Transcript 1. 검색능력 비교
백신 비교분석 자료 ㈜뉴테크웨이브 서울특별시 송파구 방이동 212번지 창암빌딩 Tel. 02) 414-0983 Fax 02) 418-0054 http://www.viruschaser.com www.viruschaser.com Contents www.viruschaser.com 1 검색 능력 비교 2 주요 기능 비교 3 중앙관리 시스템 2 1. 검색능력 비교 가. 개 요 (1) 비교 중점 안티 바이러스 백신의 가장 중요한 역할은 바이러스 검색 및 치료입니다. 바이러스 검색능력이 높다는 것은 그만큼 사용자의 컴퓨터를 바이러스로부터 보호능력이 뛰어나다는 것을 의미합니다. 국내에는 아직 안티 바이러스 제품의 평가기관이 없으며, 해외의 평가 기관인 Virus Bulletin에 가장 많이 의존하고 있습니다. (2) 바이러스 보유 패턴 바이러스 패턴을 많다는 것은 그만큼 바이러스 샘플을 많이 보유하고 있으며, 각 바이러스에 대한 검색능력이 뛰어나다는 것을 의미합니다. 바이러스 체이서는 하나의 바이러스 패턴으로 유사한 변종 바이러스까지 검출하므로 실제 검색능력은 DB 수량보다 뛰어납니다. 2005년 3월 19일 기준 구 분 패턴 DB 수량 www.viruschaser.com 바이러스 체이서 바이로봇 V3 71,030 개 30,537 개 34,639 개 3 1. 검색능력 비교 나. 바이러스 블루틴 (1) 개 요 Virus Bulletin은 영국에 있는 Anti-Virus 제품을 평가하는 기관으로 전세계에서 Anti-Virus 제품을 평가/인증하는 가장 권위 있는 기관임. 분기에 한번씩 다른 버전의 OS에서 실시되며, ItW분야 테스트에서 100%를 받으면 다음과 같은 로고를 받게 되고 사용할 수 있음. 평가항목 • ItW (In the WildList) : 바이러스 정보를 제공. ㅇ File : 실행 가능 파일 바이러스 테스트. ㅇ Boot : 부트섹터 감염 바이러스 테스트. 100% 인증 항목 • Macro : Micro Soft 오피스 제품군에 기생하는 바이러스 테스트. • Polymorphic : 다형성 바이러스, 즉 변종 바이러스 테스트. • Standard : 웜, 트로이목마, 백도어를 포함한 기타 악성파일 바이러스 테스트. www.viruschaser.com 이 두가지 항목은 현재 가장 이슈화가 되고 있는 bot계열의 바이러스와 해킹툴 등을 포함합니다. 4 1. 검색능력 비교 나. 바이러스 블루틴 (2) 결과 자료 2003년 2월 테스트 실시간 수동 제품명 1) File 2) Boot 3) Macro 4) Polymorphic 5) Standard Virus Chaser 100% 100% 100% 100% 99.52% Vi-Robot 99.83% 100% 100% 33.63% 73.58% V3 99.83% 100% 97.45% 45.58% 80.08% Virus Chaser 100% 100% 100% 100% 100% Vi-Robot 99.83% 100% 98.87% 33.63% 73.58% V3 99.83% 100% 97.58% 45.58% 80.05% 제품명 1) File 2) Boot 3) Macro 4) Polymorphic 5) Standard Virus Chaser 99.51% 100% 100% 100% 99.61% Vi-Robot 100% 100% 98.84% 33.63% 73.68% V3 99.96% 99.96% 97.76% 44.68% 86.29% Virus Chaser 99.51% 100% 100% 100% 100% Vi-Robot 100% 100% 98.84% 33.63% 73.69% V3 99.96% 100% 97.76% 44.68% 86.29% 바이러스 체이서 국내 최초 바이러스 블루틴 100% 인증 마크 획득 2003년 6월 테스트 실시간 수동 www.viruschaser.com 하우리 Vi-Robot 최초 바이러스 블루틴 100% 인증 마크 획득 5 1. 검색능력 비교 나. 