최고의 스파이웨어 제거 프로그램
게시일: 2005/06/29 | 글쓴이: doa | 25662 번 | 프린트 | 메일


얼마전 이세상 최고의 spyware 관련 유틸리티는?라는 글이 올라왔다. 스파이웨어 제거 프로그램에대한 많은 관심을 표현하듯 많은 조회수와 답글이 올라오고 있다.

이 글을 읽다보니 필자가 모르는 포르그램도 꽤 되고 의견도 분분한 것 같아 일단 국내에서 많이 사용되는 프로그램을 중심으로 각 프로그램에대한 필자의 의견을 피력하게되었다.

한가지 주의할 것은 글에 실린 의견은 필자의 개인적인 의견에 불과하다는 것이다. 원래 보다 정확한 평가를 하기위해서는 각 프로그램을 설치하고 각 프로그램에 대한 별도의 벤치마크가 포함되어야 하지만 시간상 필자가 사용해본 소감과 필자의 컴퓨터에서 검출된 결과만을 중심으로 설명하겠다.

사실 필자는 AD-Free가 개발 중지된 이후 국산 스파이웨어 프로그램에대해서는 관심을 끊고 살았다. 그러다가 이세상 최고의 spyware 관련 유틸리티는?라는 게시물때문에 국산 스파이웨어 제거 프로그램을 조사하자 의외로 많은 프로그램이 개발/배포되고 있다는 것을 알았다.

이들 프로그램을 살펴보던중 No-AD(다간다)SpyDoctor, DrVirus는 스파이웨어를 검출/제거하기위해 모두 No-AD의 엔진을 사용하고 있었으며, 당연한 얘기지만 스파이웨어 검색 결과 및 치료 역시 세 프로그램 모두 동일하다는 것을 알았다.

No-Ad(다간다)
국내에서 전문적인 스파이웨어 제거 프로그램을 개발한 회사로 오진율도 비교적 낮고 프로그램에대한 신뢰도도 높은 편이다. 현재는 유료화되었으며, 다른 회사에게 개발한 각종 프로그램이 No-AD의 엔진을 사용하고 있는 경우가 많다.

필자의 컴퓨터에서는 총 세개의 악성 프로그램을 잡아냈다. 그러나 악성 프로그램에대한 자세한 정보를 제공하지 않아 실제 악성 프로그램인지 아닌지는 알 수 없었다.
AD-Spider(다잡아)
다간다와의 분쟁 에서 알 수 있듯 이 프로그램은 초기 페이지 변경으로 명성이 자자한 Ohcorea에서 제작한 것으로 알려져 있다. 오진율은 아주 높은 편이며 옵션에서 변경할 수 있다고 하지만 한글 키워드 변경하는 것으로 알려져 있다.

검색 결과에서 알 수 있듯 총 26개라는 많은 수의 악성 프로그램을 잡아냈다. 거의 대부분이 오진이었다. 다잡아의 검색 결과를 분류하면 다음과 같다.

타사의 스파이웨어 제거 프로그램
타사의 스파이웨어 제거 프로그램은 모두 악성 프로그램으로 잡아낸다. 그림에서 알 수 있듯이 이 팁을 쓰기위해 필자가 설치한 프로그램, AD-Catch Pro, 애드캣, No-AD등을 모두 악성 프로그램 및 의심 파일로 잡아냈다. 심지어는 자기 자진(예: 다잡아)도 스파이웨어로 잡아낸다. 참 대단한 프로그램이죠....



관련없는 파일
스파이웨어하고는 관련이 없는 엉뚱한 파일 역시 스파이웨어로 검출했다. 그림에서 unvise32.exeAdvanced Registry Monitor라는 레지스트 감시 프로그램을 설치하면 설치되는 프로그램으로 ARM의 설치/제거 프로그램에 불과하다. 필자 역시 오래전에는 다잡아를 사용한 적이 있다. 그러나 높은 오진율과 더불어 관련없는 프로그램과 레지스트리를 삭제, 시스템에 문제를 일으키는 것을 확인한 후 전혀 사용하지 않고 있다. 그 이후 꽤 오랜 시간이 지났지만 여전히 관련없는 프로그램을 스파이웨어로 잡아내고 있다주1.



