본문 바로가기

벌새::Security

nProtect Rootkit 검사 진단명 : Spyware/Rootkit.Suspicious

잉카 인터넷(INCA Internet) 보안제품 nProtect Anti-Virus/Spyware 2007 버전에서 제공하는 루트킷(Rootkit) 검사 도구를 이용하여 전체 검사를 진행해 보았습니다.


검사에서는 총 82종의 Spyware/Rootkit.Suspicious 진단명으로 진단되는 부분을 발견할 수 있었습니다.

[Spyware/Rootkit.Suspicious 진단 내역]

C:\Documents and Settings\[사용자 계정]\시작 메뉴\µTorrent.Ink
C:\Documents and Settings\[사용자 계정]\Local Settings\Application Data\TechSmith\SnagIt\DataStore\AppIcons\notepad++.exe.Notepad++
C:\Documents and Settings\[사용자 계정]\Application Data\Microsoft\Internet Explorer\Quick Launch\Web Program\µTorrent.Ink
C:\Documents and Settings\All Users\Documents\My Videos\Desktop.ini
C:\Documents and Settings\All Users\Documents\My Music\My Playlists\샘플 재생 목록.wpl
C:\Documents and Settings\All Users\Documents\My Music\Sync Playlists\AB768\*.wpl

진단 내역을 보시면 P2P 공유 프로그램 µTorrent 바로가기, 스크린 캡쳐 프로그램 SnagIt 생성 파일 등 Rootkit으로 의심될 부분이 아닌 항목 다수가 진단이 되고 있습니다.


특히 진단 내역 중 [C:\Documents and Settings\All Users\Documents\My Music\Sync Playlists\AB768\*.wpl] 파일들은 생성 날짜가 사용자 윈도우가 설치된 날짜에 설치된 윈도우 생성 초기 파일로 보이는데 이런 부분까지 의심 파일(Suspicious)로 진단한다는 것은 진단 방식상의 문제가 아닐까 생각됩니다.


그 외에도 인터넷 임시 폴더 내부에 생성된 파일 다수를 Rootkit 의심 파일로 진단하는 것을 확인할 수 있었습니다.

아무리 의심 파일 진단명으로 진단할지라도 좀 그럴 듯한 파일들을 진단해 주면 안되는지 모르겠네요.

일단 nProtect Rootkit 검사는 신뢰감이 극도로 떨어지는 것을 확인할 수 있었습니다.  단지 덕분에 불필요한 아이콘(Icon) 파일의 존재를 찾아서 삭제를 하게 된 점은 칭찬할만 합니다.

앞으로 Rootkit 검사 도구가 아니라 불필요한 파일 검사 도구라고 불러주리라~!