- 악성코드 확인 방법 1 : 무료 멀티엔진 파일 검사 서비스 모음
- 바이러스 토탈에 포함된 제품들의 국적 정보
- 바이러스 토탈 해쉬 검색 쿼리 추가 방법 및 VirusTotal Uploader
국내외에서 많이 사용되는 악성코드 감별 서비스를 제공하는 바이러스 토탈의 홈페이지가 개편되었습니다. 바이러스 토탈은 43개에 이르는 많은 보안 제품들의 진단 여부를 공개해주어 해당 파일의 악성 여부를 판별해주고 있습니다. 바이러스 토탈에 대한 자세한 내용은 관련 글을 참고 바랍니다.
참고로 업로드 용량이 30MB에서 32MB가로 2MB 증가했습니다... 또한 옵션으로만 제공되던 보안 서버 연결이, 이제부터는 기본적으로 제공됩니다. 따라서 도메인 작성시 'https'로 접속을 하셔야합니다. 아직까지는 기존 'http'을 통해 접속하면 자동으로 보안 서버 연결로 리다렉인션됩니다.
먼저 홈페이지의 메인 화면이 아래와 같이 변경 되었습니다.
기본 메뉴 항목들의 위치가 바뀌고, 특히 URL 검사와 해쉬값 검사 버튼이 하단에 따로 구성되었습니다.
하단 부분의' Scan an URL'과 'Search' 버튼을 누르면 아래와 같이 입력 창이 변경됩니다.
지난 개편에서 생긴 커뮤니티 기능과 통계 항목은 상단의 검은색 바에 위치하고 있습니다.
(1) 파일 검사
파일 업로드를 할 때는 메인 화면의 'Choose File' 버튼을 눌러, 파일을 선택하면 됩니다.
이전과 마찬가지로 이미 검사된 객체가 업로드 된 경우 아래와 같이 '재분석 시작' 및 '이전 분석 정보 보기'를 선택할 수 있습니다.
(※ 해쉬값을 통해 검사할 때는 여전히 이전 분석만을 볼 수 있습니다.)
분석 화면은 아래와 같습니다. 크게 '파일 정보', '일반 시그니처 진단 정보', '추가 파일 분석 정보' 등 3 가지로 구성되어 있습니다.
먼저 파일 정보는 아래와 같습니다.
기본적인 진단 내역과 파일 분석된 시간 정보가 제공됩니다. 또한 이전과 달리 파일의 해쉬값과 파일 크기 등의 정보가 상단에 위치하고 있습니다. 화면이 기본적으로 접혀있는데, 화살표를 클릭하면 모든 정보를 볼 수 있습니다.
우측의 평판 정보는 사용자가 직접 참여하여 만드는 것입니다. 로그인이 필요한 코멘트와 달리, 평판 정보는 비로그인 사용자도 바로 평판 정보를 접수시킬 수 있습니다. 악성코드면 손가락이 아래로 된 것을 클릭하고, 정상 파일이면 손가락이 위로 된 것을 클릭하면 됩니다. 아직까지 해당 기능을 사용하는 사용자가 적다보니 큰 도움이 안 되고 있긴 합니다.
아래는 시그니처 진단 정보 부분입니다.
이전보다 조금 더 직관적으로 변했습니다. '진단 엔진', '진단명', '엔진 버전', '업데이트' 등의 정보가 제공됩니다. 기존의 html 방식으로 보기에서 개선된 형태라 이전에 존재하던 보기 방식 변경 기능은 사라졌습니다.
마지막으로 사용자들의 덧글이 달리는 'Comments' 항목과 시그니처 진단 외에 파일 자체를 분석한 파일 분석 결과를 보여주는 'Additional information' 항목입니다.
약 10여개의 외부 분석 시스템의 분석 정보를 보여줍니다. 화면에는 나타나지 않았지만 시만텍의 평판 정보도 포함됩니다.
또한 해당 정보 외에 바이러스 토탈에 업로드 된 파일의 최초 업로드 시기와 가장 최근 업로드 시기 정보를 보여줍니다. 그리고 어떤 이름으로 업로드 되었는지 알 수 있도록 최대 25개까지 업로드된 파일의 이름을 보여줍니다.
위 그림의 이름 정보를 보면, 보안 업체 또는 샘플을 모으는 사용자가 업로드 한 것으로 추측되는 파일명(해쉬값으로 된 이름)도 보여 흥미롭습니다. 이 기능은 동일한 파일이나 다른 다양한 이름으로 유포되는 악성코드를 판별할 때 유용할 것으로 보입니다.