관련없는 레지스트리
그림의 레지스트리 중 처음 두개의 레지스트리는 쿠키를 차단하기위해 인터넷 옵션/개인 정보/사이트별 개인 정보에 차단항목으로 등록한 것이다. 아울러 마지막의 레지스트리는 ActiveDesktop을 사용하지 않기 위해 등록한 정책이지만 이런 레지스트리까지 스파이웨어로 잡아내고 있다. 아울러 필자가 현재 사용하고 있는 Maxthon의 레지스트리까지 스파이웨어로 잡아내고 있었다.

FlashGet이 등록한 BHO 역시 스파이웨어로 잡아내고 있지만 FlashGet 비등록판의 경우 애드웨어이므로 논외로 하겠다.
SpyZero
AD-Free 개발자가 AhnLab 에 입사해서 개발한 상용프로그램이다. AD-Free에서 알 수 있듯 상당히 신뢰도 높은 검색을 제공하며 스파이웨어 검색 및 제거에서 가장 나은 성능을 제공한다. 그러나 문제는 2.0으로 업그레이드되면서 쓸때없는 서비스(스마트 업데이트, 실시간 감시)를 설치하며 지나치게 무거워진 단점이 있다. SpyZero의 경우 총 네 개의 스파이웨어를 검출했다. 그러나 SpyZero가 검출한 항목 중 스파이웨어로 의심할 수 있는 항목은 하나에 불과하고 나머지는 모두 오진이었다. SpyZero의 경우 7월 6일자 업데이트를 수행하면 두개의 스파이 웨어를 검출한다. 즉, 이 팁에서 언급한 오진은 모두 수정되었었다. 보다 자세한 정보는 추가정보1을 참조하기 바란다.

Win-Clicker/Spywad.gen
레지스트리 경로에서 알 수 있듯이 사용자가 ActiveDeskop을 사용하지 않도록 설정할 때 사용되는 레지스트리 항목을 스파이웨어로 검출하고 있다.

Win-Adware/BargainBuddy
파일 경로에서 알 수 있듯이 이 프로그램은 임의의 프로그램을 서비스로 등록해주는 프로그램으로 NT 리소스킷에 포함된 파일이다. 그러나 SpyZero를 비롯한 각종 스파이웨어 제거 프로그램이 악성 프로그램으로 검출하는 것을 봐서는 동일한 이름을 갖는 악성 프로그램이 있었던 것으로 보인다.

Win-Adware/IEPageHelper
스파이 웨어로 의심 받을 수있는 유일한 항목이지만 시스템에 bho.DLL이라는 파일이 존재하지 않아 확인할 수 없었다. 스파이웨어의 찌거기인지 오진인지는 필자도 알 수 없었다.

Win-Adware/Craagle.386560
크랙 사이트에서 크랙을 검색, 다운로드 할 수 있도록 하는 Craagle.exe를 스파이웨어로 검출했다. CraagleCracks.am과 같은 사이트에 접속하지 않고 크랙과 키를 검색/다운받을 수 있는 프로그램이다. 그러나 Craagle를 이용해서 크랙을 다운받으면 크랙 사이트의 경우 자신의 광고를 보여줄 수 없으므로 몇몇 크랙 사이트의 경우 Craagle을 통한 접속을 막고 있으며, 몇몇 사이트는 Craagle를 통해 다운받은 파일에 악성 프로그램을 심어놓은 경우가 있다. 아마 이 것 때문에 악성 프로그램으로 분류한 것 같다. 그러나 이 부분은 Craggle의 문제가 아니므로 Craagle 자체를 악성 프로그램으로 간주하기는 힘들다고 본다.
AD-Cat
그림에서 알 수 있듯 광고를 봐야 사용할 수 있는 AD-Ware이다. 아울러 총 6개의 스파이웨어를 검출했지만 1개를 제외하고는 스파이웨어로 볼 수 없었다. C:\Program Files\System라는 폴더를 SpyWare.SpyAnytime라는 스파이웨어로 잡아내는 것을 봐서는 이 프로그램은 패턴에의해 스파이웨어를 검출한다기 보다는 다잡아, AD-Watch처럼 파일명과 키 이름으로 악성 프로그램을 검색하는 것으로 보인다.
AD-Watch
다잡아에 이어 두번째로 많은 총 13개의 스파이웨어를 잡아냈다. 그러나 어느 것하나 스파이웨어로 의심할 만한 것은 없었다. 다음 그림에서 알 수 있듯이 logo.gif 라는 파일과 위치로 스파이웨어로 잡아내는 것을 보아 패턴에 의한 검색이 아니라 파일명이나 키이름, 값으로 스파이웨어를 검색하는 것으로 보인다.
AD-Catch Pro
단 하나의 애드웨어도 검출하지 못했다. 다른 외산 프로그램들도 비슷한 결과를 출력하며, 실제 필자가 다른 스파이웨어 제거 프로그램에서 검출한 결과를 수작업으로 확인한 결과 필자의 컴에서는 검출하지 못하는 것이 정상으로 보인다. 따라서 이 팁에서 소개하는 프로그램중 오진율은 가장 낮다고 생각된다. 그러나 문제는 실제 스파이웨어를 검출하는 능력은 필자의 시스템에서는 확인할 수 없으므로 검출 능력에대해서는 확언하기 힘든 것 같다.

