본문 바로가기
유용한 팁들

안전하게 파일 다운로드하기

by 글벌레 2009. 7. 29.
반응형

프로그램(실행) 파일들을 많이 다운로드받는 경우 이 포스트를 눈여겨 볼 만 합니다 .
(단, 영화 파일등 용량이 너무 큰 파일의 경우는 제외입니다. 바이러스토탈에 보내는 파일의 크기는 제한적입니다.)

인터넷을 통한 감염의 경우
가장 흔한 경우는 사용자가 인지하지 못하고 허용한 ActiveX 등입니다만,
또 다른 한편으로는 사용자들이 이런저런 이유로 다운로드한 파일이 감염되어 있는 경우입니다.

감염된 파일을 실행한 경우 사용자의 PC는
대부분 사용자가 감당할 수 없는 나락으로 떨어지게 됩니다.

우선 아래 드리는 링크의 예전 제 글을 참조하시어 샌드박시를 설치합니다.

2009/05/20 - [프로그램 리뷰] - Sandboxie - 절대로 악성코드에 안걸리는 웹 서핑 하기

샌드박시로 실행된 인터넷 익스플로러를 통하여 다운로드하려는, 
그러나 좀 의심스러운 파일을 다운로드 합니다.

아래 보시면 저도 파일 하나를 다운로드하려고 하고 있습니다.

 

위 그림에서 빨간 네모 친 곳을 보면 이 다운로드가 샌드박스 내에서 실행되려는 것임을 알 수 있고,
기본적으로는 [#]파일 다운로드[#] 또는 [#][DefaultBox]파일 다운로드[#]로 표시되는데
저처럼 다른 이름으로 표시되는 경우는 새로운 샌드박스를 만든 경우이고
이 방법은 위의 제 예전 글을 보시면 나옵니다.

저는 위 그림에 보이는 파일을
C:\[글벌레] 란 폴더에 다운로드 하였습니다 .

다운로드를 하고 보면


위 그림에서 보이는 거처럼

왼쪽 - 가상화 되지 않은 맨 시스템(실제 내 시스템)에는 어떠한 파일도 다운로드 되지 않음.
오른쪽 - 샌드박스 내 - 가상화 환경에서는 [그림 1]에서 다운로드한 파일이 있음을 볼 수 있습니다.

이제 이 파일이 안전한지 아닌지 알아보아야 할 것입니다.

그래서 그 일환으로 바이러스토탈에 해당 파일을 보내 봅니다 .
주의할 것은 바이러스토탈도 샌드박스로(샌드박스가 여러 개인 경우 다운로드한 샌드박스로) 실행한
인터넷 익스플로러에서 실행해야 다운받은 파일이 보이고 또한 바이러스토탈에 보낼 수도 있다는 것입니다.

2009/02/05 - [유용한 팁들] - 바이러스 검사 - Virus Total / VirScan

위 [그림1]에서 다운로드받은 파일을 바이러스토탈에 보내 보기로 합니다.


다시 한 번 말씀드리지만 위 그림을 보시면 아시겠지만 저는
샌드박시 테스트 박스에서 다운로드하고 테스트 박스([#]TestBox)에서 
바이러스토탈로 검사를 보냈습니다.

그랬더니 검사 결과가 아래와 같습니다.

