국내 공유 프로그램 중에 유명한 서비스로 프리첼에서 서비스하는 파일구리가 있습니다.
저는 한 번도 사용해 보지 않아서 정확하게 어떤 형태의 서비스인지는 모르겠지만, 웹하드 형태의 영화 등의 공유 서비스로 추정됩니다.
특히 버전이 수정될 때마다 언제부터인지 해당 서비스의 패치(크랙) 프로그램이 각종 게시판을 통해 홍보가 상당하며, 현재도 개방적인 웹사이트에서 버전별 패치가 실시간으로 공개되고 있는 것을 확인할 수 있습니다.
최근 파일구리 버전의 패치를 안철수연구소에 샘플 신고를 한 적이 있습니다.
AhnLab-V3 2008.8.19.0 2008.08.20 -
AntiVir 7.8.1.23 2008.08.20 HEUR/Crypted
Authentium 5.1.0.4 2008.08.20 W32/Heuristic-THX!Eldorado
Avast 4.8.1195.0 2008.08.19 Win32:Trojan-gen {Other}
AVG 8.0.0.161 2008.08.20 SHeur.CBWH
BitDefender 7.2 2008.08.20 -
CAT-QuickHeal 9.50 2008.08.19 (Suspicious) - DNAScan
ClamAV 0.93.1 2008.08.19 Trojan.Pakes-248
DrWeb 4.44.0.09170 2008.08.20 -
eSafe 7.0.17.0 2008.08.19 -
eTrust-Vet 31.6.6035 2008.08.15 -
Ewido 4.0 2008.08.20 -
F-Prot 4.4.4.56 2008.08.19 W32/Heuristic-THX!Eldorado
F-Secure 7.60.13501.0 2008.08.20 Suspicious:W32/Malware!Gemini
Fortinet 3.14.0.0 2008.08.20 -
GData 2.0.7306.1023 2008.08.20 Win32:Trojan-gen
Ikarus T3.1.1.34.0 2008.08.20 Virus.Win32.CiaDoor.791
K7AntiVirus 7.10.421 2008.08.19 -
Kaspersky 7.0.0.125 2008.08.20 -
McAfee 5364 2008.08.19 -
Microsoft 1.3807 2008.08.20 -
NOD32v2 3370 2008.08.20 -
Norman 5.80.02 2008.08.20 -
Panda 9.0.0.4 2008.08.19 -
PCTools 4.4.2.0 2008.08.19 Packed/Themida
Prevx1 V2 2008.08.20 -
Rising 20.58.22.00 2008.08.20 -
Sophos 4.32.0 2008.08.20 Mal/Behav-285
Sunbelt 3.1.1546.1 2008.08.15 -
Symantec 10 2008.08.20 -
TheHacker 6.3.0.5.054 2008.08.19 -
TrendMicro 8.700.0.1004 2008.08.20 -
VBA32 3.12.8.3 2008.08.20 -
ViRobot 2008.8.20.1342 2008.08.20 -
VirusBuster 4.5.11.0 2008.08.19 Packed/Themida
Webwasher-Gateway 6.6.2 2008.08.20 Heuristic.Crypted
Additional information
File size: 757760 bytes
MD5...: d97f630befa312e1e44a6af1a19d2410
SHA1..: 7a602f733e422f1ff07521b781e9256ec26b56d2
바이러스토탈(VirusTotal) 진단 결과를 참고해 보면 특정 패커로 인한 진단 또는 의심스러운 휴리스틱 진단 등 다양한 이유를 볼 수도 있었습니다.
이전에도 파일구리 패치가 공개되면 여유가 있을 경우 안철수연구소에 신고를 해보지만, 대체로 의심스러운 부분이 없기에 진단하지 않았는데, 8월 19일자 업데이트에서 해당 샘플에 대한 스파이제로(SpyZero) 진단명 Win-Spyware/Fguri.757760 으로 추가된 것을 확인하였습니다.
해당 진단명에 대한 안철수연구소의 분석 내용은 공개되지 않았지만 Clicker류가 아닌 Spyware로 분류한 것을 봐서는 설치한 컴퓨터의 특정 정보를 탈취할 목적으로 제작된 패치임을 알 수 있습니다.
그런데 해당 패치를 공개한 웹사이트의 게시판에서는 재미있는 것을 발견할 수 있습니다.
일부 패치 사용자가 자신들의 컴퓨터에 설치된 보안제품에서 트로이목마로 진단한다거나 스파이웨어로 진단한다면서 문의를 합니다. 해당 패치를 배포하는 사람은 마치 안철수연구소의 제품에 하자가 있는 양 해당 제품의 신뢰성을 의심하는 말로 넘어가고 있으며, 어떤 사용자는 자신이 사용하는 보안제품에서 진단하기에 실시간 감시를 OFF하고 사용한다는 말도 있습니다.
이런 류의 패치 자체를 악성코드로 진단하는 것은 각 보안업체의 정책적인 문제일 수 있지만, 단순히 이런 말 한마디로 구렁이 담넘듯이 자체 판단을 한다면 이 세상에 악성코드는 존재하지 않게 되는 것이 아닐까요?
물론 진단하는 것 중에는 유해 가능 제품으로 사용자가 사용하기 나름이지만, 이 진단명으로 추정하건데 만약 해당 패치가 자신의 파일구리 개인정보를 탈취하거나 기타 스팸 이메일을 위한 이메일 주소 수집 등의 동작에 대해서 너그럽게 타인에게 정보를 제공할 용의가 있는지 궁금합니다.
보통 악성코드에 걸리는 부류는 정말 교묘하게 유포되는 방식이며 기술적인 결함을 이용한 공격으로 당하는 분들도 많겠지만, 이와 같이 기회비용을 위해 일부를 희생하면서 다른 일부를 취하기 위하다가 당하는 분들이 더 많을 것 같습니다.
위의 글을 적은 분들은 왜 자신의 컴퓨터에 보안제품을 설치하고 사용하시는지 궁금합니다.