(2) 해쉬값 및 태그 검사
Search 항목은 이전의 해쉬값을 검색 기능과 동일합니다. 해쉬값 검색은 기존의 분석된 파일의 진단 정보를 해쉬값을 가지고 찾는 기능입니다. 따라서 진단 정보를 빠르게 살펴볼 수 있으며, 해쉬값만 알면 실제 파일이 없어도 진단 여부를 확인할 수 있습니다. 단, 해쉬값은 가장 최근에 분석된 정보만을 보여주며, 현재 정보를 요구한 시점에서 다시 분석해주지는 않습니다. 즉, 사용자에게 제공된 정보는 업로드 경과 시간에 따라 실제 진단 정보와 다를 수 있습니다.
이와 같은 단순 해쉬값 검사 기능은 개편 전과 차이가 없지만, 이번 개편을 통해 사용자가 남긴 코멘트의 태그값을 검색하는 기능이 추가로 생겼습니다.
코멘트 하단 부분의 해쉬값(SHA256)을 클릭하면, 해당 코멘트가 작성된 파일의 진단 정보를 확인할 수 있습니다.
태그 검사는 커뮤니티 기능을 통한 자체 평판 정보를 강화시키기 위한 일환으로 보입니다. 아직까지는 커뮤니티에 가입해서 코멘트와 평판 정보를 남기는 사용자가 적다보니 큰 도움은 되지 않지만, 조금만 더 활성화되면 제품 진단값과 함께 유용한 정보가 되리라 생각됩니다.
(3) URL 검사
URL검사는 특정 사이트의 악성 여부를 다양한 URL 분석 DB를 통해 검사하는 기능입니다.
전체적인 UI는 파일 검사와 비슷하게 변경되었습니다.
모두 17개의 URL 분석 엔진을 이용해서 검사를 진행합니다. 이전에 소개한 'URLVoid' 보다 훨씬 많은 수의 분석 엔진을 갖고 있습니다. 하지만 맥아피나 노턴 등 일부 DB가 빠져 아쉬움을 남깁니다.
하단 부분에 파일 검사와 마찬가지로 추가 정보를 제공하는데, 사용하고 있는 검사 엔진의 추가 정보와 제출된 URL의 해더값 등을 제공해줍니다.
메인 화면의 'statistics' 버튼을 누르면 아래와 같이 업로드되는 파일의 통계를 볼 수 있습니다. 통계는 최근 7일 동안 업로드된 파일들을 가지고 제공됩니다.
나라별 업로드 숫자와 업로드된 파일 포맷 등의 정보를 제공합니다.
가장 많이 업로드하는 나라는 미국이고, 우리 나라는 3234개 정도로 17위에 위치하고 있습니다. 업로드된 파일 중 가장 많은 수는 윈도우 환경의 PE이고 안드로이드 설치 파일(apk)와 플래쉬(swf)도 많이 업로드 되고 있어 흥미로웠습니다.
개인적으로 과거 제공해주던 악성/정상 파일 분포 정보와, 가장 많이 나타나는 진단명 정보 등이 사라진 것이 상당히 아쉽습니다.
홈페이지 개편으로 좀 더 직관적으로 깔금하게 UI가 변경되었습니다. 또한, 파일이 분석되는 시간이 상당히 단축된 것 같습니다. 해외 서비스이다보니 업로드 속도는 여전히 느린 편이지만, 업로드 이후에 파일을 검사하는 과정을 상당히 개선시킨 것 같습니다. 이 부분은 상당히 만족스럽습니다.
개편된지 얼마 되지 않아서 현재 알 수는 없지만, 간혹 나타나던 업로드 부하도 해결되었으면 정말 훌륭할 것 같습니다.
개인적으로 해쉬값 검사시 재분석 기능이 가능했으면 좋겠습니다. 바이러스 토탈에 더 많은 무리를 주는 것이긴 하지만 최근 정보가 즁요할 때가 많기 때문입니다. 또한, 통계 부분도 이전 통계 정보가 다시 제공되었으면 합니다. 이 역시 서버에 상당한 무리가 간다고는 들었는데, 서버 확충 등의 개선을 통해서 모두 지원했으면 좋겠습니다.
- 이상입니다.
'▶ 보안 관련 정보 및 팁' 카테고리의 다른 글
오픈 캡쳐(Open Capture) 7.0 업데이트 차단하기 - 방화벽을 이용한 특정 프로그램 인터넷 연결 차단 방법 (26) | 2012.02.03 |
---|---|
바이러스 토탈 해쉬 검색 쿼리 추가 방법 및 VirusTotal Uploader (0) | 2012.01.16 |
[안드로이드] 국내 정규 마켓을 통해 최초로 유포된 스마트폰 악성코드 (2011.01.07) (4) | 2012.01.08 |
바이러스 토탈에 포함된 제품들의 국적 정보 (7) | 2011.12.17 |
자동 압축 해제(SFX 압축)은 보안을 위해 7집을 통해 해제합시다. (8) | 2011.12.10 |