Malware Zero
[clearfix]
1. 개요
네이버 카페로 운영되는 대한민국 보안 관련 인터넷 커뮤니티인 바이러스 제로 : 시큐리티 커뮤니티 카페 매니저 '''ViOLeT'''이 개발한 미설치 보조형 무료 악성코드 제거 도구이다.
윈도우 배치 스크립트(메인) 및 각각의 명령 프롬프트에서 동작하는 공개 응용 소프트웨어들로 이루어져 있어 설치 없이 사용 가능하다는 것이 장점이다.[1]
단, 어디까지나 사용자의 컴퓨터가 이미 악성코드에 감염된 상태에서 사용되는 보조적인 도구이므로 안티바이러스 제품을 온전히 대체할 수 없음을 명심하자.[2]
검사를 진행할 때 신뢰 프로세스를 제외한 불필요한 프로세스들이 종료되므로 중요한 작업을 하고 있었다면 반드시 사전에 저장하고 진행해야 하며, 진단되는 항목들은 자동으로 격리[3] 조치되며 최종 검사 결과 및 상세 내용은 마지막에 텍스트 문서로 보여준다. 검사 후 재부팅을 권장한다.
참고로 정상적인 실행 파일 자체를 감염시키는 바이러스 또는 웜 유형에는 효과가 전혀 없으므로 안티바이러스 제품이나 전용 백신을 사용해야 하고[4] , 다른 안티바이러스 제품도 동일하겠지만 랜섬웨어에 의해 암호화 된 파일은 악성코드 자체를 제거하더라도 이전으로 복원되지 않는다.
자동 업데이트 기능이 존재하지 않기 때문에 필요할 때마다 공식 사이트 또는 네이버 소프트웨어[5] 에서 내려받아 사용해야 한다.[6]
혹시라도 검사 후 제거되지 않는 악성코드 또는 악성 프로그램이 있다면 악성코드 분석을 요청해서 뿌리를 뽑아보자.
2. 역사
- 2013년 04월 19일 : 「Rootkit ReMoVeR」 명칭으로 바이러스 제로 : 시큐리티 커뮤니티(전: 바이러스 제로 시즌 2) 카페에서 최초 서비스
- 2014년 06월 01일 : 「Malware Zero Kit」 으로 명칭 변경 (애칭 MZK)
- 2019년 05월 01일 : 「Malware Zero」 로 명칭 변경 및 공식 웹사이트 구축 및 서비스
- 2019년 06월 06일 : 네이버 소프트웨어 「시스템 관리」 카테고리 등록 및 서비스
3. 기능
- 광고 프로그램 제거 : 사용자의 의도와는 관계 없이 무분별한 방식으로 광고 창을 띄우는 툴바를 포함한 악의적인 광고 프로그램을 효과적으로 제거
- 악성코드 제거 : 치명적 피해를 유발하는 트로이 목마는 기본으로 스파이웨어, 하이재커, 불법 해킹 도구 등의 악성코드 제거
- 악성 DNS 제거 : 악성 서버와 직접적으로 통신하기 위해 네트워크 설정에 등록되는 악의적인 도메인 네임 설정 초기화 및 제거
- 웹 브라우저 검사 : 인터넷 익스플로러 및 엣지, 파이어폭스, 크롬 등 웹 브라우저의 악성 시작 페이지, 검색 엔진 설정, 확장 프로그램 등 제거
- 캐시 청소 : 운영체제 및 웹 브라우저에서 임시로 생성한 불필요한 캐시 파일을 제거하여 디스크 공간을 확보하고 최적화
- 시스템 변조 확인 : 악성코드가 시스템을 변조시켰을 경우 기본값으로 자동 초기화 시키거나 리포트 파일에 확인 요구 표기 진행
4. 결과
- 녹색 : 문제 없음
- 적색 : 악성코드(악성 프로그램) 또는 불필요한 항목 발견
- 황색 : 주의해야 할 항목 발견
5. 진단 기준
