울지않는벌새 : Security, Movie & Society

VirusTotal 검사 기능이 추가된 Sysinternals Autoruns 13.0 버전 (2015.1.30)

벌새::Software

마이크로소프트(Microsoft) 업체에서 무료로 제공하는 시스템 시작시 자동 실행되는 다양한 등록값에 대한 정보를 제공하는 Sysinternals Autoruns 도구에 바이러스토탈(VirusTotal) 검사 기능을 추가한 업데이트를 공개하였습니다.

이미 실행 중인 프로세스 정보를 제공하는 Sysinternals Process Explorer 도구에 바이러스토탈(VirusTotal) 검사 기능을 추가한 상태이며, Sysinternals Autoruns 13.0 버전 업데이트를 통해 자동 실행되는 악성코드를 더욱 쉽게 찾을 수 있게 되었습니다.

 

1. 특정 등록값에 대한 검사 방법

Sysinternals Autoruns 프로그램을 실행한 후 표시된 다양한 등록값 중 하나를 사용자가 선택하여 마우스 우클릭을 통해 "Check VirusTotal" 메뉴를 실행할 경우 등록값에 대한 파일 Hash값을 바이러스토탈(VirusTotal) 서버로 전송하여 진단 결과를 빠르게 확인할 수 있습니다.

 

여기에서 주의할 점은 표시되는 바이러스토탈(VirusTotal) 검사 결과는 기존에 검사한 결과를 기반으로 표시하므로 현재 시점의 검사 결과와는 다소 다를 수 있습니다.

만약 사용자가 검사를 시도한 파일이 바이러스토탈(VirusTotal)에 등록되지 않은 미확인 파일인 경우에는 자동으로 파일 업로드를 통한 검사를 진행하며 일정 시간이 경과한 후에는 검사 결과를 확인할 수 있습니다.

또한 VirusTotal 메뉴에 표시된 검사 결과를 클릭할 경우 웹 브라우저를 통해 바이러스토탈(VirusTotal) 검사 결과 페이지로 자동 연결됩니다.

 

2. 전체 등록값에 대한 검사 방법

Sysinternals Autoruns 프로그램 메뉴 중 "Options → Scan Options..." 메뉴를 실행하여 생성된 "Autoruns Scan Options" 메뉴에서는 다음과 같은 옵션을 제공합니다.

  • Check VirusTotal.com : VirusTotal 검사
  • Submit Unknown Images : 미확인 파일 제출

2개의 체크 박스를 모두 체크한 상태로 Sysinternals Autoruns 도구를 실행할 경우 자동으로 모든 등록값에 대한 바이러스토탈(VirusTotal) 검사가 진행됩니다.

이를 통해 사용자는 자동 실행되는 등록값 중 바이러스토탈(VirusTotal) 검사 결과를 기반으로 악성코드 감염으로 추가된 등록값을 쉽고 빠르게 찾을 수 있습니다.

특히 "Options → Hide VirusTotal Clean Entries" 메뉴에 체크를 한 경우에는 Sysinternals Autoruns 도구 실행시 전체 등록값에 대한 바이러스토탈(VirusTotal) 검사를 진행한 후 1개 이상의 백신 엔진에서 진단이 이루어진 등록값만 표시하도록 설정할 수 있습니다.

 

그러므로 Sysinternals Autoruns 도구를 활용하여 시스템 시작시 자동으로 실행되는 파일에 대한 정보 확인시 바이러스토탈(VirusTotal) 검사 결과를 활용하여 의심스러운 자동 실행값을 더욱 편하게 찾을 수 있으므로 잘 활용하시기 바랍니다.