반응형
전 세계적으로 유명 보안제품으로 30여 종류가 있으며, 로컬(Local) 업체까지 감안하면 50여개 이상은 되지 않을까 추정됩니다.
이렇게 많은 보안 제품이 특정 파일을 동시에 진단할 수 있도록 도와주는 웹서비스가 현재 해외에 몇 개 존재합니다.
일부 악성코드 제작자들 사이에서는 웹서비스가 아니라 자체적인 통합 스캐너 프로그램이 존재하다는 사실도 익히 알려져 있습니다. 그렇게 하여 자신이 만든 악성코드가 폐쇄된 환경(즉, 특정 제품에서 진단되어도 보안업체로 넘어가지 않는 환경)에서 테스트를 하여 우회하는지 확인하고 있다고 합니다.
또한 각 보안업체는 자체적으로 이런 유명 보안 제품을 통해 진단여부를 확인하는 시스템을 갖추고 있는 곳이 많으리라 봅니다.
그럼 현재 알려진 해외 멀티 악성코드 진단 서비스를 제공하는 곳을 살펴보겠습니다.
현재 외부에 알려진 서비스는 이와 같습니다.
기본적인 사용 방법은 검사를 원하는 파일을 등록하여 실시간으로 검사를 통해 웹상에서 검사 결과를 제공하는 방식입니다.
현재 해당 서비스 중 국내 보안업체는 1번(V3)과 4번(V3 / 하우리 / nProtect) 서비스에 등록되어 있습니다.
여기에서 주의해야 할 사항이 존재합니다. 각 서비스에 동일한 샘플을 등록하여 검사할 경우 결과가 다르게 나오는 경우가 있습니다.
이유는 추정컨데 각 서비스에 등록되는 보안 제품의 엔진 차이 또는 해당 서비스에 최적화를 하면서 일부 기능이 제외되는 경우가 있기 때문으로 추정됩니다.
특히 일부 기능이 제한되는 경우는 VirusTotal의 경우 V3 제품의 압축 파일 미검사, F-Secure 제품의 애드웨어 미진단 등이 있습니다.
그럼, 현재 오진으로 확정된 특정 파일을 통해 각 서비스의 동일 제품의 다른 진단을 살펴보겠습니다.
1. VirusTotal 검사 결과
2. VirusChief 검사 결과
3. Virus.Org 검사 결과
4. Jotti's malware scan 검사 결과
2번 서비스의 BitDefender 엔진 버전이 7.60825 입니다. 3번 서비스의 버전도 동일합니다만 진단 결과가 다른 것을 알 수 있습니다.
이는 바로 서비스 최적화 등의 이유로 BitDefender 엔진의 휴리스틱 기능을 제외하고 서비스를 하는 것으로 추정됩니다.
각 서비스에서도 언급하고 있지만, 이런 온라인 검사 서비스에서 특정 샘플에 대한 진단 유무가 반드시 악성코드임을 보증하는 것이 아님을 인지하고 이용하도록 하여야겠습니다.
이렇게 많은 보안 제품이 특정 파일을 동시에 진단할 수 있도록 도와주는 웹서비스가 현재 해외에 몇 개 존재합니다.
일부 악성코드 제작자들 사이에서는 웹서비스가 아니라 자체적인 통합 스캐너 프로그램이 존재하다는 사실도 익히 알려져 있습니다. 그렇게 하여 자신이 만든 악성코드가 폐쇄된 환경(즉, 특정 제품에서 진단되어도 보안업체로 넘어가지 않는 환경)에서 테스트를 하여 우회하는지 확인하고 있다고 합니다.
또한 각 보안업체는 자체적으로 이런 유명 보안 제품을 통해 진단여부를 확인하는 시스템을 갖추고 있는 곳이 많으리라 봅니다.
그럼 현재 알려진 해외 멀티 악성코드 진단 서비스를 제공하는 곳을 살펴보겠습니다.
1. VirusTotal (32개 제품) : http://www.virustotal.com/
2. VirusChief (10개 제품) : http://www.viruschief.com/
3. Virus.Org (21개 제품) : http://scanner.virus.org/
4. VirusScan : http://virscan.org/ <현재 접속 불량>
5. Jotti's malware scan (20개 제품) : http://virusscan.jotti.org/
2. VirusChief (10개 제품) : http://www.viruschief.com/
3. Virus.Org (21개 제품) : http://scanner.virus.org/
4. VirusScan : http://virscan.org/ <현재 접속 불량>
5. Jotti's malware scan (20개 제품) : http://virusscan.jotti.org/
현재 외부에 알려진 서비스는 이와 같습니다.
기본적인 사용 방법은 검사를 원하는 파일을 등록하여 실시간으로 검사를 통해 웹상에서 검사 결과를 제공하는 방식입니다.
현재 해당 서비스 중 국내 보안업체는 1번(V3)과 4번(V3 / 하우리 / nProtect) 서비스에 등록되어 있습니다.
