무료 악성코드 진단/분석 도구 : Emsisoft Free Emergency Kit 1.0



포터블 방식으로 동작하며 악성코드 진단·치료, 시스템 분석 등 다양한 기능을 제공하는 Emsisoft Free Emergency Kit을 살펴봅니다.



▶ 관련글

- 무료 악성코드 검사 도구 모음 (Ver. 10.09.18)
- A-squared Anti-Malware 4.0 리뷰 (7) - 총 평
- A-squared Anti-Malware 4.0 리뷰 (6-2) - HijackFree

---

1. 제품 소개

이번에 소개할 Emsisoft Free Emergency Kit은 이전에 리뷰한 A-squared Anti-Malware를 개발한 Emsisoft의 무료 제품입니다. 현재 A-squared Anti-malware에서 Emsisoft Anti-Malware로 이름이 변경되어판매되고 있으며, 안티 바이러스 엔진으로 사용하고 있는 이카루스 제품이 Vb100등에서 인증에 성공하면서 이전보다 안정성이 많이 높아졌다는 평가를 받고 있습니다.  

Emergency Kit은 이름 그대로 악성코드 감염이 의심되는 "응급" 시스템에서 사용할 수 있는 포터블 보안 제품입니다. Emergency Kit의 구성과 기능은 아래와 같습니다.

기능 이름	기능 설명
Emergency Kit Scanner	GUI 기반의 악성코드 검사 및 치료
Commandline Scanner	CUI 기반의 악성코드 검사 및 치료
HijackFree	시스템 분석 도구
BlitzBlank	파일 및 레지스트리 강제 삭제 도구

Emergency Kit은 앞서 언급한 것처럼 포터블 방식으로 동작함으로 USB등의 외부 저장 장치에 넣어서 사용할 수 있습니다. 특히 Autorun.inf 파일을 제공하여 시스템에 USB를 연결할 경우 자동으로 Kit이 실행되도록 할 수 있습니다. 

아래는 Emergency Kit의 다운로드 링크입니다. 다운로드 속도가 다소 느리기 때문에 Orbit과 같은 다운로드 가속기를 사용하는 것이 좋습니다.

▶ http://download11.emsisoft.com/EmsisoftEmergencyKit.zip

위 파일의 압축을 풀면 아래와 같은 구성이 나옵니다.

USB 연결시 자동으로 Emergency Kit이 실행되도록 하려면 위 파일과 폴더를 USB의 가장 상위 폴더인 Root 폴더에 복사하면 됩니다.

아래는 "Stater.exe"파일을 실행하여 활성화된 Kit의 메인 화면입니다. 사용자가 원하는 기능을 클릭하면 해당 기능이 활성화되어 사용할 수 있습니다.
 

Emergency Kit 메인 화면

각각의 기능을 살펴보겠습니다.

2. Emergency Kit Scanner, Commandline Scanner : 악성코드 검사

(1) Emergency Kit Scanner

---

Emergency Kit Scanner는 유료 제품인 Emsisoft Anti-Malware의 수동 검사를 포터블화해서 제공하는 기능입니다. 악성코드 검사 및 치료가 제공되며 실시간 감시 기능은 포함되어 있지 않습니다.

기본 구성은 아래와 같이 실시간 감시 항목이 빠져있다는 점 등을 제외하면 Anti-Malware 제품과 거의 동일합니다.

먼저 Kit Scanner를 실행하게되면 아래와 같이 DB를 업데이트하기 시작합니다. 최신 DB를 위한 과정임으로 반드시 수행합니다.

DB 업데이트 화면

업데이트가 끝나면 아래와 같이 Kit Scanner 메인 화면이 활성화됩니다. 메인 화면에서는 현재 프로그램 상태(Security Status), 수동 검사(Scan PC), 검역소(Quarantine), 환경 설정(Configuration) 등의 기능을 사용할 수 있습니다. 프로그램 상태에서는 아래와 같이 DB 상황 및 진단 상황을 살펴볼 수 있으며, 수동으로 업데이트를 진행할 수 있습니다.

Emergency Kit Scanner 메인 화면

중요 기능인 수동 검사(Scan PC)의 메인 화면입니다. 빠른 검사(Quick Scan), 지능형 검사(Smart Scan), 세부 검사(Deep Scan), 사용자 지정 검사(Custom Scan) 등으로 구성되어 있습니다.

