하우리(Hauri) 보안 업체에서는 CryptXXX, Locky 랜섬웨어(Ransomware) 피해가 급증함에 따라 랜섬웨어 예방툴(RansomProtector)을 제작하여 감염되지 않도록 악성코드를 속이는 방법을 제공하고 있습니다.

 

그런데 국내외에서 인기를 모으고 있는 Malwarebytes Anti-Malware 보안 제품이 랜섬웨어 예방툴(RansomProtector)이 생성한 svchost.exe 파일을 Trojan.Agent.Gen 진단명으로 진단한다는 정보가 있어서 확인해 보았습니다.

 

 

실제로 랜섬웨어 예방툴(RansomProtector)이 생성한 임시 폴더(%Temp%)에 생성된 svchost.exe 파일을 Trojan.Agent.Gen 진단명으로 오진을 하고 있으며, 실제 svchost.exe 파일은 어떠한 기능도 수행하지 않는 Fake 파일입니다.

 

그렇다면 Malwarebytes Anti-Malware 보안 제품이 특정 위치에 특정 파일명이 존재할 경우 무조건 진단하는 추가적인 확인을 해보았습니다.

 

 

우선 메모장으로 임의의 문구를 입력한 한 explorer.exe, rundll32.exe, svchost.exe 파일명으로 저장하여 임시 폴더에 위치시킨 후 Malwarebytes Anti-Malware 보안 제품을 이용하여 정밀 검사를 진행하였습니다.

 

 

  • %Temp%\rundll32.exe (Trojan.Agent.RDL)
  • %Temp%\svchost.exe (Trojan.Agent.Gen)

검사 결과는 임시 폴더(%Temp%)에 생성되는 파일의 코드는 확인하지 않고 파일명 기반으로 무조건 진단하는 정책을 가지고 있음을 알 수 있습니다.

 

간혹 다른 보안 제품에서도 특정 진단을 목적으로 파일 위치 및 파일명으로 악성코드 진단이 이루어지고 있다는 것은 알고 있었지만, CryptXXX 랜섬웨어의 경우 rundll32.exe 시스템 파일을 임시 폴더에 복사하여 DLL 악성 파일을 동작한다고 정상적인 시스템 파일을 진단하는 방식은 상당히 무식한 방식이 아닌가 싶습니다.

신고
블로그 이미지

벌새

울지않는벌새가 되고 싶은 나..