바이러스체이서 - 전용 툴 검사시 발견되는 ADS Detected

악성 바이러스가 요즘 돌고 있다기에 마침 바이러스체이서에서 전용 툴이라고 내놓은 것도 있어서 한번 돌려봤습니다.

(개인적으로는 바이러스 체이서 사이트에서 직접 받아서 써봤습니다 https://www.viruschaser.com/main/customer/VCNotice_Dt.jsp?page=1&no=3483&vno=174&noticeType=A)

단일 파일이라 화려한 인터페이스나 세세한 옵션/기능을 기대한 것은 아니지만, 조금 불편해 보이긴 하네요.

- 우선 창 리사이즈가 안됩니다. 엄청 많은 파일이 검색되어서 주르륵 나열되는데 일일히 보기 힘드네요.

- 처음 시작하자마자 검색하기 시작하더군요. 멈출수 있긴 한데, 사용자의 입력 또는 선택없이 무작정 검사를 시작하는 게 조금은 생뚱맞은 것 같습니다. 특히 특정 하드드라이브 검색만이 아니라 연결된 모든 하드드라이브를 다 검색하는지라 오래 걸리기도 하네요.

흠, 딱히 불평을 하기 위해 글을 쓰는 건 아니고, 수많은 파일들이 나열되기 시작하고, 검출이름은 단순히 ADS Detected 라고만 나오길래 바둥바둥 되다가 본 글을 끄적이게 되었습니다. 바이러스 쪽은 많이 무지한 저인지라, 뭘까 처음엔 고민을 많이 했거든요. 상태 칼럼에는 "감염됨"이라고 무자비하게 표기가 되어 있고, 처리결과에는 "치료가능"이라고 되어 있어서 거의 병주고 약주는 기분이었습니다.

인터넷으로 ads detected 라고 쳐봤지만 광고 관련 결과만 나오더군요. ads 가 ad(vertisement)s 의 약자로 많이 쓰이다 보니 그런 것 같습니다.

각설하고, 파일 이름 끝에 하나같이 :Zone.identifier가 붙어 있길래, 그에 맞춰 인터넷 검색을 해보니 바이러스 같아 보이지는 않군요. 아래 링크 둘 다 영어입니다. 아마 한글 검색을 해도 쉽게 찾을 수 있을 것 같으니, 더 자세한 내용이 궁금하신 분들은 직접 찾아보시길 권해드립니다.

F-secure사의 zone identifier 설명: https://www.f-secure.com/v-descs/zoneident.shtml

모질라 포럼의 관련 쓰레드: https://support.mozilla.com/en-US/forum/1/140604

(저처럼) 파폭을 주로 쓰시는 분들은, 파일 다운로드를 받을 때, 완료된 파일을 파폭이 자동적으로 바이러스검사를 하는 것을 보실 수 있을 겁니다. 포럼 글을 대충 보니, 이 검사하는 기능때문에 zone.identifier가 생기는 것 같네요. (물론 파폭만이 본 파일을 생성하는 것은 아닙니다. 익스나 아웃룩 또한 관련 파일을 생성한다고 읽었습니다) 글 중 일부분을 빌려오자면,

After visiting about:config and setting this preference to false, I downloaded a .exe file and verified that Windows no longer displays its security warning. Checking out the file with NTFSADS shows no alternate data streams.

요는,

전용 툴로 검색했을 시 나오는 결과를 너무 믿거나, 또는 발견된 수많은 파일 갯수 때문에 큰 걱정을 할 필요는 없을 것 같습니다. 완벽하게 바이러스를 검진해내는 것은 아니고, 아마 바이러스일지도 모른다는 heuristic 방식이 많이 쓰인 것 같아요. 물론 바이러스 검사시에 false alarm이 positive alarm보다 나을테지만, 너무 자주 울려대면 양치기소년이 생각나게 마련입니다. 나중에 진짜 바이러스에 걸렸을 때에는 "별일 아니겠지" 하며 넘겨버릴 수가 있거든요.