바이러스 블루틴 2003년 11월 테스트 실시간 수동 제품명 1) File 2) Boot 3) Macro 4) Polymorphic 5) Standard Virus Chaser 99.56% 100% 99.90% 100% 99.69% Vi-Robot - - - - - V3 100% 100% 96.11% 42.74% 85.35% Virus Chaser 99.56% 99.58% 99.90% 100% 100% Vi-Robot - - - - - V3 100% 100% 98.18% 45.48% 85.42% 제품명 1) File 2) Boot 3) Macro 4) Polymorphic 5) Standard Virus Chaser 100% 100% 100% 100% 99.69% Vi-Robot - - - - - V3 100% 100% 98.97% 63.81% 96.18% Virus Chaser 100% 100% 100% 100% 99.82% Vi-Robot - - - - - V3 100% 100% 98.97% 63.81% 96.18% 안철수연구소 V3 최초 바이러스 블루틴 100% 인증 마크 획득 2005년 2월 테스트 실시간 수동 www.viruschaser.com 바이러스 체이서, V3 바이러스 블루틴 100% 인증 마크 획득 6 1. 검색능력 비교 나. 바이러스 블루틴 2005년 2월 • 안철수 연구소의 V3제품은 해외 타 백신에 비해서 성능이 저조합니다. 특히 Polymorphic (다형성, 변종) 부분에서는 최하위의 성능을 보이고 있습니다. • 뉴테크웨이브의 Virus Chaser는 해외 타 백신보다 우수하거나 동등한 성능을 갖추고 있음을 증명하고 있습니다. www.viruschaser.com 7 1. 검색능력 비교 다. 그리스 발표 자료 (1) 개 요 그리스 샘플 수집가 겸 백신 테스터인 안토니 페트라키스가 전 세계 유명 백신프로그램을 테스트하여 발표한 자료임. 테스트에 사용된 바이러스 및 악성 프로그램 샘플의 수는 76,556 개임. 2004년 8월 10일 부터 25일까지 진행되었으며, 윈도우2000 SP4 에서 시행되었음. (2) 결 과 주요 세부 내용 Virus category File Newtech Wave Virus Chaser Hauri Vi-Robot Ahn Lab. V3 (221) 108 48.87% 43 19.46% 30 13.57% (28869) 28004 97.00% 13161 45.59% 12053 41.75% Windows.* (2491) 2378 95.46% 376 15.09% 786 31.55% Macro (6815) 6638 97.40% 6423 94.25% 5943 87.20% (13455) 11148 82.85% 8126 60.39% 7567 56.24% (5812) 5621 96.71% 2766 47.59% 2657 45.72% Trojans-Backdoors (18893) 14292 75.65% 4074 21.56% 3371 17.84% Total performance (76556) 68189 89.07% 34969 45.68% 32407 42.33% MS-DOS Malware Script www.viruschaser.com 8 1. 검색능력 비교 다. 그리스 발표 자료 (2) 결 과 그래프 분석 Total performance Trojan-Backdoors File Trojan-Backdoors MS-DOS Windows Macro Virus Chaser www.viruschaser.com Trojan-Backdoors File Script 0 Malware MS-DOS Windows Macro Vi-Robot File 50 50 0 Malware 100 100 50 Script Total performance Total performance 100 Script 0 Malware MS-DOS Windows Macro V3 Pro 2002 9 2. 주요기능 비교 가. 