(주)에브리존(EveryZone) 업체에서 서비스하는 무료 백신 터보백신 프리(TurboVaccine Free) 1.0 버전의 악성코드 검사와 치료에 대해 살펴보도록 하겠습니다.
BitDefender 엔진의 특성 중의 하나는 검사 초기에 엔진 초기화를 진행하는 과정에서 저사양 컴퓨터의 경우 최대 1분의 시간이 소요되는데, 해당 제품 역시 1분이 경과하여 정상적으로 검사가 이루어지고 있으므로 저사양 컴퓨터에서의 BitDefender 엔진을 사용하는 보안 제품은 개인적으로 추천하지 않습니다.
1. 빠른 검사
검사 절차는 [메모리 검사 - 악성 레지스트리 검사 - 악성 쿠키 / 파일 검사 - 불필요 정보] 검사를 순서대로 진행하는 것을 확인하였습니다.
환경 설정에서 사용자가 불필요 정보 검사를 체크 해제를 하여도 빠른 검사에서는 자동으로 검사가 이루어지고 있으며, 해당 진단 항목의 경우 Unlinked Autoloading Entry 진단명을 통해 시작 프로그램으로 등록한 레지스트리 정보를 불필요 항목으로 진단하는 것을 확인할 수 있습니다.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run실제 진단된 항목의 경우 네이버(Naver)에서 제공하는 정상적인 프로그램의 시작 프로그램 등록 정보인데 프로그램에서 임의로 불필요한 정보로 진단하는 것은 사용자가 다양한 프로그램을 사용하는데 불편함을 야기할 수 있다고 생각됩니다.
- NaverMinicalendar = "C:\Program Files\Naver\NaverMinicalendar\NMiniCalendarLauncher.exe"
2. 정밀 검사
기본값으로 체크된 [내 악성코드 검사] 항목은 빠른 검사 영역으로 이해를 하시면 되며, 추가로 사용자가 검사할 특정 디스크 또는 폴더를 지정하여 검사를 진행할 수 있습니다.
앞에서 살펴본 환경 설정 검사 항목에서 지정한 값이 정밀 검사에 반영이 되고 있지만, 사용자가 불필요 정보 검사를 체크 해제하고 검사를 하여도 자동으로 검사가 이루어지는 점은 수정이 필요합니다.
정밀 검사에서는 압축 파일 검사를 제외하고 10GB 용량을 검사하는데 소요되는 시간이 1시간 40분 이상으로 타 보안 제품에 비해 느린 검사 속도가 아닌가 생각됩니다.
해당 악성코드 검사 방식의 가장 큰 문제점은 진단된 항목에 대해 사용자가 진단 제외 처리를 할 수 없다는 점입니다.
이는 해당 업체에서 직접 분석한 DB가 아닌 BitDefender 엔진을 통해 진단하는 것이 대다수를 차지하는 점을 고려한다면 매우 무책임한 제품 구성으로 휴리스틱 진단을 통한 문제에서 사용자들의 판단이 매우 필요한 제품으로 볼 수 있습니다.
■ 로그 보기
3. 마우스 우클릭을 이용한 수동 검사
4. 악성코드 치료하기
치료가 완료된 파일은 백업을 통하여 검역소에 보관이 되며, 검역소 접근은 외부 메뉴에 존재하지 않고 정밀 검사 메뉴 내부에 존재하므로 사용자가 찾기 어렵게 구성되어 있습니다.
검역소의 또 다른 문제점은 등록된 목록을 마우스로 확장하여 세부적인 내용을 볼 수 없도록 되어 있으므로 매우 이용에 불편을 주고 있습니다. 이는 터보백신 프리(TurboVaccine Free) 제품 자체의 모든 항목에서 동일하므로 수정이 필요한 부분입니다.
5. 실시간 감시
일반적인 보안 프로그램에서는 실시간 감시 창에서 치료 기능 이외에 치료를 하지 않고 창을 닫는 버튼과 진단 제외 처리를 바로 연결할 수 있도록 편의를 제공하는 것과는 매우 차이가 있습니다.
또한 Windows 탐색기를 통해 해당 악성코드가 존재하는 폴더에 접근하였을 경우 해당 파일 한 개만 존재하여도 실시간 감시가 동작하지 않을 정도로 민감도가 매우 떨어지며, 해당 파일을 사용자가 선택하여 파일 속성을 확인하여도 실시간 감시가 동작하지 않는 것도 확인하였습니다.
더욱 문제는 일반적으로 악성코드 파일이 실시간 감시에서 진단될 경우 해당 파일을 웹 사이트 업로드를 시도하면 차단되어 업로드 자체가 안되는데, 해당 제품에서는 실시간 감시창을 통해 진단을 하면서 정상적으로 웹 사이트에 업로드가 되는 취약점도 존재합니다.
전체적으로 제품의 검사와 치료 방식에서는 심각할 정도의 오진은 존재하지 않지만, 진단된 파일에 대한 제외 처리가 없다는 점과 실시간 감시 기능이 매우 취약하다는 점은 개선이 필요합니다.
이보세요;;;
<악성코드. 바이러스 .백도어 등등>이런것들은 => 강제삭제. 강력차단. <- 해야 정상 입니다..
그리고~!!!!!!!!!!!!
님의 경우 잘못된 경향을 가지고 있군요...
터보백신 환경설정 -> 치료설정부분을 <그대로두기> 로 설정을 하시는 것부터가 잘못이며.. 막상
악성바이러스 에 감염되면... 100% 당하는건 기본 입니다..
V3lite백신 베타버전 때만해도 감시기능. 치료기능들이 강했는데... 언제부터인가 약해지더군요..
지난번에.. 저희집 컴퓨터에 백신으로 위장한 악성코드 감염되었는데 V3lite 감시부분이 계속 종료
되고.. 치료를 눌렀는데도... 계속 백업중이라고 말만 나오고... -_-;; 결국 어쩔수 없이..
네이버백신을 설치 하여 깨끗하게 치료하고 문제가 해결 되었던적이 있습니다..
제가 이말을 하는 이유는 -> 사용자들이 백신을 사용하면서 문제를 어떻게 지적하는냐에 따라서
백신의 성능이 강화 될수도 있고.. 약해질수 있습니다..
해당 설정 행위는 프로그램의 기본값입니다.
제가 설정한 부분이 아닙니다.^^;;
궁금한점이 있는데 엔진 초기화는 왜하는거죠?
보안 제품을 통해 검사를 시도할 경우 해당 엔진이 진단할 수 있는 DB를 읽기 위한 사전 작업이라고 이해를 하시면 될 것 같습니다.
그런데 최근의 경우 너무 많은 악성코드가 발견되고 이를 추가하면서 양이 늘어나다보니 로딩이 점점 오래 걸리는거죠.
그래서 보안 업체에서는 가끔씩 엔진을 최적화하는 것 같습니다. 속도 향상을 위해서..