인터넷이나 누군가에게서 파일을 받았을 때, 바이러스와 같은 악성코드가 감염되어있는지 가장 효과적으로 확인할 수 있는 방법이 바로 바이러스토탈(http://virustotal.com)에서 파일을 업로드하여 수십여가지의 상용 및 무료 백신에서 통합적으로 검사를 하는 것입니다.

하지만, 이 방법을 위해서는 파일이나 URL이 준비되어 있어야 한다는 단점이 있습니다.

이제 브라우저에서도 의심스러운 파일을 바이러스토탈로 보내어 검사할 수 있는 기능을 제공하는 두가지 방법을 소개합니다.

아쉽게도 VTzilla는 최신 버전의 파이어폭스 브라우저 v3.6.13에서는 제대로 동작하지 않습니다. 따라서, VTchromizer가 현재에 적절한 대안으로 보입니다.

감사합니다.


reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus
    SpyDLLRemover는 DLL 파일이나 시스템 파일에 감염되는 루트킷을 치료해 주는 프로그램으로 유명하며 주요 기능은 다음과 같습니다.


    • 온라인 감염 확인 기능 - VirusTotal과 같은 온라인 실시간 감염 진단 서비스에 파일을 검사할 수 있음.
    • 휴리스틱 기술을 이용하여 자동 분석 기능.
    • 프로세스에 대한 휴리스틱 기술 제공.
    • 상세한 보고서 제공
    • 문맥 메뉴 제공
    • 창 크기 조절 가능
    • 모든 후킹 함수를 우회하여 프로세스를 생성 또는 중지할 수 있는 직관적인 인터페이스
    • 최신 업데이트 자동 확인

    신 버전은 아래 링크에서 다운로드할 수 있습니다.

     



    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus
      악성 프로그램(컴퓨터 바이러스)에 관심이 있는 일반 사람들은 보통 아래와 같은 단계로 진화하는 경향이 있습니다.

      1 단계: 바이러스, 보안에 관심을 가지는 단계로 다양한 안티바이러스 제품을 설치해 이용하거나, 하루에 한번씩 열심히 바이러스 검사를 하는 등, 처음 눈을 뜨는 단계입니다.

      2 단계: 이제 악성프로그램을 예방하는 단계에서 그치지 않고 악성 코드를 인터넷에서 또는 P2P에서, 아는 사람들을 통해 수집하여 검사하거나 안티바이러스 업체에 신고하는 보다 생산적인 활동을 하는 단계입니다.

      3 단계: 보다 어려운 단계로 악성 프로그램을 수집하여 내부를 분석하거나, 정상 시스템에서 감염되는 단계를 분석하는 재미에 돌입하는 단계입니다.

      오늘 설명하고자 하는 단계는 바로 마지막 단계인 악성 프로그램을 분석하는 방법에 대한 것입니다. 참고로, 설명 내용 가운데에는 다양한 서드파티 프로그램과 윈도우 내부적인 복잡한 사항이 포함될 수 있습니다.

      이제 악성 프로그램을 분석하이 위해 필요한 프로그램에 대해 설명합니다. Sandbox의 경우에는 설명하기에는 너무나 많은 시간 및 기술적인 설명이 필요하여 간략히 정리했습니다.


      1. 바이러스토탈(http://www.virustotal.com) - 수십여가지 안티바이러스 엔진을 하나의 웹사이트에서 통합 운영할 수 있도록 하는 진단 서비스로, 의심이 가는 파일을 업로드하면 순차적으로 안티바이러스 엔진이 진단하여 진단명을 일목요연하게 표시해 줍니다. 이 외에도 유사한 사이트가 몇가지 더 있습니다.

      주) 새로운 악성 프로그램이 감염된 것으로 의심되는 파일은 바로 확인할 수 있기 때문에 초기 대응 단계에서 많이 사용합니다.


      2. 가상화 시스템(Vitual System) - 일반적으로 컴퓨터는 물리적인 자원(CPU, 메모리, HDD 등등)을 바탕으로 운영체제를 설치하게 됩니다. 가상화는 이러한 물리적인 자원을 소프트웨어로 처리하게 되며, 이러한 경우 윈도우 내에서 윈도우, 리눅스 내에서 윈도우 운영체제를 돌릴 수 있습니다. 가상화를 지원하는 소프트웨어로 대표적인 프로그램은 바로 VMWare입니다.

      주) 악성 프로그램을 분석하기 위해서는 운영 체제에서 안티바이러스 제품의 실시간 감시 기능을 꺼야 합니다. 하지만, 실제 컴퓨터에서 이렇게 하기란 거의 불가능하므로, 가상화 시스템으로 운영하여 시간 및 효율을 극대화합니다.


      3. 샌드박스(Sandbox) - 악성 프로그램은 나름대로 컴퓨터에 침투하는 다양한 행동을 취합니다. 예를 들면, 파일 덮어쓰기/새로 만들기, 레지스트리 수정/새로 만들기, 서비스 만들기/시작하기, BHO 등등이 포함됩니다. 이러한 경우 깨끗한 시스템에서 감염된 시스템으로 망가지는 과정에서 어떠한 변경사항이 있는지 알아내는 프로그램입니다.