여기에서 주의해야 할 사항이 존재합니다. 각 서비스에 동일한 샘플을 등록하여 검사할 경우 결과가 다르게 나오는 경우가 있습니다.
이유는 추정컨데 각 서비스에 등록되는 보안 제품의 엔진 차이 또는 해당 서비스에 최적화를 하면서 일부 기능이 제외되는 경우가 있기 때문으로 추정됩니다.
특히 일부 기능이 제한되는 경우는 VirusTotal의 경우 V3 제품의 압축 파일 미검사, F-Secure 제품의 애드웨어 미진단 등이 있습니다.
그럼, 현재 오진으로 확정된 특정 파일을 통해 각 서비스의 동일 제품의 다른 진단을 살펴보겠습니다.
테스트 파일 : 이스트소프트 - 알송 부속 파일
basscd.dll : MD5 - F4CF184C399DF2CD6B0258198588009B
해당 파일은 최근 이스트소프트사에서 BitDefender 제품에서 휴리스틱 진단으로 오진을 하는 파일이라고 밝히고 있습니다.
basscd.dll : MD5 - F4CF184C399DF2CD6B0258198588009B
해당 파일은 최근 이스트소프트사에서 BitDefender 제품에서 휴리스틱 진단으로 오진을 하는 파일이라고 밝히고 있습니다.
1. VirusTotal 검사 결과
Antivirus Version Last Update Result
AhnLab-V3 2008.5.22.1 2008.05.23 -
AntiVir 7.8.0.19 2008.05.24 -
Authentium 5.1.0.4 2008.05.23 -
Avast 4.8.1195.0 2008.05.25 -
AVG 7.5.0.516 2008.05.24 -
BitDefender 7.2 2008.05.25 - (미진단)
AhnLab-V3 2008.5.22.1 2008.05.23 -
AntiVir 7.8.0.19 2008.05.24 -
Authentium 5.1.0.4 2008.05.23 -
Avast 4.8.1195.0 2008.05.25 -
AVG 7.5.0.516 2008.05.24 -
BitDefender 7.2 2008.05.25 - (미진단)
Additional information
File size: 16952 bytes
MD5...: f4cf184c399df2cd6b0258198588009b
SHA1..: dff7abe9d1ffa8d80d78f7151d0b8aff016af3a4
File size: 16952 bytes
MD5...: f4cf184c399df2cd6b0258198588009b
SHA1..: dff7abe9d1ffa8d80d78f7151d0b8aff016af3a4
2. VirusChief 검사 결과
AntiVirus Engine Version Definition Version Status
Antivir 7.4.0.37 6.39.0.81 Nothing found
ArcaVir 1.0.4 2006.01.27 Nothing found
Avast 1.0.7 0753-0 Nothing found
AVG 7.5.47 269.9.14/883 Nothing found
BitDefender 7.60825 7.60825 Trojan.Peed.Gen - (진단 - 휴리스틱 오진)
F-Prot 4.6.6 3.16.14 Nothing found
Norman 5.70.01 5.70.01 Nothing found
Rising 17.00.00.36 19.25.00.00 Nothing found
VirusBlokAda32 3.12.0.2 2007.07.01 Nothing found
VirusBuster 4.3.23:9 (2007-02-16) 9.86.8/11.0 Nothing found
Antivir 7.4.0.37 6.39.0.81 Nothing found
ArcaVir 1.0.4 2006.01.27 Nothing found
Avast 1.0.7 0753-0 Nothing found
AVG 7.5.47 269.9.14/883 Nothing found
BitDefender 7.60825 7.60825 Trojan.Peed.Gen - (진단 - 휴리스틱 오진)
F-Prot 4.6.6 3.16.14 Nothing found
Norman 5.70.01 5.70.01 Nothing found
Rising 17.00.00.36 19.25.00.00 Nothing found
VirusBlokAda32 3.12.0.2 2007.07.01 Nothing found
VirusBuster 4.3.23:9 (2007-02-16) 9.86.8/11.0 Nothing found
3. Virus.Org 검사 결과
Scanner Scanner Version Scanner Engine Scanner Signatures Result Scan Time
A-Squared 3.5.0.18 N/A 20080523 Clean 30.89 secs
Arcavir 1.0.5 N/A 17:01 24-05-2008 Clean 13.43 secs
avast! 3.0.1 N/A 080525-0 Clean 1.02 secs
AVG Anti Virus 7.5.51 442 269.22.1/1345 Clean 19.56 secs
Avira AntiVir 2.1.12-36 7.8.0.19 7.0.4.87 Clean 19.98 secs
BitDefender 7.60825 7.19167 1234553 Clean 20.30 secs - (미진단)
CA eTrust N/A 31.04.00 31.04.5817 Clean 7.58 secs
CAT QuickHeal 9.50 N/A 23 May, 2008 Clean 34.65 secs
ClamAV 0.91.2 N/A 7231 Clean 1.74 secs
CPSecure 1.15 1.1.0.715 25/05/2008 01:15AM Clean 33.94 secs
Dr. Web 4.44.0.10150 4.44.0.9170 380464 Clean 44.95 secs
