▶ 보안 관련 정보 및 팁

악성코드 확인 방법 1 : 무료 멀티엔진 파일 검사 서비스 모음

물여우 2010. 5. 4. 01:53
반응형

무료로 파일 단위 악성코드 검사를 수행하는 Virustotal 등의 온라인 서비스를 모아봤습니다.
출처 :
바이러스 제로2 카페 및 자체 조사

저는 보안 전문가가 아니며 해당 프로그램에 대해 전문적이고 기술적인 지식을 가지고
이 글을 작성하는 것이 아니므로, 이 글의 일부 내용에는 오류가 있을 수 있음을 밝힙니다.





이전에 포스팅한 무료 악성코드 검사 도구 모음은 액티브x 등을 이용하여 사용자 시스템에 어플리케이션을 설치하는 방식이었습니다. 또한, 일반 보안 제품(Anti-Virus)와 마찬가지로 사용자 시스템을 모두 검사하는 방식이었습니다. 이러한 제품들은 시스템에 설치된 보안 제품을 보조하는 방식으로 사용하기에는 좋지만 몇몇 악성코드로 의심되는 소수의 파일을 검사하기에는 다소 불편한 점이 있습니다.

이와 달리 이번에 포스팅할 서비스들은 단일 파일의 악성여부를 검사하는 방식입니다.  

여러 보안업체들로부터 지원받은 엔진을 네트워크 상에서 커맨트 라인 검사 방식으로, 단계적으로 구동하여 검사합니다. 따라서 사용자는 20-30여가지의 보안 제품을 한꺼번에 사용하여 파일을 검사하는 효과를 갖게됩니다.
 
주의할 점은 바토의 결과가 파일의 악성 여부를 100% 확실하게 판단해줄 수는 없다는 것입니다. 모든 또는 대다수의 보안 제품에서 진단한다 하더라도 "오진"의 가능성이 존재하며, 반대로 모든 또는 대다수의 제품에서 진단하지 않는다 하여도 해당 파일이 악성코드일 가능성이 있습니다.

결국, 바토를 비롯한 멀티엔진 검색 웹서비스들은 악성 여부를 알기위해 일차적으로 사용하는 것으로, 정확한 정보는 보안 업체에 신고해서, 전문가가 직접 분석한 자료를 통해 확인할 수 있습니다.



※ 웹을 이용한 파일 검사 서비스의 한계는 아래와 같습니다.

① 한 개의 파일 또는 압축 파일만을 검사할 수 있다.
② 사용되는 보안 제품의 엔진이 구형 엔진인 경우가 있어 휴리스틱 기능 등 진단 성능에서 차이가 발생
③ 일부 제품은 압축파일 내부 검사가 이루어지지 않는다. -> 따라서 가급적 원본 파일 그대로 업로드
④ 시그니처 탐지 방식만을 사용함으로 행동기반탐지기능으로 인한 탐지 결과는 알 수 없다.
⑤ 올리는 파일의 용량에 제한이 있다.


이러한 단점에도 불구하고 파일 검사 서비스는 여러 보안 제품의 진단 결과를 한눈에 볼 수 있으며, 최근에는 PE 분석 등 고급 분석 정보도 제공하기 때문에 상당히 유용한 서비스입니다.

파일 검사 사이트는 아래와 같습니다. 나열 순서는 개인적인 추천도에 따릅니다.

1. Virus Total         -  http://www.virustotal.com
2. NoVirusThank      -  http://vscan.novirusthanks.org/
3. Virusscan jotti     -  http://virusscan.jotti.org/
4. FilterBit             -  http://www.filterbit.com/
5. VirusScan         
http://www.virscan.org/

▶ 추가
6. virus.org           - 
http://scanner.virus.org/
7. viruschief          -  http://www.viruschief.com/

최근들어 가장 유명하고 자주 사용되는 파일 검사 서비스인 바이러스토탈(VirusTotal)에 대해 살펴보면 다른 서비스들의 사용에도 크게 어려움이 없으리라 생각됩니다. 

서로 장단점이 있긴 하지만 타 서비스에 비해 바이러스 토탈의 진단이 대체로 정확하다고 여겨집니다. 각 사이트별로 동일한 제품에서 진단하는 결과(한 쪽에서는 진단, 다른 쪽에서는 미진단)가 다를 때가 존재합니다. 물론 각 사이트에서 제공하는 엔진 버전에 차이가 있을 수 있으나 DB 업데이트가 동일할 경우, 진단이 안되는 것은 내부의 검사 시스템 불안정 등의 문제로 인해 나타날 때가 많습니다. 실제로 현재 데스크탑에 설치된 제품에서 진단하고 있을 경우에 바토나 NovirusThank를 제외한 나머지 사이트에서는 진단이 안되는 경우가 종종 있는 것을 확인할 수 있습니다.


1. Virus Total : 가장 추천


Hispasec Sistemas이라는 독립 민간 단체에서 제공 중인 바이러스토탈(이하 바토)는 현재 온라인 상에서 이루어지는 가장 많은 41(10.5.3 현재)가지의 보안 제품엔진을 갖고 있으며, 국내 보안 제품도 3 제품이나 포함되어 있어 국내외 제품의 진단을 한번에 파악할 수 있다는 장점이 있습니다. 또한, 웹사이트도 가장 안정적이고, 사용하는 엔진들도 비교적 최신 엔진을 사용하고 있으며 검사 속도도 상당히 빠른 편입니다. 현재 사용되고 있는 보안 제품의 엔진과 버전, DB는 진단 결과 스크린 샷을 참고하시기 바랍니다.

