따라서, 최신 악성 프로그램의 경우에는 한두가지 제품에서만 (초기에) 진단하는 경우가 많으므로, 다양한 백신의 분석을 검토하여 악성 여부를 사용자가 가늠할 수 있습니다.
바이러스토탈에는 어베스트! 엔진이 4와 5두가지로 나눠서 제공됩니다. 악성 프로그램을 보통 검사해 보면 거의 대부분 동일한 진단을 하게 되지만, 다음과 같은 진단명은 어베스트! V5 버전에서만 볼 수 있습니다.
- Win32:Packed - 실행 압축(SFX) 형식으로 감염된 파일
- Win32:SuspBehav - 의심스러운 행동을 하는 파일
어베스트! V4 엔진의 가장 큰 오진의 원인은 바로 실행 압축(executable archive)을 악성 프로그램으로 진단하는 것이었습니다. 그 이유는 일반적으로 악성 프로그램이 분석을 막기 위해 프로그램의 헤더를 압축하고, 헤더값을 일부 변조하여 압축을 해제할 수 없게 하는 경우가 많았기 때문입니다. 어베스트! V5에서는 이러한 문제를 해결하기 위해 추가적인 기능을 채택하였습니다.
Win32:SuspBehav는 어베스트! V5에 포함된 루트킷 탐지 기술과 가상화(sandbox)를 통해 진단하는 경우에 나타날 수 있으며, 어베스트! V4에서는 이 진단명이 존재하지 않습니다.
감사합니다.
새 트위터 글
TAG AVAST,
Avast!,
sandbox,
virustotal,
win32:packed,
win32:suspbehav,
www.virustotal,
가상화,
루트킷,
루트킷 탐지,
바이러스토탈,
아바스트,
어베스트,
어베스트!
