨터에 이러한 형태의 프로그램을 이식하여 Telnet을 통해 사용자 컴퓨터에 대한 원격 접속 권한을 얻습니다.
|
Server-Web
|
웹 서버
|
이 형태의 프로그램은 웹 서버 기능을 합니다. 침입자는 사용자의 컴퓨터에 이러한 형태의 프로그램을 이식하여 HTTP를 통해 사용자 컴퓨터에 대한 원격 접속 권한을 얻습니다.
|
RiskTool
|
로컬 컴퓨터에서의 작업에 사용되는 툴
|
이 형태의 프로그램은 사용자가 자신의 컴퓨터에서 작업할 때 추가 옵션을 제공합니다. 이 툴을 통해 사용자는 활성 애플리케이션의 파일 또는 창을 숨기고 활성 프로세스를 종료할 수 있습니다.
|
NetTool
|
네트워크 툴
|
이 형태의 프로그램은 사용자가 네트워크상의 다른 컴퓨터에 대해 작업할 때 추가 옵션을 제공합니다. 이러한 툴을 통해 컴퓨터를 다시 시작하고, 열린 포트를 탐지하고, 컴퓨터에 설치되어 있는 애플리케이션을 시작할 수 있습니다.
|
Client-P2P
|
P2P 네트워크 클라이언트
|
이 형태의 프로그램을 통해 피어 투 피어 네트워크에 대한 작업을 할 수 있습니다. 침입자도 악성 코드 유포에 이러한 프로그램을 활용할 수 있습니다.
|
Client-SMTP
|
SMTP 클라이언트
|
사용자가 알지 못하도록 이메일 메시지를 전송합니다. 침입자가 이 유형의 리스크웨어를 사용자 컴퓨터에 심어 사용자 이름으로 스팸을 전송합니다.
|
WebToolbar
|
웹 툴바
|
이 형태의 프로그램은 다른 애플리케이션의 인터페이스에 검색 엔진을 사용하는 툴바를 추가합니다.
|
FraudTool
|
의사 프로그램
|
이 형태의 프로그램은 다른 프로그램 행세를 합니다. 예를 들어, 악성 코드 탐지에 관한 메시지를 표시하는 의사 안티 바이러스 프로그램이 있습니다. 그러나, 실제로는 바이러스를 찾거나 치료하지 못합니다.
|
- 침입자에게 악용되어 사용자의 컴퓨터나 개인 데이터를 손상할 수 있는 기타 소프트웨어 탐지
하위 카테고리: 컴퓨터를 손상시키거나 개인 정보를 훔칠 목적으로 악용될 수 있는 정상적인 프로그램을 포함합니다.
위험도: 중간
이러한 애플리케이션 중 대부분은 유용하며 많은 사용자가 해당 프로그램을 사용합니다. 이러한 애플리케이션에는 IRC 클라이언트, 자동 다이얼러, 파일 다운로드 프로그램, 컴퓨터 시스템 활동 모니터, 암호 유틸리티, FTP, HTTP 및 Telnet용 인터넷 서버가 포함됩니다.
그러나 침입자가 이러한 프로그램에 대한 접근 권한을 얻게 되거나 침입자가 사용자 컴퓨터에 이러한 형태의 프로그램을 이식하면 애플리케이션 기능 중 일부가 보안을 위협하는 데 활용될 수 있습니다.
이러한 애플리케이션은 기능이 서로 다르며 다음 표에 그 유형이 설명되어 있습니다.
유형
|
이름
|
설명
|
Client-IRC
|
인터넷 채팅 클라이언트
|
인터넷 릴레이 채팅에서 다른 사용자와 대화하기 위해 이러한 프로그램을 설치합니다. 침입자는 이러한 프로그램을 통해 악성 코드를 유포합니다.
|
Dialer
|
자동 다이얼러
|
이러한 프로그램은 숨겨진 모드로 모뎀을 통해 전화 연결을 설정할 수 있습니다.
|
Downloader
|
다운로드용 프로그램
|
이러한 프로그램은 숨겨진 모드로 웹 페이지에서 파일을 다운로드할 수 있습니다.
|
Monitor
|
모니터링용 프로그램
|
해당 프로그램이 설치된 컴퓨터의 활동(활성 애플리케이션 확인 및 다른 컴퓨터에 설치된 애플리케이션과 데이터를 교환하는 방법)을 모니터링할 수 있습니다.
|
PSWTool
|
암호 복원툴
|
잊어버린 암호를 확인하고 복원하는 툴입니다. 침입자는 사용자 모르게 컴퓨터에 이러한 프로그램을 설치하여 암호를 확인합니다.
|
RemoteAdmin
|
원격 관리 프로그램
|
시스템 관리자에 의해 광범위하게 사용되는 프로그램입니다. 이러한 프로그램은 원격 컴퓨터의 모니터링 및 관리를 위해 원격 컴퓨터의 인터페이스에 대한 접근 권한을 제공합니다. 침입자도 이와 같은 목적으로 사용자 장치에 은밀히 침투합니다: 원격 컴퓨터를 감시하고 관리하기 위한 목적.
