무료로 파일 단위 악성코드 검사를 수행하는 Virustotal 등의 온라인 서비스를 모아봤습니다.
출처 :
바이러스 제로2 카페 및 자체 조사

저는 보안 전문가가 아니며 해당 프로그램에 대해 전문적이고 기술적인 지식을 가지고
이 글을 작성하는 것이 아니므로, 이 글의 일부 내용에는 오류가 있을 수 있음을 밝힙니다.





이전에 포스팅한 무료 악성코드 검사 도구 모음은 액티브x 등을 이용하여 사용자 시스템에 어플리케이션을 설치하는 방식이었습니다. 또한, 일반 보안 제품(Anti-Virus)와 마찬가지로 사용자 시스템을 모두 검사하는 방식이었습니다. 이러한 제품들은 시스템에 설치된 보안 제품을 보조하는 방식으로 사용하기에는 좋지만 몇몇 악성코드로 의심되는 소수의 파일을 검사하기에는 다소 불편한 점이 있습니다.

이와 달리 이번에 포스팅할 서비스들은 단일 파일의 악성여부를 검사하는 방식입니다.  

여러 보안업체들로부터 지원받은 엔진을 네트워크 상에서 커맨트 라인 검사 방식으로, 단계적으로 구동하여 검사합니다. 따라서 사용자는 20-30여가지의 보안 제품을 한꺼번에 사용하여 파일을 검사하는 효과를 갖게됩니다.
 
주의할 점은 바토의 결과가 파일의 악성 여부를 100% 확실하게 판단해줄 수는 없다는 것입니다. 모든 또는 대다수의 보안 제품에서 진단한다 하더라도 "오진"의 가능성이 존재하며, 반대로 모든 또는 대다수의 제품에서 진단하지 않는다 하여도 해당 파일이 악성코드일 가능성이 있습니다.

결국, 바토를 비롯한 멀티엔진 검색 웹서비스들은 악성 여부를 알기위해 일차적으로 사용하는 것으로, 정확한 정보는 보안 업체에 신고해서, 전문가가 직접 분석한 자료를 통해 확인할 수 있습니다.



※ 웹을 이용한 파일 검사 서비스의 한계는 아래와 같습니다.

① 한 개의 파일 또는 압축 파일만을 검사할 수 있다.
② 사용되는 보안 제품의 엔진이 구형 엔진인 경우가 있어 휴리스틱 기능 등 진단 성능에서 차이가 발생
③ 일부 제품은 압축파일 내부 검사가 이루어지지 않는다. -> 따라서 가급적 원본 파일 그대로 업로드
④ 시그니처 탐지 방식만을 사용함으로 행동기반탐지기능으로 인한 탐지 결과는 알 수 없다.
⑤ 올리는 파일의 용량에 제한이 있다.


이러한 단점에도 불구하고 파일 검사 서비스는 여러 보안 제품의 진단 결과를 한눈에 볼 수 있으며, 최근에는 PE 분석 등 고급 분석 정보도 제공하기 때문에 상당히 유용한 서비스입니다.

파일 검사 사이트는 아래와 같습니다. 나열 순서는 개인적인 추천도에 따릅니다.

1. Virus Total         -  http://www.virustotal.com
2. NoVirusThank      -  http://vscan.novirusthanks.org/
3. Virusscan jotti     -  http://virusscan.jotti.org/
4. FilterBit             -  http://www.filterbit.com/
5. VirusScan         
http://www.virscan.org/

▶ 추가
6. virus.org           - 
http://scanner.virus.org/
7. viruschief          -  http://www.viruschief.com/

최근들어 가장 유명하고 자주 사용되는 파일 검사 서비스인 바이러스토탈(VirusTotal)에 대해 살펴보면 다른 서비스들의 사용에도 크게 어려움이 없으리라 생각됩니다. 

서로 장단점이 있긴 하지만 타 서비스에 비해 바이러스 토탈의 진단이 대체로 정확하다고 여겨집니다. 각 사이트별로 동일한 제품에서 진단하는 결과(한 쪽에서는 진단, 다른 쪽에서는 미진단)가 다를 때가 존재합니다. 물론 각 사이트에서 제공하는 엔진 버전에 차이가 있을 수 있으나 DB 업데이트가 동일할 경우, 진단이 안되는 것은 내부의 검사 시스템 불안정 등의 문제로 인해 나타날 때가 많습니다. 실제로 현재 데스크탑에 설치된 제품에서 진단하고 있을 경우에 바토나 NovirusThank를 제외한 나머지 사이트에서는 진단이 안되는 경우가 종종 있는 것을 확인할 수 있습니다.