업로드 파일의용량은 32MB로 제한됩니다.


바토의 기본화면입니다. 온라인 검사 사이트 중에서 광고나 기타 잡다한 메뉴가 없는 가장 깔끔한 레이 아웃을 가지고 있습니다.

바토에 파일을 업로드할 때 사용하는 보안 제품에서 해당 파일을 진단하고 있을 경우, 업로드시에 파일 접근이 이루어지기 때문에 이를 차단할 수 있습니다. 이런 경우에는 실시간 감시를 잠시 중단 하고 파일 업로드를 하시면 됩니다.



업로드한 파일이 내가 최초로 검사한 파일이면 바로 검사 화면으로 넘어가나 누군가가 과거에 검사한 경우이면 아래와 같은 화면이 나타납니다.



이 경우 설명을 위해 '지금 다시 검사하기'를 눌러보겠습니다.

검사는 특정한 순서가 있는 것이 아니라 각 엔진 중에서 먼저 검사된 결과부터 사용자에게 보여집니다. 그러나 검사가 최종적으로 완료되면 알파벳 순서대로 정리가 되어 보고가 됩니다.

검사 화면이 다소 길지만 여기서 다 보이도록 하겠습니다.



다시 언급하지만 보안 제품들이 진단을 못한다하여 정상파일이 아니고, 대부분의 보안 제품에서 진단한다고 해서 반드시 악성코드는 아닙니다. 악성코드일 확율이 크다 적다를 구분한다고 생각하여 주시기 바랍니다.

그러나 바이러스토탈을 자주 사용하다보면 일종의 감이 생기긴 합니다. ^^

바이러스토탈의 좋은 점은 악성코드에 따라 분석되는 경우가 다르지만, 단순히 보안 제품 엔진의 진단 결과만이 아니라 그 이후에 나오는 파일 고유 해쉬값과 각종 분석툴의 결과까지 보여준다는 점입니다. 추가적으로 제공되는 정보는 상당히 다양한 종류가 제공되며, 전문가들에게도 기초적이면서도 유용한 정보입니다. 

바이러스 토탈은 이메일 전송도 가능하며 바토에서 제공하는 파일을 통해 아래와 같이 데스크탑 상에서바로 전송이 가능합니다. 역시 파일 용량은 제한이 있으나, 파일을 여러개 보내야 할 경우 웹에서 하는 것보다, 이를 통해 전송하는 것이 상당히 편하므로 참고하시기 바랍니다.



위의 전송기를 다운받아 실행시키어 아래와 같은 절차로 설치합니다. 



설치가 끝나고 업로드하고 싶은 파일을 마우스로 오른쪽 클릭하여 보내기 메뉴에서 바토를 고르면
아래와 같이 전송이 되어 사용하는 웹브라우저에 자동으로 바이러스토탈 웹사이트의 검사페이지가
활성화 됩니다.



바이러스 토탈은 또한 24시간 동안 바토에 업로드된 파일들의 진단 통계 결과도 보여줍니다.


참고로 바토에서 현재 안랩의 V3는 압축파일 검사를 지원하지 않고 있으며, 안티스파이웨어인 스파이제로의 DB가 지원되지 않고 있습니다. 최근에 안티바이러스와 안티스파이웨어의 엔진이 완전히 통합되어 완벽히 TS엔진으로만 개인용 제품들은 구동되고 있습니다. 바이러스토탈의 엔진도 변화가 있을 듯 합니다만, 지금의 바토 엔진에서는 SZ에서 진단되는 결과를 볼 수 없다는 것을 참고하시기 바랍니다.


2. NovirusThank


비교적 최근에 만들어진 사이트로 사용되는 엔진 버전이 비교적 최신인 경우가 많습니다. 한글 지원은 안되나 사용법은 바토와 비슷합니다.

메인 페이지 업로드 화면

                                                       

검사 결과

                                                            


3. Virusscan jotti -  진단 속도가 다소 느리지만 믿을만한 서비스


(공교롭게도 판다 제품의 진단이 바토와 다른 경우가 스크린샷에 찍혔습니다.)

메인 페이지 업로드 화면

                                                       

검사 결과

                                       
                      
4. FilterBit


아직 베타 서비스 중이며, 사용되는 엔진이 상당히 소수입니다. 앞서 언급한 서비스들이 트래픽 과도 등의 이유로 접속이 불가능할 때 사용하면 좋습니다.

메인 페이지 업로드 화면

                                                 

검사 결과

                                                        


5. VirusScan 


과거에는 상당히 많이 사용되던 사이트였으나 다소 불안정하고, 진단등에 문제가 많아 최근에는 사용이 뜸한 서비스입니다.
 

메인 페이지 업로드 화면

                                                     

결과 정보

                                                                

6.viruschief 


업로드 용량 제한에 대한 정보가 없습니다만 다른 서비스들과 비슷하리라 생각됩니다.

메인 화면

                                                             


결과 보기

                                                           

7. Virus.org 


파일 업로드 가능 용량이 5MB로 다소 적습니다. 다만 아래의 Advansed scan 메뉴로 보안 업체에 샘플을 미제출하거나, 자신의 이메일로 결과를 보내주도록 설정할 수 있습니다. 
※ 스캔 속도가 상황에 따라 매우 느립니다.

메인 화면

                                                              

                                    고급 전송 메뉴 화면 - 메인 화면의 Advanced Scan 클릭

결과 보기

                                                                




- 이상입니다.
반응형