[무설치] Kaspersky Virus Removal Tool - 무료 악성코드 검사 도구 - KSN 관련 정보 수정 (2012.07.29)

악성코드 진단 및 치료를 제공하는 카스퍼스키의 무료 검사 도구를 소개합니다.

▶ 관련 글

- 무료 악성코드 검사 도구 모음 (Ver. 11.06.26)

- [수동 검사용] Kaspersky Security Scan - 클라우드 기반 시스템 진단 도구
- 2009/09/15 - 카스퍼스키 무료 수동 검사 도구 - Virus Removal tool

---

※ KSN 적용 여부에 대한 내용이 잘못되어 본문을 수정합니다. (2012.07.29 업데이트)

러시아에 본사를 두고 있는 카스퍼스키의 무료 검사 도구인 'Virsu Removal Tool(내부 명칭 avpTool)'은 유료 제품과 동일한 진단 능력과 함께 치료까지 제공해주는 매우 유용한 수동 검사 도구입니다. 비록 유료 제품 버전보다 한 단계 낮은 엔진을 사용^[각주:1]하며, 업데이트를 지원하지 않아 최신 DB를 이용하려면 그때마다 프로그램을 다운받아야 하는 불편함이 있지만 카스퍼스키의 시그니처 진단을 무료로 사용할 수 있다는 점에서 매우 매력있는 보조 도구였습니다. 최근 클라우드 기반 무료 진단 도구를 제공하기 시작하면서, 바이러스 제거 도구의 제공을 중지하지 않을까 싶었으나, 오히려 카스퍼스키의 클라우드 진단 기술인 KSN 기능까지 적용되어 서비스되고 있습니다.

관련 글을 보시면 아시겠지만 카스퍼스키 악성코드 제거 도구는 2009년에도 소개를 했었습니다. 이번에 다시 소개를 하는 것은 사용하는 엔진 버전이 올라가면서 변한 것도 있고, 다운받을 수 있는 링크에도 변화가 생겼기 때문입니다.

카스퍼스키 악성코드 제거 도구가 제공하는 기능은 아래와 같습니다.

1. 악성코드 수동 검사 기능 : 유료 제품의 수동 검사와 동일(단, 엔진 버전은 하위 버전 사용)
    - 루트킷 진단, 휴리스틱 진단, 클라우드 진단 기능(KSN) 모두 포함
2. 시스템 수동 치료 기능 제공 
   - 시스템 정보를 수집하여 카스퍼스키랩에 제출, 위협 요소에 대한 정보를 전송해줌
     이를 이용하여 사용자가 직접 위협 요소를 처리할 수 있게 도와주는 기능
3. 검역소 및 로그 기록 제공
   - 제거 도구 종료 시 삭제되기 때문에 주의 요망
4. 제거 도구 종료시 자동 삭제 기능 제공
   - 무설치(포터블) 효과

 

1. Virus Removal Tool 내려받기

카스퍼스키의 악성코드 제거 도구(이하 제거 도구)는 글로벌 사이트에서 다운받을 수 있으나 이메일 주소 등 개인 정보를 제공해야만 다운받을 수 있습니다. 하지만 자국 사이트인 러시아 홈페이지에서는 개인 정보 없이도 다운이 가능합니다.  
러시아 홈페이지에서 글로벌 사이트로 다운로드 링크로 대체합니다. 벌새님 감사합니다. ^^

- 글로벌 홈페이지 악성코드 제거 도구 다운로드 링크

이전에 소개했던 개발자용 서버는 글로벌 페이지로 강제 이동되고 있습니다. 하지만 제거 도구 다운로드를 위한 접속이 불가능한 것은 아닙니다.

- http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/avptool11/
- http://devbuilds.kaspersky-labs.com/devbuilds/

다운받을 때에는 Orbit이나 FDM같은 다운로드 가속기를 이용하시기 바랍니다.

포터블이라 설명했으나 파일명에서 보이듯이 실제로는 임시 폴더에 제품을 설치하게 됩니다. 다만, 설치시 시스템을 크게 건드리지 않고, 검사를 마친 후 프로그램을 종료할 때 자동으로 삭제가 되기 때문에 포터블이라 설명했습니다.

설치 경로 XP 기준 C:\Documents and Settings\*사용자 계정*\Local Settings\Temp\RarSFX*  
                         C:\Documents and Settings\*사용자 계정*\Local Settings\Temp\********
                         (* 표시는 임의 숫자)

설치 모습

2. 사용법

제거 도구를 다운받아 실행하면 임시 폴더에 압축을 풀고나서 아래와 같은 라이센스 동의창을 보여 준후 메인 화면을 보여줍니다.