합법적인 원격 관리 프로그램은 원격 관리를 위한 Backdoor형 트로이목마와 다릅니다. 트로이목마는 운영 체제에 독립적으로 침투하여 자신을 설치할 수 있지만 정상적 애플리케이션을 그럴 수 없습니다.
|
Server-FTP
|
FTP 서버
|
이 형태의 프로그램은 FTP 서버 기능을 합니다. 침입자는 사용자의 컴퓨터에 이러한 형태의 프로그램을 이식하여 FTP를 통해 사용자 컴퓨터에 대한 원격 접속 권한을 얻습니다.
|
Server-Proxy
|
프록시 서버
|
이 형태의 프로그램은 프록시 서버 기능을 합니다. 침입자가 이 유형의 리스크웨어를 사용자 컴퓨터에 심어 사용자 이름으로 스팸을 전송합니다.
|
Server-Telnet
|
Telnet 서버
|
이 형태의 프로그램은 Telnet 기능을 합니다. 침입자는 사용자의 컴퓨터에 이러한 형태의 프로그램을 이식하여 Telnet을 통해 사용자 컴퓨터에 대한 원격 접속 권한을 얻습니다.
|
Server-Web
|
웹 서버
|
이 형태의 프로그램은 웹 서버 기능을 합니다. 침입자는 사용자의 컴퓨터에 이러한 형태의 프로그램을 이식하여 HTTP를 통해 사용자 컴퓨터에 대한 원격 접속 권한을 얻습니다.
|
RiskTool
|
로컬 컴퓨터에서의 작업에 사용되는 툴
|
이 형태의 프로그램은 사용자가 자신의 컴퓨터에서 작업할 때 추가 옵션을 제공합니다. 이 툴을 통해 사용자는 활성 애플리케이션의 파일 또는 창을 숨기고 활성 프로세스를 종료할 수 있습니다.
|
NetTool
|
네트워크 툴
|
이 형태의 프로그램은 사용자가 네트워크상의 다른 컴퓨터에 대해 작업할 때 추가 옵션을 제공합니다. 이러한 툴을 통해 컴퓨터를 다시 시작하고, 열린 포트를 탐지하고, 컴퓨터에 설치되어 있는 애플리케이션을 시작할 수 있습니다.
|
Client-P2P
|
P2P 네트워크 클라이언트
|
이 형태의 프로그램을 통해 피어 투 피어 네트워크에 대한 작업을 할 수 있습니다. 침입자도 악성 코드 유포에 이러한 프로그램을 활용할 수 있습니다.
|
Client-SMTP
|
SMTP 클라이언트
|
사용자가 알지 못하도록 이메일 메시지를 전송합니다. 침입자가 이 유형의 리스크웨어를 사용자 컴퓨터에 심어 사용자 이름으로 스팸을 전송합니다.
|
WebToolbar
|
웹 툴바
|
이 형태의 프로그램은 다른 애플리케이션의 인터페이스에 검색 엔진을 사용하는 툴바를 추가합니다.
|
FraudTool
|
의사 프로그램
|
이 형태의 프로그램은 다른 프로그램 행세를 합니다. 예를 들어, 악성 코드 탐지에 관한 메시지를 표시하는 의사 안티 바이러스 프로그램이 있습니다. 그러나, 실제로는 바이러스를 찾거나 치료하지 못합니다.
|
- 악성 코드를 숨기려는 목적으로 이용될 수 있는 실행 압축 개체
Kaspersky Endpoint Security는 SFX(자동 압축 해제) 압축 파일에 들어 있는 압축 개체 및 압축 해제 모듈을 검사합니다.
안티 바이러스 애플리케이션으로부터 위험한 프로그램을 숨장치 위해 침입자는 특수 압축 프로그램을 사용하여 프로그램을 압축하거나 다중 압축 파일을 만들 수 있습니다.
Kaspersky 바이러스 분석가들은 해커들 사이에 가장 인기가 많은 압축 프로그램에 대한 정보를 확보하고 있습니다.