1. Virus Total : 가장 추천


Hispasec Sistemas이라는 독립 민간 단체에서 제공 중인 바이러스토탈(이하 바토)는 현재 온라인 상에서 이루어지는 가장 많은 41(10.5.3 현재)가지의 보안 제품엔진을 갖고 있으며, 국내 보안 제품도 3 제품이나 포함되어 있어 국내외 제품의 진단을 한번에 파악할 수 있다는 장점이 있습니다. 또한, 웹사이트도 가장 안정적이고, 사용하는 엔진들도 비교적 최신 엔진을 사용하고 있으며 검사 속도도 상당히 빠른 편입니다. 현재 사용되고 있는 보안 제품의 엔진과 버전, DB는 진단 결과 스크린 샷을 참고하시기 바랍니다.

업로드 파일의용량은 32MB로 제한됩니다.


바토의 기본화면입니다. 온라인 검사 사이트 중에서 광고나 기타 잡다한 메뉴가 없는 가장 깔끔한 레이 아웃을 가지고 있습니다.

바토에 파일을 업로드할 때 사용하는 보안 제품에서 해당 파일을 진단하고 있을 경우, 업로드시에 파일 접근이 이루어지기 때문에 이를 차단할 수 있습니다. 이런 경우에는 실시간 감시를 잠시 중단 하고 파일 업로드를 하시면 됩니다.



업로드한 파일이 내가 최초로 검사한 파일이면 바로 검사 화면으로 넘어가나 누군가가 과거에 검사한 경우이면 아래와 같은 화면이 나타납니다.



이 경우 설명을 위해 '지금 다시 검사하기'를 눌러보겠습니다.

검사는 특정한 순서가 있는 것이 아니라 각 엔진 중에서 먼저 검사된 결과부터 사용자에게 보여집니다. 그러나 검사가 최종적으로 완료되면 알파벳 순서대로 정리가 되어 보고가 됩니다.

검사 화면이 다소 길지만 여기서 다 보이도록 하겠습니다.



다시 언급하지만 보안 제품들이 진단을 못한다하여 정상파일이 아니고, 대부분의 보안 제품에서 진단한다고 해서 반드시 악성코드는 아닙니다. 악성코드일 확율이 크다 적다를 구분한다고 생각하여 주시기 바랍니다.

그러나 바이러스토탈을 자주 사용하다보면 일종의 감이 생기긴 합니다. ^^

바이러스토탈의 좋은 점은 악성코드에 따라 분석되는 경우가 다르지만, 단순히 보안 제품 엔진의 진단 결과만이 아니라 그 이후에 나오는 파일 고유 해쉬값과 각종 분석툴의 결과까지 보여준다는 점입니다. 추가적으로 제공되는 정보는 상당히 다양한 종류가 제공되며, 전문가들에게도 기초적이면서도 유용한 정보입니다. 

바이러스 토탈은 이메일 전송도 가능하며 바토에서 제공하는 파일을 통해 아래와 같이 데스크탑 상에서바로 전송이 가능합니다. 역시 파일 용량은 제한이 있으나, 파일을 여러개 보내야 할 경우 웹에서 하는 것보다, 이를 통해 전송하는 것이 상당히 편하므로 참고하시기 바랍니다.



위의 전송기를 다운받아 실행시키어 아래와 같은 절차로 설치합니다. 



설치가 끝나고 업로드하고 싶은 파일을 마우스로 오른쪽 클릭하여 보내기 메뉴에서 바토를 고르면
아래와 같이 전송이 되어 사용하는 웹브라우저에 자동으로 바이러스토탈 웹사이트의 검사페이지가
활성화 됩니다.



바이러스 토탈은 또한 24시간 동안 바토에 업로드된 파일들의 진단 통계 결과도 보여줍니다.


참고로 바토에서 현재 안랩의 V3는 압축파일 검사를 지원하지 않고 있으며, 안티스파이웨어인 스파이제로의 DB가 지원되지 않고 있습니다. 최근에 안티바이러스와 안티스파이웨어의 엔진이 완전히 통합되어 완벽히 TS엔진으로만 개인용 제품들은 구동되고 있습니다. 바이러스토탈의 엔진도 변화가 있을 듯 합니다만, 지금의 바토 엔진에서는 SZ에서 진단되는 결과를 볼 수 없다는 것을 참고하시기 바랍니다.


