내 PC, 68개 클라우드 백신으로 쉽게 점검해 보자

별도 비용 없이 윈도우PC에서 여러 백신SW 탐지 결과 손쉽게 체크 가능해

대부분 자신의 desktop에 1개 이상의 백신SW를 설치하여 운영하고 있지만, 하루에 새롭게 생성되는 악성코드의 수가 수 만개에서 수 십만 개 수준이다 보니 하나의 백신SW가 탐지할 수 있는 수준에 한계가 있고, 설사 1개 백신에서 탐지되지 않았다 하더라도 안심할 수 없는 경우가 많다. 이에 별도의 비용 없이도 윈도우PC환경에서 여러 백신SW의 탐지 결과를 손쉽게 체크할 수 있는 유용한 프로그램이 있어 소개하고자 한다.
 
# herdprotect :: http://www.herdprotect.com/

herd는 군중, 떼라는 의미로서, Ahnlab,알약,F-Secure,Kaspersky,Sophos,Symantec,Hauri등 현존하는 국내외의 68개의 백신엔진을 이용, Cloud 환경에서 악성코드 여부를 탐지하는 프로그램으로 개인 및 기업에서도 무료로 사용할 수 있는 프로그램이다. 이 프로그램은 virustotal과 비슷하지만, 의심이 가는 파일을 일일이 업로드 할 필요 없이 설치 프로그램을 다운로드 하여 설치 후 실행하면 PC내 주요 프로세스나 모듈, 드라이버 파일등에 대해 스캔을 하고 결과를 보여준다. 다만 아직 베타버전이라 실시간 감시 및 자동 삭제는 지원하지 않으며(2014년 3Q에 지원예정) 여러 백신에서의 탐지결과를 보고 수동으로 삭제를 하여야 한다. 실행 후 스캔이 완료되면 다음과 같이  몇 개의 백신SW에서 악성코드로 탐지하였는지 정보를 보여주는데, 숫자를 클릭하면 해당 파일에 대해 strings등 상세한 분석 결과를 확인할 수 있으며 악성코드라고 판단할 경우 Actions 메뉴를 통해 직접 삭제를 할 수도 있다.

아울러 기본적으로 파일의 hash값을 기반으로 이전에 Cloud에서 수행했던 스캔결과를 참고하기 때문에 일부 백신엔진에서 오탐이 있을 수도 있으니 이러한 경우에는 virustotal.com 에 해당 파일을 업로드 하여 최신 엔진으로 다시 한번 확인해 보는 것이 좋다. 참고로, 스캐닝 수행시 OS및 하드웨어 모델등의 일부 정보가 herdprotect에 전달 될 수 있다. 

# Process explorer :: http://www.sysinternals.com/ 

두번째로 살펴볼 프로그램은 sysinternals에서 제공하는 Process explorer이다. 이 프로그램은 현재 윈도우 PC내 활성화된 프로세스에 대한 자세한 정보를 확인해 볼 수 있는 매우 유명한 프로그램인데, 2014년 1월말에 배포한 v.16.0부터는 각각의 프로세스의 hash값을 virustotal.com과 연계하여 악성 프로세스인지 여부를 실시간으로 체크할 수 있는 유용한 기능을 제공하고 있다.
즉, 의심이 가는 프로세스에서 오른쪽 마우스를 클릭 후 하단의 “Check VirusTotal” 을 선택하면 virustotal에 hash값을 전달하여 이전에 스캔했던 파일이라면 결과값을 보여주게 되는 것이다.

만약 다시 제출하여 검사를 하고자 한다면, 우측 마우스 클릭 후  Properties 선택 후 Image 탭에 있는 Submit을 클릭하면 virustotal에 보내어 다시 검사를 하여 최신의 결과를 확인할 수 있게 된다.