'win32:suspbehav'에 해당되는 글 1건

  1. 2010.06.19 바이러스토탈, 어베스트! V4와 V5의 차이점!
바이러스토탈(http://www.virustotal.com)은 파일(또는 URL)에 악성 프로그램이 포함되어 있는지 진단해 주는 사이트로, 다양한 안티바이러스 엔진에서 순차적으로 검사를 진행합니다.

따라서, 최신 악성 프로그램의 경우에는 한두가지 제품에서만 (초기에) 진단하는 경우가 많으므로, 다양한 백신의 분석을 검토하여 악성 여부를 사용자가 가늠할 수 있습니다.

바이러스토탈에는 어베스트! 엔진이 4와 5두가지로 나눠서 제공됩니다. 악성 프로그램을 보통 검사해 보면 거의 대부분 동일한 진단을 하게 되지만, 다음과 같은 진단명은 어베스트! V5 버전에서만 볼 수 있습니다.

  • Win32:Packed - 실행 압축(SFX) 형식으로 감염된 파일
  • Win32:SuspBehav - 의심스러운 행동을 하는 파일

어베스트! V4 엔진의 가장 큰 오진의 원인은 바로 실행 압축(executable archive)을 악성 프로그램으로 진단하는 것이었습니다. 그 이유는 일반적으로 악성 프로그램이 분석을 막기 위해 프로그램의 헤더를 압축하고, 헤더값을 일부 변조하여 압축을 해제할 수 없게 하는 경우가 많았기 때문입니다. 어베스트! V5에서는 이러한 문제를 해결하기 위해 추가적인 기능을 채택하였습니다.

Win32:SuspBehav는 어베스트! V5에 포함된 루트킷 탐지 기술과 가상화(sandbox)를 통해 진단하는 경우에 나타날 수 있으며, 어베스트! V4에서는 이 진단명이 존재하지 않습니다.

감사합니다.

 






reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus


    Web Analytics Blogs Directory