2. NovirusThank


비교적 최근에 만들어진 사이트로 사용되는 엔진 버전이 비교적 최신인 경우가 많습니다. 한글 지원은 안되나 사용법은 바토와 비슷합니다.

메인 페이지 업로드 화면

                                                       

검사 결과

                                                            


3. Virusscan jotti -  진단 속도가 다소 느리지만 믿을만한 서비스


(공교롭게도 판다 제품의 진단이 바토와 다른 경우가 스크린샷에 찍혔습니다.)

메인 페이지 업로드 화면

                                                       

검사 결과

                                       
                      
4. FilterBit


아직 베타 서비스 중이며, 사용되는 엔진이 상당히 소수입니다. 앞서 언급한 서비스들이 트래픽 과도 등의 이유로 접속이 불가능할 때 사용하면 좋습니다.

메인 페이지 업로드 화면

                                                 

검사 결과

                                                        


5. VirusScan 


과거에는 상당히 많이 사용되던 사이트였으나 다소 불안정하고, 진단등에 문제가 많아 최근에는 사용이 뜸한 서비스입니다.
 

메인 페이지 업로드 화면

                                                     

결과 정보

                                                                

6.viruschief 


업로드 용량 제한에 대한 정보가 없습니다만 다른 서비스들과 비슷하리라 생각됩니다.

메인 화면

                                                             


결과 보기

                                                           

7. Virus.org 


파일 업로드 가능 용량이 5MB로 다소 적습니다. 다만 아래의 Advansed scan 메뉴로 보안 업체에 샘플을 미제출하거나, 자신의 이메일로 결과를 보내주도록 설정할 수 있습니다. 
※ 스캔 속도가 상황에 따라 매우 느립니다.

메인 화면

                                                              

                                    고급 전송 메뉴 화면 - 메인 화면의 Advanced Scan 클릭

결과 보기

                                                                




- 이상입니다.
저작자 표시 비영리 변경 금지
신고
Posted by 물여우

댓글을 달아 주세요

  1. Favicon of http://hummingbird.tistory.com BlogIcon 벌새 2009.04.08 00:59 신고  댓글주소  수정/삭제  댓글쓰기

    조금 더 추가할께요.^^

    http://scanner.virus.org/
    http://www.viruschief.com/

    이런 서비스도 있습니다.

    • Favicon of http://arrestlove.tistory.com BlogIcon 물여우 2009.04.08 08:58 신고  댓글주소  수정/삭제

      virus.org는 지금 들어가보니 접속이 가능하군요. 이 글 쓸때만해도 몇일 동안 접속이 안되서 서비스를 내렸나하고 생각하고 있었습니다. 추가할께요~

  2. Favicon of http://wezard4u.tistory.com BlogIcon Sakai 2009.04.08 11:18 신고  댓글주소  수정/삭제  댓글쓰기

    잘 정리 된것 잘 보고 갑니다.물여우님처럼 해당 부분은 일단 우선적으로 하고 진짜 의심되는 파일은 보안 업체에 신고하는 방법이 좋을 것 같습니다.

  3. Favicon of http://blog.naver.com/hahaj1 BlogIcon 역지사지 2009.04.08 21:42 신고  댓글주소  수정/삭제  댓글쓰기

    정리가 너무 잘 된 것 같네요. 덕분에 저도 참조합니다.^^

    참.. 본문과는 상관없지만,,
    캡쳐한 이미지는 png로 저장하시는 것이 좋을 것 같습니다. jpg는 흰색 바탕에 빨간색 글씨가 상당히 뭉개지더라구요...

    • Favicon of http://arrestlove.tistory.com BlogIcon 물여우 2009.04.08 22:09 신고  댓글주소  수정/삭제

      티스토리는 그림의 가로 길이가 640이 넘어가면 자동으로 리사이징 되더군요. 그때 파일 포맷과 상관없이 약간씩 뭉게지는 문제가 발생해서, 이왕 뭉게지는 것 페이지 로딩이나 빨리할 겸 jpg로 포맷을 바꾸었더니 더 심하게 뭉게지는듯 합니다. 용량이 좀 커지더라도 다음부터는 jpg보다는 png로 해봐야 겠네요.