업데이트 비교 (1) 개 요 바이러스 체이서는 매일 10-20회 실시간으로 update가 이루어 짐 신종, 변종 바이러스에 대한 예방 및 방역이 가장 빠른 시간 내에 가능함 (전세계 User 2시간 이내 자동 Update 구현) - 업데이트 용량 5-10Kbyte로 타제품에 1/1000 수준 - 엔진과 패턴의 완벽한 분리로 프로그램의 바이러스 감염 시 자동 복구 기능 지원 - 확산력 높은 Virus의 경우 2시간 이내에 전세계에 확산이 가능한 실정 이므로 Virus Chaser만이 유일하게 감염 전 예방이 가능함. 2005년 03월 자체 테스트 결과 제품명 주 기 평균 사이즈 방 법 바이러스 감염 시 비 고 바이러스 체이서 매일 / 10-20회 5 Kbyte 실시간 / 자동 복구 가능 엔진, 패턴 분리 V3 2004 매일 / 1회 3 Mbyte 예약 / 수동 불가 엔진+패턴 바이로봇 4.0 매일 / 1회 3 Mbyte 예약 / 수동 복구 가능 엔진+패턴 노턴 1주 8-9 Mbyte 예약 / 수동 불가 엔진+패턴 피시 실린 1주 / 3-4회 1-2 Mbyte 예약 / 수동 불가 엔진, 패턴 분리 www.viruschaser.com 10 2. 주요기능 비교 가. 업데이트 비교 (2) 업데이트 비교분석 (2003. 1 ~ 2004. 6) Virus Chaser 구 분 전체 일평균 비 고 횟 수 2170 4.01 2005년부터 하루 패턴수량 17565 32.47 10~20회의 업데이트 구 분 전체 일평균 횟 수 480 0.89 하루 평균 30개 이상의 패턴수량 4232 7.82 신종 바이러스 출현 구 분 전체 일평균 횟 수 535 0.99 하루 평균 30개 이상의 패턴수량 4638 8.75 신종 바이러스 출현 Vi-Robot 비 고 V3 www.viruschaser.com 비 고 11 2. 주요기능 비교 나. 압축파일 검사 (1) 압축 Level 비교 바이러스가 압축 프로그램에 의해서 압축되어 있더라도 백신은 압축을 풀어서 바이러스를 검출 할 수 있어야 합니다. (2) 실행압축 지원 여부 최근 유행하는 변종 바이러스의 대부분은 AsPack, UPX 등의 공개된 실행압축 프로그램을 통하여 제작되고 있습니다. 실행압축으로 변형된 바이러스는 원형의 바이러스와 동일한 동작을 하지만 압축해제시 메모리상에서 바로 실행되므로 실행압축을 지원하지 못하는 백신은 바이러스가 변형 될 때마다 신종 바이러스로 등록하여 패턴을 업데이트 하여야 합니다. 이것은 Virus Bulletin의 4번 항목인 Polymorphic과 연관이 있습니다. 현재 실행압축 프로그램은 30가지 이상이 있으며, 여러 프로그램을 중복하여 압축하기 때문에 수많은 변종 바이러스 제작이 가능합니다. 구 분 Virus Chaser Vi-Robot V3 압축파일 검사 Level 64레벨 5레벨 10레벨 실행압축 검색 지원 지원 불가 불가 www.viruschaser.com 12 2. 주요기능 비교 다. 악성코드 검사 최근 바이러스 보다 애드웨어/스파이웨어 때문에 문제가 많이 발생하고 있습니다. 바이러스 체이서는 사용자에게 악영향을 끼치는 프로그램을 패턴 등록하여 검출하고 치료합니다. 패턴명 내용 설명 프로그램의 주 목적이 광고 또는 정보수집에 해당되는 경우입니다. 팝업이나 시작페이지 고정등이 해당됩니다. 예를들어 넷피아, 디지털네임즈, 알집등도 광고를 하지만, 주 목적이 광고가 아니기 때문에 제외됩니다. Adware 사용자가 전화 걸기를 유도하는 프로그램입니다. 주로 전화 모뎀을 사용하는 국가에서 자동으로 전화를 걸어 악의적인 목적으로 사용됩니다. Dialer Joke 바이러스는 아니지만, 사용자를 놀라게 하는 프로그램입니다. Program 일반적인 사용자에게 불필요한 프로그램입니다. 이들 프로그램은 바이러스는 아니지만, 상용화된 프로그램이지만, 사용자에게 위해를 가할 가능성이 있는 프로그램들입니다. 해킹 또는 악의적인 행위를 하는 프로그램입니다. 지금까지 해킹을 툴은 해킹을 당하는 쪽의 프로그램만, 바이러스로 등록되었습니다. 그러나, 향후 해킹을 시도하는 프로그램도 등록됩니다. Tool 구 분 Virus Chaser Vi-Robot V3 애드웨어/스파이웨어 지원 지원 (다잡아 엔진채용) 불가 (스파이제로 별매) 악성코드 실시간 감시 지원 불가 - www.viruschaser.com 13 2. 주요기능 비교 라. 