본문 바로가기

벌새::Analysis

알약(ALYac) 오진 : Trojan.SWF.Downloader.Gen (2009-08-14)

2009년 8월 15일 광복절과 함께 국내 무료 백신 알약(ALYac) 제품이 네이버(Naver) 메인에 접속할 경우 Trojan.SWF.Downloader.Gen (DB : 2009-08-14) 진단명으로 오진을 하고 있는 것을 확인하였습니다.

네이버 접속시 진단 모습


해당 진단명은 Adobe Flash 포멧 SWF 파일에 대한 진단으로 일반적으로 Flash 취약점을 악용한 코드가 해당 파일 내에 추가된 경우 진단하는 진단명으로 추정됩니다.


실제 진단하는 SWF 파일의 위치를 확인해보면 네이버의 메인에 위치한 광복절 기념 태극기와 네이버 로고가 새겨진 컨텐츠를 진단하고 있는 것을 확인할 수 있습니다.

[nmms_21325302.swf]

BitDefender : Trojan.SWF.Downloader.Gen

(MD5 : 8e39252300f3142e83a723213b3fd37d)

해당 파일에 대한 진단은 BitDefender 제품에서만 진단을 하고 있는 것으로 보아 해당 SWF 파일 내의 URL / ActionScript 관련 코드로 인한 문제이며, 특히 Gen 진단은 휴리스틱으로 인한 진단임을 감안한다면 오진으로 보입니다.

네이버(Naver) 메인 화면


광복절을 맞아 기분 상하게 하는 오진이 아닌가 생각됩니다.

새벽 시간을 통한 오진의 경우 보안업체의 대응이 늦어질 수 있으므로 네이버 메인에서 진단될 경우 치료 버튼을 눌러 치료를 하시어도 특별히 문제가 될 부분은 없습니다.

단지 알약에서 제공하는 특정 진단에 대한 오진의 제외 처리 방식에서 컴퓨터에 설치된 프로그램의 특정 파일이 아닌 이번과 같이 인터넷을 통해 다운로드되는 파일에 대해서는 파일명 제외 처리가 불가능(nmms_21325302.swf 파일명으로 제외 처리를 하여도 재접속시 파일명 변경으로 인해 제외 처리 불가능)하므로 불편을 일정 시간 감수하셔야 할 것 같습니다.

※ 새벽 3시경 알약에서 해당 진단에 대해 긴급 업데이트를 통해 해결을 한 것을 확인하였습니다.
  • 이런 일이 있었군요...

    왠만하면 네이버 접속 잘 안해서...

    작년 전까지만 해도 네이버가 시작 페이지 였는데...
    요즘엔 검색은 구글
    카페나 이런건 다음...
    네이버는 거의 ... 아 네이버 카페때문에 들어가긴 하는데...
    즐겨찾기로 바로 가고 있어요...^^

    • 저 역시 네이버 메인은 거의 안가는데, 메인에서 진단이 된다고 해서 확인한 것입니다.

      네이버가 은근히 오진을 유발하는 소스를 잘 사용하는 느낌도 듭니다.