본문 바로가기

벌새::Security

Kaspersky 오진 : Worm.Win32.AutoRun.bpjz (2010.10.8)

반응형
최근 블로그 검색 유입 중에서 안철수연구소(AhnLab) V3 보안 제품 관련 파일 btscan.exe 파일에 대한 검색 유입이 눈에 띄게 증가하는 부분을 확인하였습니다.

   McAfee AVERT Stinger 제거 도구의 AhnLab V3 제품 진단 문제 (2010.9.29)

 

처음에는 일전에 문제 제기를 한 McAfee 보안 제품의 오진 문제에 대한 글에서 언급한 내용과 연관된 부분이 아닐까 싶었는데, 추가적인 정보를 확인하던 중 러시아 보안 제품 Kaspersky 엔진과 AhnLab V3 제품이 설치된 환경 특수한 환경에서 [C:\WINDOWS\system32\btscan.exe] 파일을 오진하는 부분으로 인한 문제임을 확인하였습니다.

즉 1PC에 Kaspersky 또는 네이버 백신(Naver Vaccine)과 함께 AhnLab V3 보안 제품을 함께 설치한 환경에서 안철수연구소 제품에서 제공하는 Boot Time Scanner 파일인 btscan.exe 파일을 Worm.Win32.AutoRun.bpjz 정식 진단명으로 진단하고 있는 경우로 판단됩니다.

 

[btscan.exe (MD5 : 7b8389b6e472d8096f43cf24dacc7f12)]

Antiy-AVL : Worm/Win32.AutoRun
ClamAV : PUA.Packed.ASPack
Kaspersky : Worm.Win32.AutoRun.bpjz
Panda : Suspicious file

 

현재 바이러스토탈(VirusTotal) 진단 정보를 확인해보면 총 4개 보안 제품에서 (의심) 진단을 하고 있는 것을 확인할 수 있습니다.

btscan.exe 파일은 정상적으로 디지털 서명이 포함된 파일임에도 불구하고 Kaspersky 보안 제품에서 진단되는 것으로 보아 자동화 패턴 추가로 인한 문제가 아닐까 조심스럽게 추정됩니다.

만약 사용자 컴퓨터에 Kaspersky 엔진을 사용하는 보안 제품과 V3 보안 제품이 함께 설치된 경우 발생하는 해당 오진 이슈로 고생하시는 분들은 해당 오진 문제가 해결될 때까지 진단 파일을 제외 처리를 하시고 이용하시기 바랍니다.

728x90
반응형