카스퍼스키 악성코드 제거 도구 메인 화면

제거 도구의 기능은 크게 두 가지가 있습니다. 악성코드를 제거 도구에서 직접 검사하여 치료까지하는 '악성코드 검사' 기능과 시스템 분석을 수행하여 이를 카스퍼스키에 제출 위협 요소에 대한 정보를 얻어 사용자가 직접 치료하는 '시스템 분석' 기능이 그것입니다.

여기서는 악성코드 검사 기능만 살펴보겠습니다. 시스템 분석 기능은 영어로 서비스가 제공되고^[각주:2], 수동으로 치료해야만 해서 일반 사용자들에게 권하는 바가 아닙니다.

2-1. 환경 설정

환경 설정은 유료 제품의 시그니처 진단 기능의 환경 설정과 동일합니다. 따라서 KIS 제품의 시그니처 진단 기능의 환경 설정 부분을 참고하시길 바랍니다.

- 참고 : Kaspersky Internet Security 2012 리뷰 (3) - 파일 감시 (악성코드 진단:실시간 진단)
              Kaspersky Internet Security 2012 리뷰 (5) - 수동 검사 (악성코드 진단)

(1) Scan Scope - 검사 경로 설정

---

기본 설정 상태에서 제거 도구의 검사는 시스템의 주요 부분만 검사합니다. 보통 '빠른 검사'가 담당하는 부분만 검사하는데, 해당 환경 설정에서 이를 수정할 수 있습니다.

특정 파일이나 폴더만 검사할 때에는 '추가' 버튼을 클릭해서 아래처럼 검사 경로를 지정하면 됩니다. 이때 'Add' 버튼을 클릭해서 검사 경로를 여러개 지정할 수도 있습니다. 해당 경로만 검사하고 하부 폴더를 검사하지 않으려면 하단 부분의 'Include subfolders'의 체크를 해제하면 됩니다.

(2) Security Level - 검사 강도 설정

---

검사의 강도(민감도) 설정 항목은 유료 제품의 설정과 거의 동일합니다. 세부적인 설명은 KIS 제품의 환경 설정 부분을 참고해주시기 바랍니다.

감시 강도 설정은 중앙의 휠 메뉴로 쉽게 지정할 수도 있고, 세부 설정에 들어가 아래처럼 사용자가 직접 설정할 수도 있습니다. 저는 메인 안티바이러스 제품이 진단하지 못하는 악성코드를 검출하기 위해 제거 도구를 사용하기 때문에 최고 강도로 검사를 진행합니다.

세부 검사 영역 설정

진단 민감도 설정

참고로 (재)검사 속도를 높여주는 'iChecker', 'iSwift' 같은 기능들이 설정에는 빠져 있으나, 실제로는 검사에 적용됩니다. 하지만 유료 제품보다는 확실히 검사 속도가 떨어집니다. 엔진의 차이도 있지만 1회용 검사 도구다보니 위 속도 증가용 기술이 제대로 적용되지 않아서 생기는 문제로 보입니다.


(3) Actions - 처리 방법 설정

---

이 설정 항목에서는 진단된 객체를 처리하는 방법을 설정합니다. 기본 처리는 '사용자 처리'로 지정되어 있으며, 자동 처리 설정도 가능합니다.

제거 도구에서는 악성코드가 진단될 때마다 사용자 처리창을 표시하며 사용자에게 이를 처리하도록 요구합니다. 수동 검사의 특징 상 전체 진단이 종료된 후 일괄적으로 진단된 객체를 처리할 수 있도록 UI가 구성되었으면 더 좋았으리라 생각됩니다.

2-2. 검사 진행 및 객체 처리(치료, 삭제, 무시)

아래 그림은 검사가 진행되는 모습을 보여 주고 있습니다. 검사 경로는 디스크 부트 섹터와 C 드라이브이며, 검사 강도는 압축 파일 검사 및 휴리스틱, 루트킷 검사가 적용된 최고 수준입니다.

약 30기가 정도되는 C 드라이브를 검사하는데 실제로는 1시간이 조금 안되는 시간이 걸렸습니다. 아마 압축 파일 검사 등을 제외하면 더 빨리 검사가 마무리되었을 것으로 보입니다. 참고로 검사 종료 시간 항목을 클릭하면 세부 로그 기록을 볼 수 있습니다. 아래에서 다루겠지만 세부 검사 로그 항목은 검사를 한 모든 객체에 대한 정보를 보여 줍니다.