- 광고 팝업을 '상습적'으로 띄워 사용자에게 심각한 불편함을 주거나 사용자의 PC를 정상적으로 사용할 수 없게 방해하는 프로그램
- 운영체제 및 자체에서 제공하는 제거 도구를 통해 제거 후에도 계속 동작하거나 자동으로 재설치되는 프로그램
- 자체 제거 도구를 아예 제공하지 않거나 프로그램 항목에 등록하지 않고 제거 도구를 실행하기 어렵게 제작한 프로그램
- 악성코드 또는 다른 광고성 프로그램을 정상 업데이트 과정으로 위장시켜 설치시키거나 사용자 모르게 설치시키는 프로그램
- 브라우저의 시작 페이지 고정 및 자동 아이콘/바로가기 생성 후 고정, 보안 설정 변경 등의 행위를 악의적으로 수행하는 프로그램
- 포털 등에서 입력한 키워드를 가로채어 특정 업체만을 위한 별도의 팝업을 띄워 사용자 편익 저해 및 공정 경쟁을 훼손시키는 프로그램
- 다운로드/정상 프로그램을 가장하여 사용자가 인식하기 어려운 방식으로 제휴/스폰서/검색 도우미 프로그램을 설치시키는 프로그램
- 전면에 소개하는 기능과 전혀 관련 없는 사용자 이익에 반(反)하는 기능을 수행하는 프로그램
- 정상 프로그램의 명칭을 사칭하거나 시스템 프로그램으로 위장(예: Windows Utility Update 등)하여 설치되는 악성 프로그램
- 사용자 PC의 맥 주소 등 기타 개인 정보 등을 무단 수집하는 악성 프로그램
- 바이러스, 트로이 목마, 스파이웨어 등 악성코드
6. 기타
- 공식 사이트 외 다른 사이트 포함 카페, 블로그, 토렌트, 소셜 네트워크 등에서 파일 직접 배포를 포함하여 코드 변형 및 상업적 이용이 절대 금지되어 있다.[7]
7. 외부 링크
[1] 다만 배치 스크립트의 태생적인 한계로 검사 속도가 상대적으로 느린 것이 단점이며, 특히 안티바이러스 제품의 실시간 감시 기능이 동작중일 경우 간섭에 의해 검사 속도가 매우 느려지므로 이 경우에는 안전 모드 환경으로 부팅 후 검사하거나 실시간 감시 기능을 잠시 비활성화 시킨 후 사용하는 것이 좋다.[2] 오로지 악성코드 제거를 목적으로 제작된 도구이며 검사 영역이 부분적이고 실시간 감시 등의 사전 방어 기능이 없으므로 절대 예방 목적으로 사용할 수 없다.[3] 진단되는 항목들은 모두 시스템 드라이브 루트에 생성되는 Quarantine_MZ 폴더에 격리(이동 조치 및 실행 불가 처리)되므로 만에 하나 오진이 발생하더라도 복원이 가능하다. 오진 없이 처리되었다면 생성된 격리 폴더를 삭제해 마무리하면 된다.[4] 파일 감염형 바이러스나 웜에 감염되면 치료하기가 매우 까다롭고 소요되는 시간도 어마무시하기 때문에 차라리 백업 및 포맷 후 운영체제를 재설치하는 것이 나을 수 있다. 특히 파일 감염형 바이러스(대표적으로 Virut, Parite 등)의 경우 치료에 성공하더라도 감염되었던 실행 파일들은 작든 크든 손상은 불가피하다.[5] 네이버 소프트웨어 페이지에서도 공식 사이트 다운로드 페이지로 연결되어 있다.[6] 데이터베이스 날짜 기준 5일이 경과하면 버전이 오래되었다는 경고 창이 표시되고 사용은 가능하지만 7일이 경과되면 실행이 불가능해진다.[7] 악성코드와 함께 배포될 수도 있고 코드를 악의적으로 변형했을 수도 있으니 반드시 공식 사이트에서 내려받아 사용해야 한다.