국내 악성코드 치료 프로그램 - AntiVir :: 울지않는벌새 : Security, Movie & Society

국내 악성코드 치료 프로그램 - AntiVir

벌새::Analysis 2008/02/17 15:54

[사이버포스] 에서 서비스하는 악성코드 치료 프로그램 [AntiVir] 제품에 대해 살펴보겠습니다.

AntiVir 제품은 원래 해외 유명 보안업체 Avira(http://www.avira.com/de/pages/index.php 또는 http://www.free-av.com/) 제품의 명칭이며, 국내에서 운영하는 정식 파트너사는 존재하지 않는 것으로 알고 있습니다. 즉 소개하는 이 제품은 해외 유명 업체의 제품명을 그대로 모방한 제품으로 추정됩니다.

해당 제품을 서비스하는 사이버포스는 [AD-Aware](http://hummingbird.tistory.com/176) 제품도 운영하고 있습니다.

AntiVir 홈페이지 : http://antivir.co.kr/frame.htm

<테스트 환경>

OS : Windows XP Home SP2
작동 프로그램 : Sandboxie 3.22

* 테스트 시행자는 보안전문가가 아니므로 해당글에 오류가 있을 수 있음을 밝힙니다.
* 테스트시 보안제품을 OFF한 상태에서 테스트 하였으므로 해당 테스트 제품이 허위 악성코드 치료 프로그램일 수 있습니다.

1. 설치 과정 살펴보기

해당 프로그램을 제작사 홈페이지에서 받아 설치 파일을 클릭하면 어떠한 안내도 없이 바로 설치가 이루어집니다.

[해당 설치 파일 진단 상태]

Antivirus Version Last Update Result
AhnLab-V3 2008.2.16.10 2008.02.15 (SpyZero) Win-Downloader/Rogue.AntiVir.288768
AntiVir 7.6.0.67 2008.02.15 -
Authentium 4.93.8 2008.02.15 -
Avast 4.7.1098.0 2008.02.15 -
AVG 7.5.0.516 2008.02.16 -
BitDefender 7.2 2008.02.16 -
CAT-QuickHeal None 2008.02.16 -
ClamAV 0.92.1 2008.02.16 -
DrWeb 4.44.0.09170 2008.02.16 Trojan.DownLoader.origin
eSafe 7.0.15.0 2008.02.14 suspicious Trojan/Worm
eTrust-Vet 31.3.5541 2008.02.15 -
Ewido 4.0 2008.02.16 -
FileAdvisor 1 2008.02.16 -
Fortinet 3.14.0.0 2008.02.16 Adware/FakeVir
F-Prot 4.4.2.54 2008.02.15 -
F-Secure 6.70.13260.0 2008.02.15 -
Ikarus T3.1.1.20 2008.02.16 -
Kaspersky 7.0.0.125 2008.02.16 -
McAfee 5231 2008.02.15 -
Microsoft 1.3204 2008.02.16 -
NOD32v2 2880 2008.02.15 -
Norman 5.80.02 2008.02.15 -
Panda 9.0.0.4 2008.02.16 Suspicious file
Prevx1 V2 2008.02.16 -
Rising 20.31.50.00 2008.02.16 -
Sophos 4.26.0 2008.02.16 -
Sunbelt 2.2.907.0 2008.02.16 -
Symantec 10 2008.02.16 -
TheHacker 6.2.9.221 2008.02.15 -
VBA32 3.12.6.1 2008.02.14 Trojan.DownLoader
VirusBuster 4.3.26:9 2008.02.15 -
Webwasher-Gateway 6.6.2 2008.02.15 -
Additional information
File size: 288768 bytes
MD5: 456990f18fba5e2d07117472c4e8d370
SHA1: 80c26bd6e783cb71809fb0ce0dd0b4143be0d5af

설치가 완료된 후 시스템 트레이 상단에 스크린샷과 같은 팝업창이 생성되면서 반드시 [확인]을 클릭하게 만들어 놓습니다.