앞서 언급한 것처럼 제거 도구가 악성코드를 진단하면 아래와 같이 카스퍼스키의 실시간 감시 진단창과 동일한 진단창을 띄우며 사용자 처리를 요구합니다.

위 그림의 좌측은 정식 진단, 우측은 휴리스틱 진단의 모습입니다. 정식 진단과 의심 진단 사이에 처리 항목의 차이가 발생하는 이유는 카스퍼스키 리뷰를 참고하시기 바랍니다. 아래는 카스퍼스키 보안 네트워크 서비스인 KSN을 통해 진단된 모습입니다.

하단의 'Apply to all object'를 클릭하고 삭제나 무시 등의 처리를 선택하면, 이 후 진단되는 객체들에게 동일한 처리 방법이 적용됩니다.

카스퍼스키 제품에서 삭제나 검역소 이동을 시켰을 때 나타나는 정보창도 동일하게 나타납니다.

 

2-3. 로그 기록 보기 및 삭제 및 격리된 파일 복구

아래는 검사를 진행하면서 진단된 악성코드를 모두 처리하고, 검사가 종료된 모습입니다.

이때 아래 그림같은 광고를 띄우는데, 'No thank'를 클릭해서 넘어갑니다.

로그 기록은 아래와 같이 구성되어 있습니다.  

1. Status : 상태 정보
2. Detected threats : 진단 객체 - 취약점 정보, 검역소, 삭제(치료) 파일 정보 -> 복구 기능도 담당
3. Automatic Scan Report : 수동 검사 세부 기록
4. Manual Disinection Report : 시스템 분석 기능 세부 기록

(1) Status

---

상태 정보 항목은 악성코드 진단이나 취약점을 가진 어플리케이션 진단 정보 등을 제공해줍니다. 권장 항목은 실시간 감시를 가진 카스퍼스키 유료 제품을 설치하라는 내용입니다. 

(2) Automatic Scan Report

---

수동 검사 기록은 검사한 모든 파일에 대한 정보가 담겨 있습니다. 어떤 파일이 진단되었고, 어떤 파일이 진단에서 제외되었는지 등 세부적인 기록이 제공됩니다.

(3) Detected Threats

---

진단 객체 항목은 진단 로그 부분에서 가장 중요한 항목이라 할 수 있습니다. 만약 진단된 객체가 정상 파일이나 삭제 혹은 검역소에 격리된 경우 해당 항목에서 복구 기능을 수행할 수 있기 때문입니다.

복구 방법은 치료(Disinfected files) 항목이나 검역소(Quarantined) 항목에서 진단된 객체를 찾은 후 우클릭 메뉴의 'Restore' 를 이용하면 됩니다. 아쉽게도 복구 경로를 변경하지는 못합니다.

취약점 진단의 경우 우클릭 메뉴가 약간 다른데 아래 그림처럼 'Go to description'을 이용하면 해당 취약점 정보를 얻을 수 있습니다.

다만 취약점이 나왔다고 해서 반드시 위험한 것은 아닙니다. 위험도(Criticality) 항목을 보시면 아시겠지만 위 그림의 취약점은 위험성이 낮습니다. 특히 두 번째 항목의 플래쉬의 경우 현재 알려진 취약점이 모두 해결된 상태입니다.

3. 프로그램 삭제

모든 작업을 마치고 프로그램을 종료하면 자동으로 제거 도구가 삭제됩니다. 이때 진단된 객체의 로그 기록과 격리 파일이 모두 삭제되기 때문에 주의해서 종료하시기 바랍니다.

오진 가능성이 있는 파일은 반드시 복구해서 바이러스 토탈을 이용하거나 보안 업체에 문의하여 정상 여부를 판단하시기 바랍니다.
 
제거 도구 자체적으로도 샘플을 보내어 악성 여부를 판단해주는 보내기(Send) 기능 등을 제공하고 있습니다. 하지만 자체 전달 기능이 아닌 POP3 등을 이용한 사용자 메일 계정을 통한 전송이며 피드백 시간이 느려서 즉답을 원할 때에는 추천하지 않습니다.

---

카스퍼스키의 악성코드 제거 도구를 살펴봤습니다. 카스퍼스키의 이름값 때문이기도 하지만 수 많은 악성코드 검사용 보조 도구 중에서 가장추천할만한 제품이라 생각합니다.


- 이상입니다.

1. 검사 속도나 일부 진단 및 치료 성능의 차이가 발생 [본문으로]
2. 국내 지사 홈페이지에는 이와 관련된 서비스가 없습니다. [본문으로]