Kaspersky Endpoint Security가 파일에서 이러한 압축 프로그램을 탐지하면 이 파일에 악성 애플리케이션 또는 컴퓨터나 사용자 데이터를 손상시키기 위해 침입자가 사용할 수 있는 애플리케이션이 들어 있을 가능성이 매우 큽니다.
Kaspersky Endpoint Security는 다음과 같은 종류의 프로그램을 찾아냅니다:
- 피해를 줄 수 있는 실행 압축 파일 - 바이러스, 웜 및 트로이목마 등의 악성 코드를 압축시키는 데 사용됩니다.
- 다중 압축 파일(중간 위험도) - 개체가 하나 이상의 압축 프로그램에 의해 3차례 압축됩니다.
- 다중 실행 압축 개체
Kaspersky Endpoint Security는 SFX(자동 압축 해제) 압축 파일에 들어 있는 압축 개체 및 압축 해제 모듈을 검사합니다.
안티 바이러스 애플리케이션으로부터 위험한 프로그램을 숨장치 위해 침입자는 특수 압축 프로그램을 사용하여 프로그램을 압축하거나 다중 압축 파일을 만들 수 있습니다.
Kaspersky 바이러스 분석가들은 해커들 사이에 가장 인기가 많은 압축 프로그램에 대한 정보를 확보하고 있습니다.
Kaspersky Endpoint Security가 파일에서 이러한 압축 프로그램을 탐지하면 이 파일에 악성 애플리케이션 또는 컴퓨터나 사용자 데이터를 손상시키기 위해 침입자가 사용할 수 있는 애플리케이션이 들어 있을 가능성이 매우 큽니다.
Kaspersky Endpoint Security는 다음과 같은 종류의 프로그램을 찾아냅니다:
- 피해를 줄 수 있는 실행 압축 파일 - 바이러스, 웜 및 트로이목마 등의 악성 코드를 압축시키는 데 사용됩니다.
- 다중 압축 파일(중간 위험도) - 개체가 하나 이상의 압축 프로그램에 의해 3차례 압축됩니다.
|
상속할 때 값 병합
(Kaspersky Security Center 콘솔에서만 사용 가능)
|
이렇게 하면 Kaspersky Security Center의 자식 및 부모 정책에 있는 검사 예외 및 신뢰하는 애플리케이션 목록이 병합됩니다. 목록을 병합하려면 Kaspersky Security Center의 자식 정책이 부모 정책 설정을 상속하도록 구성해야 합니다.
확인란을 선택하면 Kaspersky Security Center 부모 정책의 목록 항목이 자식 정책에 표시됩니다. 예를 들어, 전체 조직에 대해 신뢰하는 애플리케이션의 통합 목록을 만들 수 있습니다.
자식 정책에 상속된 목록 항목은 삭제하거나 편집할 수 없습니다. 검사 예외 목록의 항목과 상속 중에 병합된 신뢰하는 애플리케이션 목록은 부모 정책에서만 삭제 및 편집할 수 있습니다. 하위 수준 정책에서 목록 항목을 추가, 편집 또는 삭제할 수 있습니다.
자식 및 부모 정책 목록에서 일치하는 항목은 부모 정책과 같은 항목으로 표시됩니다.
이 확인란을 선택하지 않으면 Kaspersky Security Center 정책 설정을 상속할 때 목록 항목을 병합하지 않습니다.
|
로컬 예외 항목 사용 허용/로컬 신뢰하는 애플리케이션 사용 허용
(Kaspersky Security Center 콘솔에서만 사용 가능)
|
로컬 예외 규칙 및 로컬 신뢰하는 애플리케이션(로컬 신뢰 구역) – 특정 컴퓨터에 대한 Kaspersky Endpoint Security의 사용자 정의 개체 및 애플리케이션 목록입니다. Kaspersky Endpoint Security는 로컬 신뢰 구역의 개체 및 애플리케이션을 감시하지 않습니다. 이러한 방식으로 사용자는 정책의 일반 신뢰 구역 외에도 자신의 로컬 예외 규칙 및 신뢰하는 애플리케이션 목록을 생성할 수 있습니다.
확인란을 선택하면 사용자가 로컬 검색 예외 목록과 신뢰하는 애플리케이션 로컬 목록을 만들 수 있습니다. 관리자는 Kaspersky Security Center를 사용하여 컴퓨터 속성의 목록 항목을 확인, 추가, 편집 또는 삭제할 수 있습니다.
확인란을 선택 해제하면 사용자는 정책에서 생성된 검사 예외 및 신뢰하는 애플리케이션의 일반 목록에만 접근할 수 있습니다.
|