|
최근 발견되는 악성코드들을 보면 수많은 변종들과 실행파일압축 기법, 파일 및 프로세스 은폐 기능 등 다양한 기법들을 적용하여 안티 바이러스 제품에 의한 악성코드 진단 및 치료를 더욱 더 어렵도록 하고 있다. 실제로 운영 중인 시스템의 사용자가 악성코드 감염으로 이상 징후를 느끼고 있으나 안티 바이러스 제품이 정상적으로 작동하지 않는 경우가 적지 않다. 따라서 이번 호에서는 이러한 경우 사용자가 수동으로 점검 할 수 있는 방안 중 악성코드로 의심되는 프로세스 또는 파일을 VirusTotal Uploader를 이용하여 악성코드 여부를 식별하고 실제 악성코드일 경우 정보 수집을 통해 사용자가 직접 수동으로 제거할 수 있는 방법에 대해 알아보고자 한다.
Virus Total Service
현재 국내 주요 포털 등에서 인터넷을 통해 무료로 제공하고 있는 특정 벤더의 안티 바이러스 엔진을 이용하여 악성코드를 진단할 경우 모든 악성코드 식별에는 한계가 있다. Virus Total, VirScan, Jotti's Malware Scan 은 한번에 여러 벤더의 안티 바이러스 엔진을 이용하여 악성코드에 대한 진단 결과를 알려 준다.
Virus Total(http://www.virustotal.com/)은 사용자가 직접 바이러스, 웜, 트로이 목마로 의심되는 파일을 전송하여 다양한 안티 바이러스 엔진을 통해 진단하는 무료 서비스이다. Virus Total은 사용자가 악성코드로 의심되는 파일을 업로드 할 수 있는 세 가지 방법을 다음과 같이 제공한다.
(1) 직접 사이트 방문 후 업로드 기능을 이용
(2) 이 메일에 첨부하여 업로드 하는 방법
(3) 사이트 방문 없이 VirusTotal Uploader를 통해 시스템으로부터 업로드 하는 방법
여기선 VirusTotal Uploader를 통해 업로드 할 것이므로 아래 URL 에서 해당 VirusTotal Uploader를 다운받아 설치하도록 한다.
>사용 도구
- VirusTotal Uploader
(http://www.virustotal.com/vtsetup.exe)
- IceSword v1.22
(http://www.antirootkit.com/software/IceSword.htm)
또한 레지스트리 및 DLL, Hidden 프로세스 등을 확인하기 위한 도구로 IceSword v1.22를 사용 할 것이므로 해당 진단 도구가 없다면 위 URL에서 다운 받도록 한다. IceSword v1.22는 설치 없이 바로 사용이 가능하며, VirusTotal Uploader는 간단히 설치가 가능하므로 별도로 설명하지는 않는다.
VirusTotal Uploader를 이용한 악성코드 식별 및 제거
VirusTotal Uploader는 악성코드 감염이 의심되는 상황에서 시스템에 안티 바이러스 제품이 설치되지 않았거나 설치된 안티 바이러스 제품이 정상적으로 작동하지 않을 경우 악성코드를 식별하는데 매우 유용하게 사용될 수 있다. 아래 [그림 1]은 시스템의 C:\Program Files\ 내에 사용자가 설치하거나 생성한 적이 없는 폴더 및 실행 파일이 존재하고 있고 악성코드로 의심되는 해당 파일을 VirusTotal Uploader를 이용하여 전송하는 과정이다. | 