스파이웨어를 치료하는 것외에 설치된 ActiveX를 검색, 사이트의 주소를 확인한 후 불필요한 ActiveX를 삭제할 수 있도록 하는 기능은 상당히 괜찮은 기능이었지만 레지스트리를 완전히 삭제하지 못하는 문제가 있었다.

SpyDoctor
SpyDoctor라는 이름으로 이그린에서 개발 배포하는 것으로 되어 있지만 사실 앞서 소개한 No-AD(다간다)의 엔진을 그대로 사용한다. 검색 결과를 보면 알 수 있지만 역시 No-AD와 동일한 검색 결과를 제공한다.
DrVirus
DrVirus바이러스 검색 기능No-AD의 스파이웨어 제거 기능결합한 프로그램이다. 동일한 DB에 동일한 엔진을 사용하지만 No-ADSpyDoctor에 비해 검색결과가 누락됐다(버그인 것 같다).
PCDo4
앞서 테스트한 어떠한 프로그램 보다 빠르게 총 세개의 스파이웨어를 검출했다. 검출 결과는 SpyZero와 비슷하지만 SpyZero와는 달리 비어있는 키인 HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System을 Troyjan.Policies hijack.K라는 이름으로 잡아냈다. 사용자 인터페이스도 깔끔한 편이며 부가 기능은 없다. 보다 자세한 사례분석은 사례분석을 통해 배우는 스파웨어 판정 II을 참고하기 바란다.
PCFree
필자의 컴퓨터에서 비교적 많은 총 10개의 스파이웨어를 잡아냈다. 그러나 실제 확인 결과 모두 오진이었다. 보다 자세한 사항은 사례분석을 통해 배우는 스파웨어 판정을 참조하기 바란다.
AV-Scan
PCDo4의 상용 버전이다. PCDo4의 엔진에 DB를 확충해서 개발되었다고 한다. 필자의 총 11개의 스파이웨어를 잡아냈지만 모두 오진이었다. 보다 자세한 사항은 사례분석을 통해 배우는 스파웨어 판정 II을 참조하기 바란다.


이상에서 국내에서 사용되는 스파이웨어 검출 프로그램을 알아 보았다주3. 필자의 소개에서 알 수 있듯이 스파이웨어 제거 도구중 필자의 마음에 드는 프로그램은 없었다. 사실 위의 프로그램 중 최고는 아니라고 해도 다소 마음에 드는 프로그램은 SpyZero, AD-Catch Pro 정도 였다.

그러나 사용을 권고할 만한 프로그램은 아쉽게도 없었다. 따라서 위의 필자의 글을 토대로 자신의 맞는 프로그램을 사용하기 바란다.

추가정보1: SpyZero 개발자님이 다음과 같은 사항이 7월 6일 업데이트에 반영되었음을 알려주었다.

Win-Adware/IEPageHelper
HKCR\AppID\bho.DLL: TechSmith의 SnagIt에 연관된 키로 실제 파일이 존재할 경우에만 레지스트리가 진단되도록 의존성을 기술.

Win-Clicker/Spywad.gen
바탕화면을 자체를 광고로 교체하는 스파이웨어에 의한 키로 값이 실제 "1"로 설정되어 있는지와 다른 진단 결과가 있는 경우 작동하도록 의존성을 기술.

Win-Adware/BargainBuddy
MS 리소스킷에 있는 파일들을의 파일 이름만 바꿔서 배포하는 스파이웨어로 파일 경로로 진단하는 시그니처를 제외.