기타 기능 Hauri Vi-Robot Ahn Lab. V3 백신 프로그램 복구기능 (악성 프로그램 및 사용자 실수에 의해 백신 프로그램의 일부 파일이 삭제되거나 손상될 경우 업데이트를 통해 복구) 가능 불가 메모리 검사 및 치료 가능 불가 불가 RootKit 탐지 (Rootkit이 실행될 경우 프로세스 및 메모리 검사 기능으로 감지가 가능하며, 폴더내 바이러스까지 검출 가능) 불가 불가 실시간 감시 기능 (바이러스나 사용자에 의해 중지 불가 리부팅시 중지가능) 구 분 Newtech Wave Virus Chaser 가능 가능 Device Driver Level Application Level Application Level (바이러스나 사용자에 의해 중지 가능) (바이러스나 사용자에 의해 중지 가능) 일부 가능 (Local 127.0.0.1로 설정을 바꾸어 검사하므로 메일이 지워지거나 오류가능성 내포) 가능 불가 불가 제품 사이즈 (설치 전/후) 3.9Mb / 5.2Mb 23Mb / 38.8Mb 20.4Mb / 26.1Mb ActiveX / Java 코드 지원 가능 일부 가능 일부 가능 메일감시 기능 Heuristic 기능 가능 (SMTP/POP3 Port 감시) 가능 (알려지지 않은 바이러스 검색 및 치료) www.viruschaser.com 14 3. 중앙관리 시스템 구 분 관리방식 관리서버 O/S 및 환경 Agent 및 버전 업그레이드 Newtech Wave VCMS Hauri VMS Ahn Lab. APC 중앙원격관리 중앙원격관리 중앙원격관리 (리포트기능, 원격제어, 자산관리 등) (리포트기능, 원격제어, 자산관리 등) (리포트기능, 원격제어, 자산관리 등) O/S: Win9X/WinNT 등 MS계열 D/B : 자체DB 및 SQL 연동 방식 : 웹기반(IIS or Apache) ㅇ 별도의 agent가 없음 ㅇ 별도의 버전 업그레이드 불필요 (실시간 자동 업데이트를 통한 자동 업그레이드) O/S: Win9X/WinNT 등 MS계열 D/B : 자체DB 방식 : 서버/클라이언트 기반 O/S: Win9X/WinNT 등 MS계열 D/B : 자체DB 방식 : 서버/클라이언트 기반 ㅇ agent를 설치하여 백신 관리 ㅇ agent를 설치하여 백신 관리 (agent : 약 1Mb, 설치파일 : 약 40Mb) (agent : 약 1Mb, 설치파일 : 약 32Mb) ㅇ 버전 업그레이드 필요 (ex> Virobot Expert 4.0 → 5.0) ㅇ 버전 업그레이드 필요 (ex> V3 Pro 2002 → 2004) 리포팅 기능 excel 저장 기능 가능 가능 가능 불가 가능 불가 자산관리 기능 가능 가능 가능 원격지원 서비스 가능 가능 가능 구매 정보 무상 제공 별매 별매 www.viruschaser.com 15 4. 기 타 가. 주요 고객사 Newtech Wave Virus Chaser 구 분 Hauri Vi-Robot Ahn Lab. V3 포스코, 포스틸, 포스코건설, 포스데이타, 기업체 SK teletech, 풀무원, 온세통신, 하이트, 홈페이지 참조 63빌딩, 참존, 한화유통, 대한제당 하우리: http://www.hauri.co.kr 행정자치부, 포항시청, 종로구청, 공공기관 강서구청, 구로구청, 포항시청, 안철수 연구소: http://www.ahnlab.com 증권예탁원, 경찰청 사이버수사대 대우증권, LG화재, 동부증권, 제일화재, 금융권 금호생명, 하나증권, 상성증권, 동양생명, 롯데캐피탈, 겟모어증권, 생보부동산신탁 학교기관 온라인 포털 아주대학교, 동덕여자대학교, 상주대학교, 호서대학교, 경희사이버대학교, 신구대학 코리아닷컴, 네이버, 네이트, 마이폴더넷, 네티안, 프리챌, 벅스뮤직 www.viruschaser.com 16 4. 기 타 나. 시장성 구 분 2003 2004 2005(예상) 비 고 Virus Chaser 2 11 20 100% 이상 성장 유지 Vi-Robot 17 14 10 지속적인 감소세 V3 62 51 40 지속적인 감소세 Vir us Chas e r Vi-Ro bo t V3 외산제품의 성장과 더불어 국산 제품의 시장 점유율은 지속적으로 하락. 2003 타 국산 제품에 비해 바이러스 체이서는 출시 후 꾸준히 성장을 유지하고 있음. 2004 2005 0 10 20 www.viruschaser.com 30 40 50 60 70 80 90 17 감사합니다 ㈜뉴테크웨이브 서울특별시 송파구 방이동 212번지 창암빌딩 Tel. 02) 414-0983 Fax 02) 418-0054 http://www.viruschaser.com www.viruschaser.com 18