VirusTotal - 무료 온라인 바이러스/악성 소프트웨어 검사 서비스
2009. 12. 25. 16:25ㆍIT/Computer Tips
많은 보안 전문가들은 하나의 시스템에 한 개 이상의 백신을 사용하는 것은 좋지 않다고들 말한다. 서로 다른 백신을 악성 소프트웨어로 착각해서 시스템에 문제를 일으킬 수 있기 때문이다. 그러나 아무리 좋은 백신을 선택한다고 해도 하나의 백신이 세상의 모든 바이러스나 악성 소프트웨어를 발견하고 처리할 수는 없다. 오진의 가능성도 역시 무시할 수 없다. 의심 가는 파일을 좀 더 확실하게 검사할 수는 없을까? VirusTotal을 사용해보자. VirusTotal은 40개의 서로 다른 안티바이러스의 명령행 검사기를 사용해서 파일을 검사하는 온라인 서비스다.
VirusTotal은 세 가지 방식으로 파일을 검사할 수 있다. 기본 방식은 서버에 파일을 업로드해서 검사하는 방식이다. [찾아보기] 단추를 누르고 파일을 추가해서 [파일 보내기]를 클릭하면 서버에 파일이 전송되고 검사를 시작한다.
두 번째 방식은 전자 우편으로 파일을 보내고 결과를 전자 우편으로 받는 방식이다. SCAN이라는 제목으로 검사할 파일을 첨부해서 scan@virustotal.com으로 전자 우편을 보내면 검사된다. 첨부 파일의 크기는 20MB를 넘지 않아야 한다.
마지막은 업로더를 설치해서 탐색기에서 바로 파일을 보내는 방식이다. 설치 파일을 내려받고 설치하면 VirusTotal 프로그램과 [보내기] 바로 가기가 생긴다. 업로더를 설치하면 웹 브라우저를 실행하지 않고 탐색기나 바탕화면에서 바로 실행 중인 프로세스의 실행 파일, 파일, 입력한 URL의 파일을 VirusTotal을 사용해서 검사할 수 있다.
VirusTotal은 해시 검색이란 유용한 기능을 제공한다. 검사할 파일의 해시 값을 검색해서 이전에 같은 파일을 검사한 기록이 있으면 해당 기록을 확인할 수 있다. 해시 값은 각 파일의 고유한 값이므로 해시 값이 같은 파일은 똑같은 파일이라고 생각하면 된다. 해시 값 검색을 사용하면 직접 파일을 업로드하지 않고도 내가 검사할 파일이 악성 코드를 포함하고 있는지 확인할 수 있다. 해시 값의 확인은 MD5, SHA1 등 파일의 해시(Hash) 값 확인하기 (HashTools, HashTab, Hasher, HashCalc)를 참고한다. MD5는 서로 다른 파일이 같은 값을 가질 수도 있으니 SHA-1이나 SHA-256을 사용할 것을 추천한다.
검사가 끝나면 각 엔진 별로 검사 결과를 표시한다. 이때 주의할 것이 있는데 붉은색으로 표시된 항목이 전부 바이러스나 악성 소프트웨어는 아니라는 것이다. RiskWare (사용에 따라 보안에 위협이 될 수 있는 소프트웨어), PSWTool (비밀번호 관련 도구), HackTool (해킹 도구), Findkey (소프트웨어의 시리얼 키를 찾는 프로그램), PUP (Potentially Unwanted Program - 잠재적으로 원치 않는 프로그램), SPR (Security Privacy Risk - 보안/개인 정보에 위험이 되는 프로그램) 등의 표시가 있는 파일은 악성 소프트웨어가 아닐 때도 잦으므로 주의한다. 위의 파일은 무려 24개의 엔진에서 결과가 표시되었지만, 실제 이 파일을 바이러스로 검출한 것은 4가지뿐이다. 웹사이트에서 내려받은 파일이 위험하지 않을까 걱정된다면 앞으로 VirusTotal을 이용하자.
* 관련 웹서비스
ㆍVirSCAN.org
ㆍJotti's Malware Scan
ㆍNoVirusThanks
ㆍVirus.Org :: Malware Scanning Service
VirusTotal은 세 가지 방식으로 파일을 검사할 수 있다. 기본 방식은 서버에 파일을 업로드해서 검사하는 방식이다. [찾아보기] 단추를 누르고 파일을 추가해서 [파일 보내기]를 클릭하면 서버에 파일이 전송되고 검사를 시작한다.
두 번째 방식은 전자 우편으로 파일을 보내고 결과를 전자 우편으로 받는 방식이다. SCAN이라는 제목으로 검사할 파일을 첨부해서 scan@virustotal.com으로 전자 우편을 보내면 검사된다. 첨부 파일의 크기는 20MB를 넘지 않아야 한다.
VirusTotal은 해시 검색이란 유용한 기능을 제공한다. 검사할 파일의 해시 값을 검색해서 이전에 같은 파일을 검사한 기록이 있으면 해당 기록을 확인할 수 있다. 해시 값은 각 파일의 고유한 값이므로 해시 값이 같은 파일은 똑같은 파일이라고 생각하면 된다. 해시 값 검색을 사용하면 직접 파일을 업로드하지 않고도 내가 검사할 파일이 악성 코드를 포함하고 있는지 확인할 수 있다. 해시 값의 확인은 MD5, SHA1 등 파일의 해시(Hash) 값 확인하기 (HashTools, HashTab, Hasher, HashCalc)를 참고한다. MD5는 서로 다른 파일이 같은 값을 가질 수도 있으니 SHA-1이나 SHA-256을 사용할 것을 추천한다.
* 관련 웹서비스
ㆍVirSCAN.org
ㆍJotti's Malware Scan
ㆍNoVirusThanks
ㆍVirus.Org :: Malware Scanning Service