[확인]을 클릭하면 자동으로 시스템 검사를 진행합니다. 시스템 검사는 무료 검사 / 컴퓨터 최적화를 모두 수행합니다.

프로그램으로 설치로 인한 폴더 및 파일 생성 정보입니다.

삭제 관련 파일은 C:\WINDOWS\system32\AnRemover.exe 파일이며, 해당 파일은 프로그램 삭제 후 수동으로 삭제해야 합니다.

[AnRemover.exe 파일 진단 상태]

Antivirus Version Last Update Result
AhnLab-V3 2008.2.13.11 2008.02.13 Win-Trojan/Xema.variant
AntiVir 7.6.0.65 2008.02.13 TR/Delf.ack
Authentium 4.93.8 2008.02.13 W32/Trojan.BEWC
Avast 4.7.1098.0 2008.02.13 Win32:Trojan-gen {UPX}
AVG 7.5.0.516 2008.02.13 Downloader.Generic3.JCX
BitDefender 7.2 2008.02.13 Trojan.Delf.ACK
CAT-QuickHeal None 2008.02.13 -
ClamAV 0.92 2008.02.13 -
DrWeb 4.44.0.09170 2008.02.13 Trojan.Iron
eSafe 7.0.15.0 2008.02.11 Win32.Delf.ack
eTrust-Vet 31.3.5533 2008.02.13 -
Ewido 4.0 2008.02.13 Trojan.Delf.ack
FileAdvisor 1 2008.02.13 High threat detected
Fortinet 3.14.0.0 2008.02.13 W32/Delf.ACK!tr
F-Prot 4.4.2.54 2008.02.12 W32/Trojan.BEWC
F-Secure 6.70.13260.0 2008.02.13 W32/DLoader.COFC
Ikarus T3.1.1.20 2008.02.13 not-a-virus:Monitor.Win32.DeskScout.40
Kaspersky 7.0.0.125 2008.02.13 Trojan.Win32.Delf.ack
McAfee 5228 2008.02.12 Downloader.gen.a
Microsoft 1.3204 2008.02.13 Trojan:Win32/Delf
NOD32v2 2871 2008.02.13 probably a variant of Win32/Delf
Norman 5.80.02 2008.02.12 W32/DLoader.COFC
Panda 9.0.0.4 2008.02.13 Trj/Downloader.MDW
Prevx1 V2 2008.02.13 Generic.Malware
Rising 20.31.10.00 2008.02.13 Trojan.DL.Agent.gin
Sophos 4.26.0 2008.02.13 Sus/Uddo-B
Sunbelt 2.2.907.0 2008.02.13 -
Symantec 10 2008.02.13 Trojan.Anserin
TheHacker 6.2.9.218 2008.02.12 Trojan/Delf.ack
VBA32 3.12.6.0 2008.02.11 Trojan.Win32.Delf.ack
VirusBuster 4.3.26:9 2008.02.12 -
Webwasher-Gateway 6.6.2 2008.02.13 Trojan.Delf.ack
Additional information
File size: 247808 bytes
MD5: 50e11ec8279ecbc638beaa38453ec431
SHA1: 5bf98e37551b7fa67e381d1d48de311fda513084

프로그램이 초기 설치된 상태에서 등록된 레지스트리 정보를 보시면 2가지가 등록되어 있는 것을 아실 수 있습니다.

AnPopup : 해당 등록정보는 윈도우 시작시 시스템 트레이 상단에 악성코드 검사를 권장하는 팝업창을 출력합니다.

AntiVir : 해당 등록정보는 윈도우 시작시 해당 제품이 자동 실행되게 합니다.

2. 프로그램 기능 살펴보기

프로그램의 메인화면입니다. 프로그램 DB 업데이트 정보나 버전 정보에 대해서는 해당 프로그램을 통해서는 알 수 없게 만들어져 있습니다.

[환경 설정]의 기본 설정값은 [윈도우 시작시 프로그램 자동 시작]에 체크되어 있습니다.