각각의 검사는 아래와 같이 검사를 수행합니다.

- Quick Scan : 현재 활성화된 프로세스 및 스파이웨어, 쿠키 등을 검사
- Smart Scan : Quick 검사와 함께 프로그램 폴더 및 윈도우 폴더 등 시스템 주요 경로를 추가 검사
- Deep Scan : 시스템의 모든 하드 드라이브를 검사
- Custom Scan : 사용자가 지정한 항목만을 검사

좌하단부의 "Manage whitelist"를 클릭하면 검사지 제외할 항목을 설정할 수 있습니다.

검사 제외 설정

다만, 유료 제품인 Anti-Malware 제품 기반이다보니 실시간 감시와 관련된 항목이 그대로 존재합니다. 검사시 사용할 부분은 위 그림에서 빨간 원이 있는 항목입니다.


다음 항목은 사용자 지정 검사에서 경로 설정과 함께 검사 설정을 조정하는 과정입니다. 이 부분은 이전 제품과 크게 차이가 없기 때문에 스샷만 올려두겠습니다. 세부적인 내용은 다음 리뷰를 참고 바랍니다.

▶ A-squared Anti-Malware 4.0 리뷰 (2) - 메인 화면 (UI) / 수동 검사

검사 환경 설정 화면

아래는 압축 파일 검사 및 휴리스틱 활성화 등 풀옵션 상태에서 검사하고 있는 화면입니다. 검사 속도는 비교적 평이한 것 같습니다.

검사 화면

검사화면 우상단의 "Actions on scan end"를 클릭하면 검사가 종료된 후 행동을 설정할 수 있습니다.

검사 종료 후 행동 설정

- Report only : 검사 후 진단 결과를 보여주고, 사용자가 직접 처리 (권장)
- Quarantine detected objects : 진단된 객체 검역소로 자동으로 이동
- Shut down PC : 검사 종료 후 시스템 종료

검사가 끝난 후에 휴리스틱으로 진단된 파일의 경우 아래와 같이 샘플 전송 과정이 존재합니다. 특별한 경우가 아니면 "yes"를 눌러줍니다.

의심 파일 전송 과정

아래는 검사 결과 화면입니다. 동일한 진단명으로 진단된 파일이나 레지스트리는 경로에 상관없이 함께 보여집니다.

검사 결과 및 파일 처리 화면

진단된 객체에서 악성코드나 악성코드로 의심되는 객체가 있다면 하단부의 "Quarantine selected objects"나 "Delete selected objects"를 통해 검역소 이동과 삭제 등의 처리를 할 수 있습니다. 

참고로 진단된 객체 92개 중 23개가 오진이었습니다. 이중 10여개는 일반 프로그램을 포터블화 한것을 진단한 것이고 나머지는 정상 파일에 대한 오진이었습니다. 진단율과 함께 오진율도 상당히 높은 제품임으로 가급적 검역소 이동을 통해 정상 파일의 삭제 등을 방지하시기 바랍니다.


아래는 검역소 화면입니다.

검역소

다음은 일반 설정 메뉴로 검역소 재검사 및 언어 변경(※한글 미지원), 업데이트 설정등을 조정합니다.

(2) Commandline Scanner

---

Commandline 검사는 아래 그림처럼 사용자가 직접 명령어를 입력하여 검사를 할 수 있는 기능입니다. GUI 기반의 검사보다 사용자가 세부적인 검사 설정을 할 수 있으나, 일반적으로는 사용할 필요가 거의 없으니 스샷으로만 남깁니다.

커맨트 기반 수동 검사

※ 최초 업데이트나 수동 검사가 끝난 후 아래와 같은 광고들이 나올 때가 있는데, 이는 그냥 무시하셔도 됩니다. "Close", "Cancle"을 눌러 넘어갑니다.

3. Hijack Free : 시스템 분석

Hijack Free 제품은 이전 A-squred Anti-Malware 제품을 리뷰하며 자세히 살펴봤습니다. 버전이 올라가면서 다소 변경된 부분도 있지만 기본적으로 크게 변한 부분은 없기 때문에 이전 리뷰로 대체하도록 하겠습니다.