      이 이외에도 새로 생성되는 프로세스를 진단하는 Process Monitor, API 훅(Hook)의 변경 상태를 볼 수 있는 API Monitor 등등 다양한 시스템 소프트웨어가 다수 사용될 수 있으며, 이를 사용자의 취향에 따라 달라집니다.

      주) CWSandbox는 Sunbelt Software라는 보안 회사가 개발한 프로그램으로 악성 프로그램 분석시에 유용하게 사용할 수 있습니다. 아래는 안철수 연구소에서 발표한 내용 중 일부입니다.  http://kr.ahnlab.com/securityinfo/infoView.ahn?seq=9531&category=01

      주) 일반인이 CWSandbox 프로그램을 이용하는 것으 어려울 수도 있으므로, Sandboxie 라는 프로그램을 이용하는 경우가 대부분입니다. http://www.sandboxie.com/

      감사합니다.


       

      reTweet
      Posted by 문스랩닷컴
      blog comments powered by Disqus
        바이러스토탈(http://www.virustotal.com)은 파일(또는 URL)에 악성 프로그램이 포함되어 있는지 진단해 주는 사이트로, 다양한 안티바이러스 엔진에서 순차적으로 검사를 진행합니다.

        따라서, 최신 악성 프로그램의 경우에는 한두가지 제품에서만 (초기에) 진단하는 경우가 많으므로, 다양한 백신의 분석을 검토하여 악성 여부를 사용자가 가늠할 수 있습니다.

        바이러스토탈에는 어베스트! 엔진이 4와 5두가지로 나눠서 제공됩니다. 악성 프로그램을 보통 검사해 보면 거의 대부분 동일한 진단을 하게 되지만, 다음과 같은 진단명은 어베스트! V5 버전에서만 볼 수 있습니다.

        • Win32:Packed - 실행 압축(SFX) 형식으로 감염된 파일
        • Win32:SuspBehav - 의심스러운 행동을 하는 파일

        어베스트! V4 엔진의 가장 큰 오진의 원인은 바로 실행 압축(executable archive)을 악성 프로그램으로 진단하는 것이었습니다. 그 이유는 일반적으로 악성 프로그램이 분석을 막기 위해 프로그램의 헤더를 압축하고, 헤더값을 일부 변조하여 압축을 해제할 수 없게 하는 경우가 많았기 때문입니다. 어베스트! V5에서는 이러한 문제를 해결하기 위해 추가적인 기능을 채택하였습니다.

        Win32:SuspBehav는 어베스트! V5에 포함된 루트킷 탐지 기술과 가상화(sandbox)를 통해 진단하는 경우에 나타날 수 있으며, 어베스트! V4에서는 이 진단명이 존재하지 않습니다.

        감사합니다.

         






        reTweet
        Posted by 문스랩닷컴
        blog comments powered by Disqus
          바이러스, 즉 악성 프로그램을 인터넷에서 다운로드하거나, 사용자의 PC에서 의심스러운 파일이 발견될 때에 이를 여러 가지 안티바이러스 제품으로 통합적으로 검사해 주는 사이트가 있습니다. 대표적인 사이트는 VirusTotal과 Jotti가 있으며, 이들 사이트는 모두 무료로 제공됩니다.

          우리가 익히 알고 있는 시만텍, 맥아피, 어베스트!, V3와 같이 약 30 여가지 안티바이러스 제품으로 동시에 검사하기 때문에 정말 새로운 바이러스가 아닌 경우에는 어디 한곳에 진단되기 마련입니다.

          또한, 검사하기 위해 업로드한 샘플은 안티바이러스 제작사로 샘플로 자동으로 전송되어, 신종인 경우 즉시 반영할 수 있도록 도움을 주고 있습니다.

          여기까지는 컴퓨터를 사용하는 즉, 착한 사용자의 입장입니다.

          만약, 악성 프로그램 제작자가 새로운 악성 프로그램을 만들었다고 가정해 봅니다. 이게 진단되는지 검사하려면 앞에서 언급한 바이러스 검사 사이트에서는 할 수가 없습니다. 해볼려면, 어쩔 수 없이 PC나 가상 머신에 각각의 안티바이러스 제품을 설치하여 테스트하는 힘든 과정이 남아 있습니다.

          하지만, 궁하면 통하는 법!

          어둠의 시장을 위해서 제공되는 바이러스 검사 사이트가 공개되었습니다. 사이트는 현재까지 2개가 알려져 있으며 아래 화면은 그중 하나입니다.


          오히려, 더 나은 점이 보이는데, 바로 검사하고자 하는 안티바이러스 제품을 선택할 수 있다는 점입니다.

          단점으로는 무료가 아닌 유료 사이트로, 한번 검사할 때마다 파일당 1달러 또는 1개월당 40달러로 할인 판매하고 있다고 합니다.

          돈버는 것도 역시 틈새시장이 최고로 보입니다.

          참고자료: http://www.wired.com/threatlevel/2009/12/virus-check/?




          reTweet
          Posted by 문스랩닷컴
          blog comments powered by Disqus


            Web Analytics Blogs Directory