검사 파일: msinms.exe 전송 시각: 2009.07.29 08:49:11 (UTC)
안티바이러스 엔진 버전 정의 날짜 검사 결과
a-squared 4.5.0.24 2009.07.29 Backdoor.Win32.Syrutrk!IK
AhnLab-V3 5.0.0.2 2009.07.28 -
AntiVir 7.9.0.234 2009.07.29 TR/Crypt.XPACK.Gen
Antiy-AVL 2.0.3.7 2009.07.29 Worm/Win32.Agent
Authentium 5.1.2.4 2009.07.28 W32/Heuristic-170!Eldorado
Avast 4.8.1335.0 2009.07.28 Win32:Small-CHC
AVG 8.5.0.387 2009.07.28 BackDoor.Generic11.AEPD.dropper
BitDefender 7.2 2009.07.29 Dropped:Trojan.Dropper.SGO
CAT-QuickHeal 10.00 2009.07.28 -
ClamAV 0.94.1 2009.07.29 -
Comodo 1801 2009.07.29 -
DrWeb 5.0.0.12182 2009.07.29 DLOADER.Trojan
eSafe 7.0.17.0 2009.07.28 Suspicious File
eTrust-Vet 31.6.6643 2009.07.28 -
F-Prot 4.4.4.56 2009.07.28 W32/Heuristic-170!Eldorado
F-Secure 8.0.14470.0 2009.07.29 -
Fortinet 3.120.0.0 2009.07.29 W32/Bckdr.QUZ!tr
GData 19 2009.07.29 Dropped:Trojan.Dropper.SGO
Ikarus T3.1.1.64.0 2009.07.29 Backdoor.Win32.Syrutrk
Jiangmin 11.0.800 2009.07.29 Heur:TrojanDownloadar/Agent
K7AntiVirus 7.10.804 2009.07.28 Trojan.Win32.Malware.1
Kaspersky 7.0.0.125 2009.07.29 Trojan-Downloader.Win32.Murlo.bnu
McAfee 5691 2009.07.28 Generic.dx
McAfee+Artemis 5691 2009.07.28 Artemis!42CE6F50996B
McAfee-GW-Edition 6.8.5 2009.07.29 Heuristic.BehavesLike.Win32.Packed.B
Microsoft 1.4903 2009.07.29 Backdoor:Win32/Syrutrk.A
NOD32 4286 2009.07.28 a variant of Win32/Small.CVQ
Norman 6.01.09 2009.07.28 W32/Malware
nProtect 2009.1.8.0 2009.07.29 Trojan-Downloader/W32.MultiDrop.78848
Panda 10.0.0.14 2009.07.28 Generic Malware
PCTools 4.4.2.0 2009.07.28 -
Prevx 3.0 2009.07.29 High Risk Information Stealer
Rising 21.40.21.00 2009.07.29 Dropper.Win32.Undef.xt
Sophos 4.44.0 2009.07.29 Troj/Bckdr-QUZ
Sunbelt 3.2.1858.2 2009.07.29 BehavesLike.Win32.Malware (v)
Symantec 1.4.4.12 2009.07.29 Infostealer
TheHacker 6.3.4.3.377 2009.07.29 -
TrendMicro 8.950.0.1094 2009.07.29 PAK_Generic.001
VBA32 3.12.10.9 2009.07.29 Trojan-Downloader.Win32.Agent.bidg
ViRobot 2009.7.29.1858 2009.07.29 Spyware.Murlo.Do.78848
VirusBuster 4.6.5.0 2009.07.28 -
 
추가 정보
File size: 78848 bytes
MD5...: 42ce6f50996bda83d9cdf6d6445a9b27


위의 검사 결과를 보면 이 파일은 확실히 시스템에서 실행하면 안 되는 파일이란 게 확실합니다 .

그런데 검사 결과가 긴가민가 싶을 때도 있을 것입니다.
검색 결과가 맞는 것인지.............오진은 아닌지.........
그런 경우는 제가 굵은 녹색 글씨로 표시한 회사들의 총체적 진단 사항을 보시고 판단하시기 바랍니다.

물론 이렇게 검사한 파일이 설치 파일인 경우,
물론 설치 파일일지라도 악성일 경우 대다수 백신들이 진단해내지만
그럼에도 또 한편으로 각각의 모든 백신들에 있어서 나타날 수 있는 사항이 설치 파일은 진단하지 못하지만
설치된 파일은 진단하는 경우입니다.

물론 이런 경우는 흔한 경우는 아닙니다.
그렇다고 대책이 없는 것은 아닙니다.
그러나 제가 오늘은 시간 관계상 여기까지만 포스팅하고
설치된 파일에 대한 샌드박스내 검사에 대하여는 다음에 포스팅하기로 합니다.

오늘의 포스팅만으로도 신경을 써서 읽어 본다면
우리가 평소 사용하는 방법인
파일을 다운로드한다 > 내 시스템에 설치된 백신으로 검사한다  > 검색 결과 나오는게 없으면 실행한다
보다는 상당히 안전한 방법으로 파일을 다운로드 실행할 수 있습니다 .

 

반응형

댓글