(주)이스트소프트(ESTsoft) 업체에서 제공하는 무료 백신 알약(ALYac) 보안 제품에서 마이크로소프트(Microsoft)에서 제공하는 Windows Defender 정의 파일을 다운로드하는 과정에서 Gen:Variant.Symmi.14457 진단명으로 오진하는 문제가 있었습니다.
해당 이슈는 "바이러스 제로 시즌 2 파워백신"님의 제보를 토대로 오진 파일을 추출하여 업체에 전달하였으며, 현재는 진단 제외 처리가 이루어진 상태임을 밝힙니다.
우선 마이크로소프트(Microsoft) 웹 사이트에서 제공하는 Windows Defender 정의 파일을 수동으로 다운로드를 하여 최종적으로 생성된 파일을 확인해 보았습니다.
다운로드된 2013년 5월 3일자 Windows Defender 정의 파일(mpas-fe.exe)은 정상적인 디지털 서명과 함께 알약(ALYac) 보안 제품에서 진단되지 않는 상태임을 확인할 수 있습니다.
하지만 일부 시스템 환경에서는 해당 정의 파일을 다운로드하는 과정에서 알약(ALYac) 보안 제품에서 Gen:Variant.Symmi.14457 진단명으로 진단되는 문제가 발생할 수 있는 부분이 확인되고 있습니다.
특히 Windows Defender 정의 파일과 같이 용량(20.3 MB)이 큰 경우 다운로드 과정에서 인터넷 임시 폴더에 mpas-fe[1].exe 파일명으로 생성되어 다운로드 폴더에 최종적으로 생성되는 과정을 거치게 됩니다.
이 과정에서 알약(ALYac) 보안 제품은 실시간 감시 기능을 통해 인터넷 임시 폴더에 생성된 파일(MD5 : 0143ce41cf8addad3f2f17a230080993)을 Gen:Variant.Symmi.14457 진단명으로 오진하는 동작을 확인할 수 있었습니다.
진단된 파일을 추출하여 확인해보면 2.5 MB 용량으로 진단된 파일은 깨진 파일(Corrupted File) 상태이며, VirusTotal 검사에서는 BitDefender 엔진에서 진단되지 않는 것으로 확인되고 있습니다.
아무튼 실제로 정상적인 파일을 다운로드하는 과정에서도 위와 같이 임시 폴더에 생성되는 파일로 인해 보안 제품에서 실시간 감시 진단이 이루어질 수도 있는 경우가 있는 독특한(
) 사례가 아닌가 싶습니다.