이제 내 컴퓨터는 내가 관리한다!

Korean [English] [Japanese] [Chinese]

이 파일은 안전한 파일일까? MD5 체크와 VirSCAN 으로 검사해보자

2007.11.29 17:08
얼마 전, 개인이 튜닝하여 배포하고 있는 윈도우XP 에서 cmdow.exe 라는 리스크웨어가 발견되어 걱정이 된다는 질문을 받았습니다. 이같이 특정한 파일이 안전한 파일인지 위험한 파일인지를 판단하는 가장 손쉬운 방법은 자신의 컴퓨터에 설치되어 있는 안티바이러스로 검사해보는 것입니다. 하지만 안티바이러스 제작사마다 보유하고 있는 악성코드 데이터베이스가 다르기 때문에 하나의 안티바이러스에서 악성코드로 진단하지 않았다고 안심하기는 이릅니다.

먼저 cmdow.exe 가 어떤 프로그램인지 검색해봅시다. CMDOW 에 대한 자세한 정보는 아래 웹페이지를 참고하세요.
- CMDOW 웹페이지 : http://www.commandline.co.uk/cmdow/

CMDOW (Commandline Window Utility, cmdow.exe) 는 명령 프롬프트에서 윈도우 창을 제어하는 프로그램입니다. 국내에서는 주로 무인설치 윈도우 배포판에서 많이 사용됩니다. CMDOW 웹페이지를 살펴보니 몇몇 안티바이러스에서 창을 숨기는 기능으로 인하여 바이러스로 진단하고 있지만, 실제로 바이러스는 아니라고 이야기하고 있습니다. 그래도 혹시 cmdow.exe 파일이 악의적인 목적을 가진 사용자에 의해 변형되어 배포되거나 악성코드에 감염되었을 수 있으니 원본 파일과 동일한, 변형되지 않은 파일인지 검사해보겠습니다.

아비라 안티비르 (Avira AntiVir) cmdow.exe 검사 결과

안티비르 (AntiVir) 의 cmdow.exe 진단 화면



1. MD5 체크섬으로 변형되지 않은 파일인지 검사

해외 사이트에서는 파일을 배포할 때 MD5SHA-1 등의 체크섬 값과 함께 배포하는 것이 일반적입니다. MD5SHA-1 같은 해시값들은 특정 파일이 해시 알고리즘 (hash algorithm) 을 거친 뒤에 생성되는 고유한 값입니다. 원본 파일의 해시값과 사본 파일의 해시값이 동일하다면 파일이 변형되지 않은 것으로 판단할 수 있습니다. 용어가 생소해 낯설지만 실제 사용은 어렵지 않습니다. 우리는 그저 간단한 체크섬 (Checksum) 프로그램으로 해시값만 비교해보면 됩니다.

오늘은 해시 알고리즘 중에서도 널리 사용되고 있는 MD5 체크섬 (MD5 Checksum) 으로 cmdow.exe 의 MD5 해시값을 비교해보겠습니다. CMDOW 웹페이지를 보면 원본 파일의 종류별 해시값들이 있습니다. CMDOW 의 MD5 해시값은 다음과 같습니다.

MD5 : 48A78BF8 EF453D9C A4D6C058 7AE2DE94

이제 MD5 체크섬 (MD5 Checksum) 프로그램을 다운로드 받습니다. MD5 체크섬 프로그램은 네로 버닝 롬 (Nero Burning ROM) 으로 유명한 네로 (Nero) 의 Nero MD5 Verifier 를 사용하겠습니다.

- Nero MD5 Verifier 다운로드 : ftp://ftp6.nero.com/NeroMD5Verifier.zip

Nero MD5 Verifier 를 실행하고, 1번란에 프로그램 제작사에서 제공하는 MD5 값을 붙여넣기합니다.
(주의 : MD5 해시값 사이의 공백은 모두 제거합니다.)
'파일열기 (Browse)' 버튼을 클릭하고 cmdow.exe 파일을 선택하면 자동으로 현재 cmdow.exe 파일의 해시값을 계산하여 3번란에 표시합니다. 1번과 3번란의 값이 같다면 그 파일은 원 파일과 동일한 변형되지 않은 파일입니다. :)

MD5 체크섬 프로그램 Nero MD5 Verifier

더 많은 종류의 해시값을 추출하고 검사하려면 FSUMFSUM Frontend 를 사용하시기 바랍니다. FSUM 은 콘솔용 프로그램이고, FSUM Frontend 는 FSUM 을 이용한 GUI (Graphic User Interface, 그래픽 사용자 인터페이스) 프로그램입니다.


2. 다양한 안티바이러스로 파일 검사, VirSCAN.org

사실 안전성이 의심스러운 파일은 프로그램 제작사의 홈페이지가 어디인지 알 수 없거나 원 파일의 해시값을 알 수 없는 경우가 대부분입니다. 이럴 때는 VirSCAN 에 파일을 업로드하여 바이러스를 검사합니다. VirSCAN 은 현존하는 거의 모든 안티바이러스로 업로드한 파일을 검사하고 그 결과를 알려주는 사이트입니다. 즐거운 컴퓨터고난기록기

이 때 주의할 점은 한번에 하나의 파일만 업로드가 가능하고, 파일의 크기가 10MB 보다 작아야 하며, 압축 파일 (RAR, ZIP) 의 경우 압축된 파일의 개수가 10개보다 적어야 합니다. 업로드된 파일은 바이러스 샘플 추출을 위해 각 안티바이러스 제작사로 보내지기 때문에 유출되면 안 되는 중요한 파일은 절대로 업로드하지 마시기 바랍니다.

- VirSCAN 홈페이지 : http://www.virscan.org/

VirSCAN.org

제 작업용 시스템에서 사용하고 있는 무료 안티바이러스안티비르 (AntiVir)cmdow.exe 를 'SPR/HideWindows.I (Security Privacy Risk/HideWindows.I, 개인 보안 위험이 있는 파일/창을 숨김)' 으로 진단했습니다.
이제 VirSCANcmdow.exe 를 업로드하여 다양한 백신 제작사의 데이터베이스로 검사해보겠습니다.

VirSCAN.org 파일 업로드

파일을 업로드하면 잠시 후 자동으로 검사 결과 화면이 나타납니다.

VirSCAN.org 파일 정보

여기서도 업로드한 파일의 MD5SHA1 해쉬값을 계산하여 주는군요. :)

VirSCAN.org 파일 검사 결과

검사 결과, 많은 안티바이러스 프로그램들이 cmdow.exe바이러스는 아니지만 다른 사람에 의해 악용될 수 있는 프로그램으로 진단하고 있습니다. 정 마음에 걸리신다면 cmdow.exe 파일을 삭제하셔도 무방합니다. :)

이제는 어떤 의심스러운 파일이라도 스스로 진단할 수 있으시겠죠? :)
신고

[구독] : 이 블로그를 즐겨찾기에 추가하고, 더 많은 컴퓨터 정보를 얻으세요.

전체 글

분류 전체보기 (123)
안티바이러스 / 보안 (47)
유용한 프로그램 소개 (34)
윈도우 관리 / 설정 (21)
하드웨어 관련 (20)