랜섬웨어, 악성코드 검사 사이트 - 바이러스 토탈(VirusTotal)

Virus Total - 의심스러운 파일, 도메인, IP 및 URL을 분석하여 맬웨어 및 기타 침해를 탐지하고 보안 커뮤니티와 자동으로 공유합니다.

인터넷이나 이메일, 메신저 등으로 파일을 받았을 때 
이 파일을 통해서 랜섬웨어에 감염되는 건 아닐까? 악성코드가 심어져 있는 건 아닐까?

고민을 하게될때 내 PC에 부담 없이 검사해주는 사이트가 있다면 얼마나 좋을까??
있어서 참 좋다.

우리에게 있어 방식은 참 간단하다.
파일을 업로드하거나 URL 을 입력해서 검사하기를 원하는 파일을 웹브라우저를 통해 전달만 하면 아래처럼 바로 결과가 나온다.

웹에서 받은 파일 하나를 올려보니 67개 백신프로그램 중에서 8개의 프로그램에서 바이러스로 의심된다는 결과가 보인다.

 

반응형

 

사용방법

https://www.virustotal.com/

1. 파일을 선택한다.

• 내 PC의 파일 업로드
• 웹에 있는 파일 주소

2. 검사를 시작한다.

3. 검사 결과를 확인한다.

• 바이러스 검출될 경우 해당 백신에서 검출한 내용을 빨간색으로 표시해준다.
   - ESET-NOD32 : A Variant Of Win32/Kryptik.HRJU
   - Google : Detected
   - Gridinsoft (no cloud) : Trojan.Heur!.02012821
   - Ikarus : Trojan.Win32.Crypt
   - Rising : Malware.SwollenFile!1.DDB4 (CLASSIC)
   - SecureAge : Malicious
   - SentinelOne (Static ML) : Static AI - Suspicious PE
   - Trapmine : Malicious.moderate.ml.score
  
• 바이러스가 검출되지 않는다면 Undetected or Clean 으로 표시된다.
   - Undetected
   - Clean
• 백신 프로그램이 지원하지 않는 경우 Unable to process file type or Unrated 로 표시된다.
   - Unrated
   - Unable to process file type

 

유의사항

파일 확장자에 따라 검사를 지원하는 백신프로그램이 다르다.

위 3개 검사 결과는 모두 동일한 파일에 대하여 다운로드 URI와 압축파일, 실행파일 3가지 형태로 검사를 진행하였다. 하지만, 결과는 3개 모두 다르게 나왔다.

가능하다면 사용자가 실행할 수 있는 최종 형태의 파일로 검사를 하는 것이 가장 안정적이라 생각된다.

또한 검사 결과에 보면 사용자들에게 친숙한 AhnLab, ALYac, AVG, Avast, ViRobot, Symantec, McAfee 백신프로그램은 바이러스로 검출해내지 못했다. 

무엇이 성능이 좋다라고 말할 수 없지만 최신 바이러스의 업데이트 속도인지 오탐인지는 사용자의 판단에 맡길 수 밖에 없다고 생각한다.

검사 결과 상세는 아래 내용처럼 나온다.
 
Basic Properties
MD5  60dd925cf0a1ab2b398cefc9ee2213b1
SHA-1  a71f1c0987cb5392d0142ec3ca4d548a6333550b
SHA-256  65938ff340f8d274cb93f4b18320cf52097c2779aa9302303b990c5ac861958d
Vhash  038086655d15551555751az153z1hz1fz
Authentihash  4e57223f161de6e40b2eaed0830f708bba98646c0b2b8992b66b60b9f94d0354
Imphash  24504b64b274a3328adc46b4630241bb
Rich PE  header hash cf30076b572dcb317e63dfa2b9b9bc90
SSDEEP 98304: TiLyCB10MxcdtHrlei7HsNaEBOBqj90+J1sWkkjaHjTo82Pb0:TimE0Nrlx7HsgEB4qH8Wfs
TLSH  T104E8D108C63B9915EC4C893D22C542DD1AAC4FC88F63CE64EA597075F9788E83D799BC
File type  Win32 EXE
Magic  PE32 executable for MS Windows (GUI) Intel 80386 32-bit
TrID
 - Win32 Dynamic Link Library (generic) (29.6%)
 - Win16 NE executable (generic) (22.7%)
 - Win32 Executable (generic) (20.3%)
 - OS/2 Executable (generic) (9.1%)
 - Generic Win/DOS Executable (9%)
DetectItEasy  PE32 Linker: Microsoft Linker (14.0, Visual Studio 2015 14.0*) [GUI32]
File size  304.04 MB (318805504 bytes)

History Creation
Time 2022-11-15 14:08:10 UTC
First Submission 2022-11-15 18:38:19 UTC
Last Submission 2022-11-16 14:27:58 UTC
Last Analysis 2022-11-15 18:38:19 UTC

Names
Setup.exe

Portable Executable Info
Compiler Products
- id: 203, version: 65501 count=4
- id: 257, version: 29304 count=2
- [---] Unmarked objects count=25
- id: 93, version: 4035 count=3
- id: 265, version: 24210 count=2
- id: 258, version: 24210 count=1

Header
- Target Machine Intel 386 or later processors and compatible processors
- Compilation Timestamp 2022-11-15 14:08:10 UTC
- Entry Point 4631
- Contained Sections 8

Sections

Imports
 - ntdll.dll
 - KERNEL32.dll
 - USER32.dll

Contained Resources By Typ
- RT_MANIFEST1
- RT_GROUP_ICON1
- RT_ICON1

Contained Resources By Language
- ENGLISH US 3

Contained Resources