F-PROT 4.6.8 3.16.16 21 May 2008 Clean 5.00 secs
F-PROT 6 6.2.1 4.4.1.52 200805231919 Clean 16.50 secs
F-Secure 1.10 6392 2008-05-23_09 Clean 38.10 secs
Kaspersky 5.7.13 713255 25-05-2008 Clean 47.37 secs
McAfee Virusscan 5.20.0 5.2.00 v5302 Clean 16.02 secs
Panda 9.04.03.0001 1845383 23/05/2008 Clean 8.85 secs
Sophos Sweep 4.29.0 2.73.0 4.29 Clean 25.89 secs
Trend Micro N/A 8.700-1004 296 Clean 7.11 secs
VBA32 3.12.6.6 N/A 2008.05.13 Clean 11.31 secs
VirusBuster 2005 1.3.4 4.3.23:9 9.130.3/11.0 Clean 9.69 secs
A-Squared 3.5.0.18 N/A 20080523 Clean 30.89 secs
Arcavir 1.0.5 N/A 17:01 24-05-2008 Clean 13.43 secs
avast! 3.0.1 N/A 080525-0 Clean 1.02 secs
AVG Anti Virus 7.5.51 442 269.22.1/1345 Clean 19.56 secs
Avira AntiVir 2.1.12-36 7.8.0.19 7.0.4.87 Clean 19.98 secs
BitDefender 7.60825 7.19167 1234553 Clean 20.30 secs - (미진단)
CA eTrust N/A 31.04.00 31.04.5817 Clean 7.58 secs
CAT QuickHeal 9.50 N/A 23 May, 2008 Clean 34.65 secs
ClamAV 0.91.2 N/A 7231 Clean 1.74 secs
CPSecure 1.15 1.1.0.715 25/05/2008 01:15AM Clean 33.94 secs
Dr. Web 4.44.0.10150 4.44.0.9170 380464 Clean 44.95 secs
F-PROT 4.6.8 3.16.16 21 May 2008 Clean 5.00 secs
F-PROT 6 6.2.1 4.4.1.52 200805231919 Clean 16.50 secs
F-Secure 1.10 6392 2008-05-23_09 Clean 38.10 secs
Kaspersky 5.7.13 713255 25-05-2008 Clean 47.37 secs
McAfee Virusscan 5.20.0 5.2.00 v5302 Clean 16.02 secs
Panda 9.04.03.0001 1845383 23/05/2008 Clean 8.85 secs
Sophos Sweep 4.29.0 2.73.0 4.29 Clean 25.89 secs
Trend Micro N/A 8.700-1004 296 Clean 7.11 secs
VBA32 3.12.6.6 N/A 2008.05.13 Clean 11.31 secs
VirusBuster 2005 1.3.4 4.3.23:9 9.130.3/11.0 Clean 9.69 secs
4. Jotti's malware scan 검사 결과
A-Squared Found nothing
AntiVir Found nothing
ArcaVir Found nothing
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found nothing - (미진단)
ClamAV Found nothing
CPsecure Found nothing
Dr.Web Found nothing
F-Prot Antivirus Found nothing
F-Secure Anti-Virus Found nothing
Fortinet Found nothing
Ikarus Found nothing
Kaspersky Anti-Virus Found nothing
NOD32 Found nothing
Norman Virus Control Found nothing
Panda Antivirus Found nothing
Sophos Antivirus Found nothing
VirusBuster Found nothing
VBA32 Found nothing
AntiVir Found nothing
ArcaVir Found nothing
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found nothing - (미진단)
ClamAV Found nothing
CPsecure Found nothing
Dr.Web Found nothing
F-Prot Antivirus Found nothing
F-Secure Anti-Virus Found nothing
Fortinet Found nothing
Ikarus Found nothing
Kaspersky Anti-Virus Found nothing
NOD32 Found nothing
Norman Virus Control Found nothing
Panda Antivirus Found nothing
Sophos Antivirus Found nothing
VirusBuster Found nothing
VBA32 Found nothing
2번 서비스의 BitDefender 엔진 버전이 7.60825 입니다. 3번 서비스의 버전도 동일합니다만 진단 결과가 다른 것을 알 수 있습니다.
이는 바로 서비스 최적화 등의 이유로 BitDefender 엔진의 휴리스틱 기능을 제외하고 서비스를 하는 것으로 추정됩니다.
각 서비스에서도 언급하고 있지만, 이런 온라인 검사 서비스에서 특정 샘플에 대한 진단 유무가 반드시 악성코드임을 보증하는 것이 아님을 인지하고 이용하도록 하여야겠습니다.
728x90
반응형