울지않는벌새 : Security, Movie & Society

VirusTotal 재검사 기능이 추가된 Sysinternals Autoruns 13.5 버전 (2015.10.27)

벌새::Software

마이크로소프트(Microsoft) 업체에서 제공하는 Sysinternals Autoruns 도구는 운영 체제 및 다양한 응용 프로그램이 자동 실행되는 구성값을 확인할 수 있는 매우 유용한 프로그램입니다.

특히 2015년 초부터 바이러스토탈(VirusTotal) 온라인 검사 서비스와 연동되어 자동 실행 등록 파일에 대한 악성 여부를 검사할 수 있는 기능이 추가되었습니다.

 

VirusTotal 검사 기능을 통해 Sysinternals Autoruns 도구에서 표시되는 파일(Image)에 대한 악성 여부를 빠르게 점검할 수 있었는데 한 가지 부족한 부분이 있었습니다.

Sysinternals Autoruns 도구에서 표시하는 VirusTotal 검사 결과는 기존에 업로드된 검사 결과만을 표시하고 있으며, 만약 VirusTotal 서비스에 존재하지 않는 파일인 경우에만 업로드할 수 있었습니다.

 

이런 문제로 인하여 최종 업로드된 파일에 대한 검사 결과 중 일부 오진이나 재검사가 필요한 경우에는 사용자가 파일을 찾아 웹 브라우저를 이용하여 재업로드를 통해 확인해야 합니다.

 

그런데 Sysinternals Autoruns 13.5 버전 업데이트를 통해 기존에 검사 결과가 표시되는 파일에 대해서도 즉시 VirusTotal 재검사를 할 수 있는 기능이 추가되었습니다.

사용자가 재검사를 원하는 항목에 마우스 우클릭을 통해 생성된 메뉴 중 "Resubmit to VirusTotal" 메뉴를 실행하는 방식으로 진행할 수 있습니다.

재검사를 요청하면 해당 파일을 VirusTotal 서비스에 제출하여 재검사를 진행하며 최종적으로 몇 분 이내에 진단 결과가 Sysinternals Autoruns 도구에 갱신이 이루어집니다.(※ 업로드 파일 용량 및 VirusTotal 서버 상태에 따라 소요 시간은 차이가 날 수 있습니다.)

VirusTotal 재검사 결과가 나올 경우 자동으로 갱신되어 기존에 "C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe" 파일에 대해 1개의 보안 제품이 오진하던 부분이 수정된 것을 알 수 있습니다.

실제 VirusTotal 온라인 서비스 검사 결과 페이지를 확인해보면 4일 전에 검사한 결과(1/57)에서 Sysinternals Autoruns 도구를 통해 재검사를 진행한 후의 검사 결과 페이지에서 제공하는 결과(0/56)가 변경된 것을 알 수 있습니다.

 

그러므로 Sysinternals Autoruns 도구를 통해 VirusTotal 검사 기능을 활용하던 중 진단되는 부분이 있다면 재검사 기능을 통해 최신 진단 결과를 재확인해 보시기 바랍니다.