울지않는벌새 : Security, Movie & Society

해외 보안 솔루션 : RemoveIT Pro v4 - SE

벌새::Software
해외 InCode Solutions 업체에서 서비스하는 악성코드 치료 프로그램 RemoveIT Pro v4 - SE 제품에 대해 살펴보도록 하겠습니다.

해당 프로그램은 제 기억으로는 2000년대 중반경 국내 공개 자료실에 등록이 되면서 알려지기 시작하였고, 특히 해당 업체에서 주장하는 유명 보안제품에서 진단되지 않는 각종 악성코드를 찾아낸다는 문구를 내세우고 있는 것이 특징입니다.
Locates & Removes many new dangerous files including Spyware, Malware, Virus, Worms, Trojan's and Adware that other popular AV programs do not find.

제품의 설치 과정에서는 위에서 언급한 것처럼 유명 보안제품이 진단하지 않는 위험한 악성코드를 진단할 수 있다고 밝히고 있습니다.

프로그램 설치 후 초기 동작에서는 개인 사용자(비상업적 이용)는 무료로 이용하실 수 있으며, 기업에서는 구입을 해야 한다고 밝히고 있습니다.

메인 화면

해당 프로그램의 구성은 우측에 메뉴를 구성하였고, 좌측 하단에 최신 업데이트 날짜 정보를 확인할 수 있도록 구성되어 있습니다.

Process Manager

[Process Manager] 항목에서는 사용자 컴퓨터의 프로세스 등록정보를 제공하고 있습니다. 특정 프로세스를 종료할 수 있으며, 종료와 함께 삭제 기능도 제공하고 있습니다.

Services Manager

[Services Manager] 항목에서는 사용자 컴퓨터에 등록된 서비스 항목에 대한 상세한 정보를 제공하고 있습니다. 특정 서비스 등록정보를 중지할 수 있으며, 다시 시작할 수 있도록 구성되어 있습니다.

Startup Files

[Startup Files] 항목은 사용자 컴퓨터에 등록된 시작 프로그램 등록정보를 확인할 수 있습니다. 해당 목록 중 사용자는 특정 항목을 제거할 수 있습니다.

그 외에 검역소, 보고서 등의 메뉴가 제공되고 있는 형태로 상당히 간단하게 구성되어 있습니다.

이제 해당 제품을 통해 사용자 컴퓨터에서 악성코드가 존재한지 확인을 해 보겠습니다.

초기 동작시 Internet Explorer 및 기타 응용 프로그램을 종료하고 검사를 진행하도록 권장하고 있습니다.

검사 방식은 사용자가 특정 영역을 선택하는 것이 아닌 해당 프로그램에 등록된 진단 패턴을 찾아서 진단하는 방식으로 보입니다.

[RemoveIT Pro v4 - SE 진단 내역]

Infected file (Sys32.grdmgr) C:\WINDOWS\system32\grdmgr.exe - 나우콤 캐쉬 매니저
Infected file (Sys32.grdupdater) C:\WINDOWS\system32\grdupdater.exe - 나우콤 Grdmgr Updater
Infected file (Sys32.hldown) C:\WINDOWS\system32\hldown.dll - 하우리 VrDown DLL
Infected file (Sys32.hldown1) C:\WINDOWS\system32\hldown1.dll - 하우리 VrDown DLL
Infected file (Sys32.hspylib) C:\WINDOWS\system32\hspylib.dll
Infected file (Sys32.madchook) C:\WINDOWS\system32\madchook.dll
Infected file (Sys32.pdbox28) C:\WINDOWS\system32\pdbox28.exe - 나우콤 PDBOX File Transfer Manager
Infected file (Sys32.pthreadvc) C:\WINDOWS\system32\pthreadvc.dll
Infected file (Sys32.vrazace) C:\WINDOWS\system32\vrazace.dll
Infected file (Sys32.vrazmain) C:\WINDOWS\system32\vrazmain.dll - 이스트소프트 ALZip Dynamic Link Library (HAURI)
Infected file (Sys32.vrazrar) C:\WINDOWS\system32\vrazrar.dll
Infected file (Sys32.vrvd302) C:\WINDOWS\system32\vrvd302.dll - Virtual Remote Video Driver(VRVD303)
Infected file (Sys32.xmaninf) C:\WINDOWS\system32\xmaninf.exe
Infected file (Sys32.ifinst27) C:\WINDOWS\ifinst27.exe
Infected file (Sys32.wininet) C:\WINDOWS\ie8updates\kb969897-ie8\wininet.dll - 마이크로소프트 Internet Explorer 업데이트 관련 파일
Infected file (Sys32.rpcapd) C:\Program Files\winpcap\rpcapd.exe

진단한 항목을 살펴보면 국내에서 제작한 보안제품 하우리(Hauri) 관련 파일 및 이스트소프트(ESTSoft)사의 압축 프로그램 알집 등을 진단하고 있으며, 마이크로소프트(Microsoft)사의 파일도 진단하는 등 세계적으로 잘 알려지지 않은 파일이나 파일에 서명이 제대로 되어 있지 않는 부분에 대해 진단하는 방식으로 되어 있는 것을 확인할 수 있었습니다.

분명한 부분은 유명 보안제품에서 진단하지 않는 악성코드라는 의미는 결국에는 악성코드 진단 정책의 차이에서 오는 부분과 이 제품과 같은 규모가 작은 프로그램이 다양한 파일에 대한 검증 및 정보 부족으로 인하여 진단하는 부분이 아닐까 생각됩니다.

몇 년동안 공개 자료실에 해당 프로그램이 등록되고 있는 현실에서 무료 보안제품이며, 해당 자료실에서도 다운로드 서비스가 된다고 너무 신뢰를 할 수는 없다는 점입니다.

해당 프로그램에서 진단하는 파일을 실제 치료(Fix)를 할 경우 일부 응용 프로그램의 비정상적 동작을 유발할 수 있으므로 위와 같은 프로그램보다는 신뢰할 수 있는 보안제품을 통해 실시간 감시를 활성화하여 컴퓨터를 보호하시길 추천합니다.