    • Favicon of http://blog.naver.com/hahaj1 BlogIcon 역지사지 2009.04.08 23:27 신고  댓글주소  수정/삭제

      티스토리에 이미지 올리면 자동 리사이즈되나요? 금방 테스트(1600x1200)해 보니 그대로 잘 올라가던데요.. 다만 새관리 화면에서 보니까 이상하게도 해상도 정보가 잘못된 것 같더군요. 그냥 무시하고 올리니 원래 사이즈대로 첨부되었구요. 구관리로 들어가보니 원래 해상도로 나왔습니다. 참고하세요..^^

    • Favicon of http://arrestlove.tistory.com BlogIcon 물여우 2009.04.09 00:10 신고  댓글주소  수정/삭제

      사이즈는 그래도 올라갑니다. 다만 페이지에서 클릭 등의 행위없이 그냥 볼 때는 이 때 페이지의 가로길이에 맞춰서 리사이징되어 표현됩니다. 클릭하면 원래 사이즈로 볼 수 있는 것 같은데 페이지 자체에서는 뭉개지는 것 같습니다. 제가 올린 이미지를 클릭해서 보시면 원본 모습을 볼 수 있습니다. 이미지를 애초부터 작게만들면 되겠지만 캡쳐후에 원본 이미지를 보여주는 것이 좋게 생각되어서 그대로 올리기 때문에 현재는 기본 페이지상에서는 뭉개지는 것은 어쩔 수가 없네요;;

    • Favicon of http://blog.naver.com/hahaj1 BlogIcon 역지사지 2009.04.09 21:58 신고  댓글주소  수정/삭제

      아.. 제가 잘 못 이해를 했었군요...ㅠ.ㅠ

  4. Favicon of http://flashaconite.tistory.com BlogIcon 바곳 2009.04.10 21:49 신고  댓글주소  수정/삭제  댓글쓰기

    아주 간혹 바이러스 토탈과 VirusSacn 둘 다가 업로드가 안되는 날이 있으면
    전전긍긍하곤 했는데 물여우님이 소개해주신 다른 곳들 덕분에
    한 숨 돌릴 듯 싶네요 ㅎㅎ
    (오늘이 그런 날이었습니다...쿨럭 ㅠ.ㅠ;;)

    • Favicon of http://arrestlove.tistory.com BlogIcon 물여우 2009.04.10 22:37 신고  댓글주소  수정/삭제

      가끔 바토가 안되면 너무 불편합니다. 다른 사이트들은 분석에 시간도 걸리고 엔진의 수도 적고... 말씀하신 것처럼 보조용으로 써야할 듯 합니다.

    • Favicon of http://cafe.naver.com/portableappz2 BlogIcon 자칼 2010.05.05 14:20 신고  댓글주소  수정/삭제

      추억의 바이러스 토탈!
      훗, 옛날 생각 나네요.

      // 제가 블로그 항상 모니터링하고 있답니다.
      지금껏 RSS만 구독하다가 모처럼 댓글이나 남기려고 와 봤는데 마침 바곳 님도 계시네요.
      (오랜만에 뵙는군요, 바곳 님 반가워요!)
      앞으로도 자주 찾아와서 댓글이라도 한 개씩 남기고 갈게요~
      쿨럭, 그럼 이만... ^-^;; //

  5. Favicon of http://arrestlove.tistory.com BlogIcon 물여우 2010.05.05 20:13 신고  댓글주소  수정/삭제  댓글쓰기

    자칼님!! 오랜만입니다. ^^
    카페에서 못본지 꽤 되었네요. 생존 신고 반갑습니다! 자주자주 뵙길 바랍니다. :)

  6. Favicon of http://qtotpz.tistory.com BlogIcon 윤뽀 2010.05.12 15:33 신고  댓글주소  수정/삭제  댓글쓰기

    물여우님도 벌새님처럼 유용한 정보를 포스팅해주시는군요 ^^
    종종 들러야겠습니다
    와우~!

  7. Favicon of http://hepaticboy.tistory.com BlogIcon 이끼소년 2011.02.15 16:17 신고  댓글주소  수정/삭제  댓글쓰기

    NovirusThank 사이트는 지금 안되나요?
    수고하십니다. ^_^

    • Favicon of http://arrestlove.tistory.com BlogIcon 물여우 2011.02.15 16:28 신고  댓글주소  수정/삭제

      http://vscan.novirusthanks.org/
      여기로 사이트 주소가 변경되었습니다. 나중에 다른 사이트들의 변경 사항도 살펴본 후 업데이트하겠습니다.




티스토리 툴바