Virustotal

무료 온라인 바이러스 검사 웹사이트로 각기 다른 60개~70여개의 안티바이러스 엔진들이 의심스러운 파일이나 URL 주소를 검사해 각각의 백신에서 어떠한 진단명으로 악성 코드로 진단을 하고 있는지 보여줍니다.
또한, 악성 경유지로 활용이 되었던 이력들이 있는지 확인이 가능하여 국내외 보안 기업은 물론 대기업, 공공기관, 연구시설, 정부에서도 자주 사용하고 있습니다.
FILE, URL, SEARCH 세가지 탭으로 구성되어 있습니다.

1. Choose File 버튼을 클릭하여 파일을 지정하거나 직접 파일을 드래그 하여 업로드 할 수 있습니다.

2. 검사를 진행 후 악성코드가 검출되지 않은 화면입니다.

3. 다른 파일을 검사 후, 악성코드가 검출된 화면입니다.

각 백신에서 빨간색으로 감지되었다는 사실을 알리며 백신에 따라 어떠한 악성코드 유형인지 표시해줍니다.

4. 디테일 탭에 들어가면 해당 파일에 대한 자세한 내용을 보여줍니다.

파일이 가지고 있는 고유한 값인 해시정보, 파일생성 날짜와 처음 검색된 날짜, 마지막에 검색된 된 날짜도 확인이 가능합니다.

그리고, 네임 부분에서 악성 파일이 정상파일로 위장하고자 사용했던 이름들도 확인 할 수 있습니다.

5. Behavior 탭에 들어가면 타 악성코드 분석 사이트와 연동해서 분석 리포트 확인이 가능합니다.

6. 바이러스 토탈에 로그인을 하면 그래프로 좀 더 직관적으로 진단 내용을 확인할 수 있습니다.

압축 파일 업로드시, 압축 파일 내에 여러 파일이 아니라 단일 파일만 업로드할 것이 권장됩니다.
- 압축파일의 종류에 따라 검사하는 백신이 달라지기도 하고, 제일 먼저 있는 파일 하나만 검사하기 때문에 중간에 악성파일이 끼어있어도 검출하지 못합니다.
민감한 개인정보나 중요한 정보들은 업로드 하면 안됩니다.
- 업로드되는 시점에 분석 엔진의 기능 향상을 위해 바이러스 포탈에 있는 DB에 업로드한 파일을 저장합니다. 그렇기 때문에 검사하기 전에 그 파일이 외부에 공유되어도 되는 파일인지의 여부를 반드시 확인해야 합니다.

1. IP 주소나 도메인 주소를 입력 해서 현재 악성 경유지로 활용을 하고 있는지 또는, 과거에 악성 경유지로 활동되었던 이력이 있는지 확인할 때 사용합니다.

2. 네이버 도메인 주소를 넣고 검사해본 화면입니다.

3. 악성사이트 IP주소를 검사해본 화면입니다.

바이러스가 진단 될 경우, 멀웨어나 맬리시어스라고 각 엔진마다 진단명을 빨간색으로 표시해 주었습니다.

서치탭은 URL, IP 주소, 도메인, 파일해시 값을 통해 검색이 가능합니다.
서치 역시 다른 탭과 큰 차이는 없고 검색하는 범위가 달라진 것이 전부입니다.
각 파일들은 자기만의 고유한 값인 해시값을 가집니다. 과거에 검사했던 파일이라면 해시값 조회를 통해 파일 탭에서 파일을 업로드해 검색한 것과 동일한 효과를 볼 수 있습니다.
하지만, 한번도 업로드 된 적 없는 파일이라면 서치탭에서 해시값을 조회하더라도 결과가 나오지 않습니다.
의심파일이 과거에 검사 이력이 있는지 판단할 때 주로 사용합니다.

정보보안 공부노트