Win-Adware/Craagle.386560
정책상 스파이웨어로 진단.


7월 6일자 업데이트를 수행한 후 SpyZero로 검사한 결과는 다음과 같다.



그림에서 알 수 있듯이 두개의 스파이웨어를 검출한다. 그러나 첫번째 Possible Start/Search Pages Hijack은 진단명에서 알 수 있듯 스파이웨어가 아니라 Hijack의 가능성이 있다는 것을 뜻한다. 따라서 레지스트리를 확인해보고 불필요한 경우 치료하면 된다. 두번째로 진단한 Win-Adware/Craagle.386560은 앞서 설명한 것처럼 크랙 사이트에서 배포하는 스파이웨어 때문에 스파이웨어로 진단된 것으로 SpyZero 정책상 스파이웨어로 진단된 것이라고 한다. 따라서 이 항목 역시 사용자의 필요에따라 처리하기 바란다.


추가정보2: 다음은 No-AD, SpyDoctor, DrVirus의 파일을 비교한 것이다. 파일 이름이 같은 경우 파일 크기 및 내용은 동일하다.
No-AD SpyDoctor DrVirus
noad.cdv noad.cdv noad.cdv
NoADE.dll NoADE.dll NoADE.dll주4
NoADM.dll NoADM.dll .
NoADS.dll NoADS.dll NoADS.dll
NoADU.dll NoADD.exe NoADN.exe NoADU.dll
SpOrder.Dll SpOrder.Dll SpOrder.Dll
NoAD.sys NoAD.sys .
GUpdate.exe NoAD.exe Uninstall.exe TCE.dll SpyAutoUpdate.exe SpyDoctor.exe UpdateList.html track.sdb DrVirus.dad DrVirus.dal DrVirus.dll mfc42.dll msvcp60.dll AutoUpdate.exe DrVirus.exe partner.ini 사용권계약서.txt UpdateList.txt


추가정보3: 참고로 다음 링크는 다간다, 다잡아의 분쟁관련 글들이다. 시간이 있는 사람들은 한번씩 읽어 보기 바란다.

  1. [다간다]와 [다잡아]가 싸우는 속사정은?
  2. 두얼굴의 프로그램 [AD-Spider] 의 양면성을 공개합니다 : 과거 다간다에 올라왔던 공지에 다른 사람의 의견이 붙은 글
  3. 애드웨어 검출기 '다잡아' '다간다' 동족상잔 벌인다


주1: 여담일지 모르지만 검색결과가 많다고 해서 좋은 것은 아니다. 다잡아와 같은 스파이웨어 검색 프로그램도 마찬가지이고 백신 프로그램도 마찬가지이다. 아니 네이버와 같은 검색 엔진도 마찬가지이다. 검색 결과가 많은 것보다는 정확히 검색하는 것이 더 중요하다.

주2: 필자는 ASP 버전만 가끔 사용하고 있다.

주3: 필자가 SpyWare 제거하기를 통해 스파이웨어와 제거 도구를 소개한 것이 2000년 이전 인 것으로 기억한다(2002년 3월 이전에 올라온 글중 대부분은 2001년 이전에 작성된 글이다).그러나 지금은 스파이웨어가 바이러스보다 더 위협적인 존재가 된 것 같다.

주4: DrVirus를 수동으로 설치한 후 실행하면 다음 그림과 같은 오류가 발생한다. 그러나 SpyDoctor이나 No-AD에서 동일한 파일을 복사한 후 실행하면 정상적으로 실행된다.


Netscape에 Firefox 확장 설치하기 I Firefox를 사용해보면 참 간단하며 빠른 브로우저... (7525) 2005-06-30
프로그램 실행시 Failed to set data for 'ProgramName' 오류 프로그램을 실행하다보면... (9063)2005-06-29

QAOS.com에 게시된지 1년 이상된 자료와 관리자가 공개한 자료는 누구나 제한없이 읽을 수 있습니다.
그러나 QAOS.com의 자료를 퍼가는 것은 금지하고 있습니다.

이 정보가 유용하다고 생각되시면 QAOS.com과 많은 다른 사람들을 위해 퍼가기 보다는 링크로 알려주시기 바랍니다.

세상사는 이야기



RSS 구독 (익명 | 회원 | 강좌 | 포럼)
(C) 1996 ~ 2017 QAOS.com All rights reserved.