avast! 오진 : 넷마블(NetMarble) ActiveX 스크립트 - HTML:Object-inf (2012.1.9)

국내 온라인 게임 넷마블(NetMarble)에서 제공하는 Netmarble Auto Updater, 키보드보안 K-Defense R6 Manager 관련 ActiveX 설치를 시도할 경우 avast! 보안 제품에서 URL 차단(URL:Mal) 및 HTML:Object-inf 진단명으로 오진하는 것을 확인하였습니다.

최초 사용자가 넷마블 웹 사이트에 접속을 시도할 경우 ActiveX 설치를 통해 배포되는 "Netmarble Auto Updater" 설치창이 생성될 경우, avast! 보안 제품에서는 해당 ActiveX 컨트롤러를 통해 다운로드되는 개체에 대하여 "악의적인 URL 차단" 메시지를 생성하는 것을 확인할 수 있습니다.

• h**p://download.netmarble.net/ActiveX/NMAutoUpdateX/NMAutoUpdateX_1.0.1.1_20091109.cab

하지만 해당 파일을 다운로드하여 avast! 보안 제품을 통한 검사 및 압축 파일 내부를 살펴보아도 변조 또는 진단되는 부분이 없는 것을 확인할 수 있습니다.

다시 추가적인 조사를 해보면 넷마블 로그인 창에 포함되어 있는 "키보드 보안" 박스에 체크를 시도할 경우 생성되는 "키보드보안 K-Defense R6 Manager" ActiveX 설치창을 생성하기 위한 부분에서 진단을 확인할 수 있었습니다.

• h**p://login.netmarble.net/js/kdfense_object_checkbox.js?20101201 (MD5 : ec2c87c9dd0d817568d072b8104d1f3d)

해당 kdfense_object_checkbox.js 스크립트 파일에 대하여 avast! 보안 제품(DB : 120108-1)에서는 HTML:Object-inf (VirusTotal : 2/43) 진단명으로 진단이 이루어지는 과정에서 넷마블을 통해 설치되려는 다른 ActiveX까지 악성 URL로 등록이 이루어진 것이 아닌가 의심이 됩니다.

현재 실제적인 공격에 의한 변조에 따른 진단이 아니며 avast! 보안 제품에서만 발생하는 오진으로 확인되고 있으므로, 차후 업데이트를 통해 문제가 해결될 것으로 생각됩니다.(※ 임시적인 예외 처리는 파일 예외 처리와 네트워크 감시 관련 실시간 감시 자체를 OFF 해야 하는 관계로 게시하지 않습니다.)