avast! 오진 : sfloppy.sys 시스템 드라이버 파일 (2011.12.6)

해외 무료 백신으로 유명한 avast! 보안 제품에서 Windows XP SP3 운영 체제에 존재하는 SCSI Floppy Driver 시스템 파일인 sfloppy.sys 파일을 Rootkit: system modification 진단명으로 오진하는 사고가 발생 중인 것을 확인하였습니다.

■ 진단명 : Rootkit: system modification
■ avast! 바이러스 패턴 : 111206-1
■ 진단 파일 : C:\WINDOWS\system32\drivers\sfloppy.sys
■ 진단 파일 MD5 : 8e6b8c671615d126fdc553d1e2de5562
■ 특이 사항 : Windows XP SP3 운영 체제, 단 Windows 7 운영 체제에서는 진단하지 않습니다.

해당 오진으로 인하여 실시간 감시를 통해 루트킷 발견 메시지 창이 생성되며, 처리 방식으로 "지금 삭제(추천)"으로 표시되므로 반드시 "무시" 항목으로 변경을 하시고 확인 버튼을 클릭하시기 바랍니다.

만약 sfloppy.sys 파일을 삭제 처리한 경우 "다음 재부팅까지 처리 연기" 처리가 이루어지며, 이로 인하여 시스템 부팅에 문제가 발생하거나 블루스크린(BSoD)이 발생하여 시스템이 불안정해 질 수 있는 것으로 보입니다.

또한 수동 검사를 통한 진단을 통해 그림과 같은 진단창을 보실 수 있으며, 기본값으로 "삭제" 처리를 하도록 안내되고 있습니다.

그러므로 반드시 처리 항목에서 "처리 안 함"으로 설정을 변경하시고 "닫기" 버튼을 클릭하시기 바랍니다.

특히 진단된 파일에 대해 처리를 하지 않고 무시를 할 경우 그림과 같은 부팅 검사 여부를 묻는 창이 생성되므로 "아니오" 버튼을 클릭하시기 바랍니다.

임시적인 문제 해결을 위해서는 환경 설정에서 제공하는 [예외] 항목에 "C:\WINDOWS\system32\drivers\sfloppy.sys" 파일을 추가하여 해당 오진 문제가 해결될 때까지 실시간 감시와 수동 검사로부터 진단되는 문제를 해결할 수 있습니다.

차후 avast! 패턴 업데이트를 통해 해당 파일에 대한 오진 문제가 해결된 경우에는 반드시 예외 처리한 파일을 삭제하시고 이용하시기 바랍니다.

 Update : 삭제, 안전 지대 이동, 치료를 시도한 경우 (2011.12.7)

avast! 오진으로 인하여 사용자가 제품에서 지정한 처리 방식대로 삭제 및 치료를 시도한 경우에는 부팅 검사를 통해 처리를 하도록 연결이 됩니다.

하지만 부팅 검사에서는 sfloppy.sys 파일에 대한 진단을 하지 않는 것으로 확인이 되므로 안심하시기 바랍니다.

그 외 안전 지대 이동을 선택한 경우, "오류 : 지원되지 않는 요청입니다."를 통해 파일을 그대로 유지합니다.

만약 사용자가 수동으로 해당 파일을 임의 삭제 처리를 한 경우, 시스템 재부팅 후에는 자동으로 sfloppy.sys 파일이 복원되는 것으로 확인되고 있습니다.

결론적으로 해당 오진 사고는 실제 실시간 감시 및 수동 검사시 진단은 반복적으로 이루어지지만 파일 삭제 등의 피해는 없을 것으로 보이므로, 오진 문제가 해결될 때까지 진단을 무시하시기 바랍니다.

 Update : 오진 문제 해결 (2011.12.7)

해당 오진 문제는 111206-2 바이러스 패턴 업데이트를 통해 문제가 해결되었으므로 최신 DB 업데이트를 확인하시기 바랍니다.

또한 진단 예외 처리를 하신 분들은 반드시 예외 파일을 삭제 처리하시고 avast! 보안 제품을 이용하시기 바랍니다.