- A-squared Anti-Malware 4.0 리뷰 (6-1) - HijackFree
- A-squared Anti-Malware 4.0 리뷰 (6-2) - HijackFree

4. BlitzBlank : 특정 객체 강제 삭제

악성코드나 메모리에 로딩되어 사용중인 프로세스 또는 파일들은 윈도우 탐색기의 삭제 기능으로 제거가 안될 때가 많습니다. 이러한 객체들을 삭제하기 위해 "Unlocker"같은 프로그램을 사용할 때가 많은데, Emsisoft에서도 BliitzBlank라는 unlocker와 비슷한 기능을 제공합니다.

BliitzBlank는 파일·폴더·레지스트리·드라이버 등의 삭제와 비활성화 기능을 제공하며, 특이하게도 특정 실행 파일을 강제로 실행하는 기능도 갖고 있습니다. 그러나 unlocker와 달리 모든 삭제 또는 백업 기능이 재부팅 과정에서만 이루어집니다. 즉, 특정 객체를 삭제 또는 비활성화하려하는 경우 반드시 재부팅 과정을 거쳐야함으로 중요한 작업을 하고 있을 경우 작업을 모두 마친 후에 진행을 해야합니다.

Emergency Kit에서 BlitzBlank를 실행시 위와 같은 메뉴를 볼 수 있는데, 이는 Kit내의 버전이 낮아서 나타나는데, 버그가 있어 새로운 버전으로 교체해도 계속 나타납니다.

아래는 BlitzBlank를 실행한 화면입니다.

BlitzBlank 메인화면

강제 삭제하거나 실행할 수 있는 객체는 아래와 같습니다.

- File : 일반 파일 (삭제, 더미 파일로 변경, 이동)
- Folder : 일반 폴더 (삭제, 더미 파일로 변경, 이동)
- Regkey : 레지스트리 키 (삭제, 백업)
- RegValue : 레즈스트리의 키 내부값 (삭제, 백업)
- Driver : 드라이버 모듈 (삭제 x, 비활성화)
- Execute : 재부팅 후 강제 실행

Script 항목은 사용자가 지정한 항목을 스크립트화해서 보여주는 것으로 어떤 객체들을 어떤 식으로 처리하는지를 보여줍니다.

"Execute Now"를 클릭하면 아래와 같은 경고 팝업이 활성화됩니다. 여기서 "예"를 클릭하면 강제로 재부팅이 바로 됨으로 반드시 주요 작업을 마친 후에 실행하시기 바랍니다.

아래는 서비스 항목으로 실행되는 파일을 강제로 삭제하고 더미 파일을 생성한 것을 보여줍니다. 좌측이 원본 파일인 애드어웨어 관련 파일이고, 우측은 더미가 생성된 것을 보여줍니다.

한가지 주의하실 점은 USB에서 강제 삭제 등을 시행할 경우 시스템에 따라 문제가 생길 수 있다는 점입니다. 문제가 발생되는 이유는 정확하게 모르겠습니다. 가급적 해당 기능은 일반 파티션에 저장한 후 사용하시기 바랍니다.

---

개인적으로 이카루스 제품을 그리 신뢰하지는 않습니다. 매우 많은 파일을 수집·진단하는 기능은 탁월하나 타 제품의 진단명 사용, 동일 변종에 대해 오락가락하는 진단명 및 다양한 파일에 대한 오진 등 안정성이 매우 떨어진다 보기 때문입니다. 사실 이슈가 되는 특정 샘플에 대한 진단도 그리 빠른 편은 아닙니다.

최근에 VB100 인증에 성공하는 등 외국에서는 나름 안정화에 많은 노력을 기울인 것으로 보이지만 위에서 간단하게 예를 든 것처럼 서비스 되지 않는 지역에서까지 제대로 안정화를 이룬 것은 아닙니다.

그럼에도 Emergency Kit는 매우 유용해 보입니다. 상황에 따라 진단과 오진율이 오락가락 하지만, 사용하고 있는 주 안티바이러스를 보조할 수 있는 소위 보조 백신으로 쓸만하고, 포터블화해서 제품을 제공하기 때문에 안정성이 확보되지 않은 외부 시스템에서 사용하기도 쉽기 때문입니다. 또한 시스템 분석과 강제 삭제 등 부가 기능도 유용하게 사용할 수 있습니다.

따라서 어느 정도 진단된 파일에 대해 정상·악성 의심 여부를 가릴 수 있는 사용자에게 추천할만한 제품이라 생각합니다.


- 이상입니다.