[윈도우 시작시 프로그램 자동 시작 체크 해제]

환경 설정에서 해당 항목을 체크 해제한 후 어떻게 레지 정보가 변경되는지 확인해 보았습니다.

이전에 있던 AntiVir 항목은 제거되었지만 여전히 AnPopup 항목이 살아 있습니다. 위의 스크린샷에서 보시면 아시겠지만, 해당 팝업은 반드시 [확인]을 누르게 만들어진 구조이므로 어쩔 수 없이 윈도우 시작시 프로그램이 작동하게 됩니다.

[컴퓨터 최적화] 기능은 각종 임시 파일과 레지스트리를 정리하는 기능입니다. 해당 기능은 무료로 이용할 수 있다고 밝히고 있습니다.

[검역소] 기능은 검사를 통해 삭제된 항목에 대해 복원할 수 있게 도와주는 기능입니다. 악성코드 / 컴퓨터 최적화 모두를 복원할 수 있습니다.

[검역소 기능의 한계]

해당 프로그램은 검사시에 나온 항목의 일부를 해제할 수 없는 구조입니다. 그래서 오진 여부를 떠나서 무조건 한번에 모두 치료(삭제)되므로 만약 문제가 생겨서 복원을 하더라도 또 다시 실제 악성코드 치료 항목 중 일부에 대해 복원이 불가능하므로 악순환만 되풀이 되는 구조로 보입니다.

3. 악성코드 검사하기

[무료 검사] 기능은 컴퓨터 최적화 기능까지 통합하여 검사를 진행합니다.

Navigatorx - 오진
- HKEY_LOCAL_MACHINE\SOFTWARE\Internet Explorer\ActiveX Compatibility\{F3431F93-1E34-4CFE-AC57-632EB5C0F411}

해당 레지스트리 정보는 ActiveX 차단값으로 Internet Guide SearchNine ver2.01 관련 항목입니다.

Tools.Nirsoft - 오진
- HKEY_CURRENT_USER\software\nirsoft\mailpassview
- HKEY_CURRENT_USER\software\nirsoft\messenpass
- HKEY_CURRENT_USER\software\nirsoft\netpass

해당 진단은 피씨 클린 업(애드클린시스템) 제품에서 나온 오진 진단과 동일합니다.(http://hummingbird.tistory.com/139)

emule - 오진
- emule 관련 폴더 / 파일 / 레지스트리

해당 진단은 피씨 클린 업(애드클린시스템) 제품에서 나온 오진 진단과 동일합니다.(http://hummingbird.tistory.com/139)

[치료하기] 버튼을 클릭하면 결제창이 생성되고 정보보호를 위해 Ctrl 키을 막은 것을 알 수 있습니다.

해당 제품은 의무 사용 기간이 있어서 반드시 결제 후에는 4개월 동안 사용한 후에 사용을 취소할 수 있다고 밝히고 있습니다.

[결제 시스템의 문제점]

해당 프로그램의 결제창에서 제공하는 [약관보기]와 [사용안내] 기능에는 큰 문제점을 노출하고 있습니다.

[약관보기]를 클릭하면 해당 이용약관 관련 안내창이 구현되어야 하는데 해당 페이지를 찾을 수 없는 현실입니다. 프로그램 설치 초기에도 어떠한 이용약관을 제공하지 않은 상태에서 결제시에도 끝까지 이용약관을 제공하지 않고 있습니다.

해당 제품의 이용약관은 제작사 홈페이지(http://antivir.co.kr/frame.htm) 하단의 [이용약관]을 클릭해서 확인하셔야 합니다.

또한 [사용안내] 버튼을 클릭하면 무엇을 안내하려고 하는지는 모르지만, 보안 프로그램을 설치하기 위해 디지털 서명조차 알 수 없는 iKeeperNW.CAB을 설치하려고 시도합니다.

4. 프로그램 삭제하기

해당 프로그램의 삭제 관련 파일은 C:\WINDOWS\system32\AnRemover.exe 파일이며, 해당 파일은 프로그램 삭제 후 수동으로 삭제해야 합니다.

