테스트 조건은 해외에서 제작된 트로이목마(Trojan)으로 추정되는 샘플을 8월 19일 수집하여 안철수연구소(AhnLab)에 신고를 하였습니다.
현재 시점에서는 해당 파일에 대해 진단을 보류한 상태로 악성코드 여부를 판단하기 않고 있는데, AhnLab V3 Internet Security 8.0 버전을 통하여 해당 샘플을 검사한 경과 델파이 바이러스 Win32/Induc에 감염되었다는 진단을 확인하였습니다.
일반적으로 바이러스의 치료는 트로이목마의 치료 방식인 삭제와는 달리 바이러스 코드만을 제거하고 원래의 파일로 복원을 하는 방식입니다.
치료를 실제 시도하여 치료가 정상적으로 완료된 상태에서 해당 악성코드를 바이러스토탈(VirusTotal)에 돌려보면 다음과 같이 해외 일부 보안제품에서 트로이목마로 진단하는 것을 확인할 수 있습니다.
1번의 Banker류 트로이목마로 추정되는 악성코드가 최초 제작 당시에 악성코드 제작자의 개발 도구가 감염된 상태로 제작이 되어 배포가 되었고, 실제 델파이 바이러스가 알려진 직전에 보안업체에 신고한 상태에서는 해당 악성코드를 Win32/Induc 진단명을 가지지 못한 상태였습니다.
하지만 델파이 바이러스의 존재가 알려지고 안철수연구소 보안제품에서 진단이 시작되면서 해당 악성코드는 분석 보류로 지정된 샘플이 자연스럽게 Win32/Induc 바이러스로 변해 버렸습니다.
이렇게하여 2번과 같이 진단된 바이러스는 치료 과정을 통하여 다시 1번의 악성코드가 되었고, 해당 악성코드를 검사해보면 보안업체에서 여전히 트로이목마로 진단하는 것을 확인할 수 있습니다.
개인적인 생각에 이번과 같이 특정 샘플이 초기에 가지고 있는 악의적인 코드와 함께 바이러스 코드를 함께 가지고 있는 경우, 보안제품이 해당 샘플을 진단시 트로이목마와 바이러스를 동시에 진단할 수 있다면, 어느 것을 우선시하여 진단할지 아니면 먼저 바이러스를 치료하고 트로이목마로 재진단하여 삭제를 처리할 수 있는지 재미있는 상상을 해 봅니다.