하지만 삭제 관련 파일에 대한 보안 제품의 진단을 보건데 신뢰할 수 없다고 볼 수 있습니다.

초기 프로그램 설치시에는 설치에 대해 선택할 수 있는 창을 제공하지 않더니 삭제시에는 저렇게 제공하는 것도 개발자가 참 세심한 것 같습니다.

5. 테스트 과정 에피소드

지금까지 여러 제품을 테스트하면서 이번 제품처럼 샌드박스에 오류를 제공하는 제품은 처음 봤습니다.

샌드박스에 오류를 야기한 과정은 다음과 같습니다.

악성코드 검사를 진행하던 도중 중지를 하고, 프로그램을 시스템 트레이에서 완전히 프로그램 종료를 시켰습니다. 프로그램이 종료되면서 시스템이 일시적으로 과부하가 일어나는 현상을 확인하였습니다.

그 후 샌드박스에서는 다음과 같은 오류 메시지를 제공합니다.

[SBIE2208 오류 정보]

SBIE2208 Cannot remove registry hive: [xxxxxxxx]

When all sandboxed programs end, Sandboxie removes the sandboxed registry from the system. This error message indicates the removal was unsuccessful. (샌드박스로 작동하는 모든 프로그램이 종료될 때 샌드박스는 시스템으로 부터 샌드박스 환경에 있는 레지스트리를 제거합니다. 해당 에러 메시지는 제거가 성공하지 못하여 나타나는 것입니다.)

Typically xxxxxxxx is C0000121, and indicates that some other program is using the sandboxed registry, from outside the sandbox. (일반적으로 C0000121 메시지 형태이며, 어떤 다른 프로그램이 샌드박스 외부에서 샌드박스 환경에 있는 레지스트리를 사용하고 있습니다.)

Note, as long as the registry remains loaded into the system, the sandbox cannot be deleted. Logging-off the current user account may resolve the problem. (해결 방법은 현재 사용자 계정을 로그아웃하여 문제를 해결하시기 바랍니다.)

해당 AntiVir 프로그램의 초기 설치 폴더에 보시면 NeoSetup.exe (0바이트)라는 수상한 파일도 존재합니다. 과거에 해당 파일이 실제 작동했을지도 모르는 일입니다.

이 치료 프로그램은 해외 유명 보안 업체의 이름을 도용하여 인지도를 얻으려고 노력하였고, 불필요한 오진으로 사용자의 금전적 피해를 야기할 수 있으며, 사용을 하던 중에도 사용자가 모르는 어떤 시스템의 문제도 야기할 수 있는 것으로 보입니다.

또한 삭제시에도 위험한 삭제 파일을 제공하여 실제 삭제 후에도 남아 있는 삭제 관련 파일을 통해 또 다른 어떤 프로그램을 다운로드 할 수 있는 여지를 남기고 있습니다.

이상으로 국내에서 제작된 AntiVir 프로그램에 대해 살펴보았습니다.

'벌새::Analysis' 카테고리의 다른 글

국내 악성코드 치료 프로그램 - 소빌 안티스파이 (소빌 AntiSpy) (0)	2008/02/28
Trojan.Downloader.Zlob.ABLJ (BitDefender) (0)	2008/02/27
국내 악성코드 치료 프로그램 - PC매니저 (PCManager) (4)	2008/02/26
국내 악성코드 치료 프로그램 - 마이클리너 (MyCleaner) (0)	2008/02/23
TR/Agent.48448 (AntiVir) (2)	2008/02/21
국내 악성코드 치료 프로그램 - AntiVir (6)	2008/02/17
국내 악성코드 치료 프로그램 - 닥터피씨 2008 (DoctorPC 2008) (0)	2008/02/17
Downloader.Small.60.BF (AVG) (2)	2008/02/16
국내 악성코드 치료 프로그램 - 백신스파이 2008 (7)	2008/02/16
국내 악성코드 치료 프로그램 - 에드어웨어 (AD-Aware) (4)	2008/02/13
발렌타인(Valentine) Storm Worm 주의 (0)	2008/02/13