샘플 게시판에 올라온 클럽박스 관련 dll 파일을 AntiVir에서 진단을 하는 것을 확인하고 몇 가지 확인을 하였습니다.
스크린샷은 AntiVir 업데이트 목록의 일부분 입니다.
TR/Spy.NowStarter.A / TR/Spy.NowStarter.B 로 분류한 것을 보실 수 있습니다.
여기서 NowStarter는 나우콤(피디박스 / 클럽박스) 서비스 업체명칭으로 추정됩니다.
즉, 나우콤에서 서비스하는 다운로드 프로그램 자체를 스파이형 트로이목마로 완전 분류하여 진단명을 지정한 상태입니다.
이는 AntiVir에서 정한 악성코드 분류정책에 부합하기에 이와 같은 진단명으로 진단을 시작한 것으로 추정됩니다.
조금 더 정확하게 말해서 2008.02.06 17:28 (GMT+1) 시간부터 진단에 포함되었습니다.
특히 타 백신에서는 전혀 진단하지 않는 경우이므로 자체 분석을 통한 진단으로 추정됩니다.
현재 진단되는 샘플 중 하나입니다.
C:\WINDOWS\system32 폴더에 있는 downengine.dll (MD5 : E409BED80879087DA2CA656ABC20AB3B) 파일입니다.
해당 나우콤의 다운로드를 설치하시면 C:\WINDOWS\Downloaded Program Files 폴더에 다음과 같은 ActiveX 설치 파일이 생성됩니다.
여전히 분명한 것은 NowStarter라는 진단명과 나우콤의 해당 컨트롤러의 명칭이 일치한다는 것이고, 나우콤의 해당 파일을 위해 진단명이 새롭게 지정된 것을 아실 수 있습니다.
이는 누군가가 수정하지 않으면 앞으로 계속적으로 진단이 계속될 확률이 극히 높아 보입니다.
| Antivirus | Version | Last Update | Result |
|---|---|---|---|
| AhnLab-V3 | 2008.2.6.10 | 2008.02.05 | - |
| AntiVir | 7.6.0.62 | 2008.02.06 | TR/Spy.NowStarter.B |
| Authentium | 4.93.8 | 2008.02.06 | - |
| Avast | 4.7.1098.0 | 2008.02.06 | - |
| AVG | 7.5.0.516 | 2008.02.06 | - |
| BitDefender | 7.2 | 2008.02.07 | - |
| CAT-QuickHeal | 9.00 | 2008.02.04 | - |
| ClamAV | 0.92 | 2008.02.07 | - |
| DrWeb | 4.44.0.09170 | 2008.02.06 | - |
| eSafe | 7.0.15.0 | 2008.01.28 | - |
| eTrust-Vet | 31.3.5512 | 2008.02.05 | - |
| Ewido | 4.0 | 2008.02.06 | - |
| FileAdvisor | 1 | 2008.02.07 | - |
| Fortinet | 3.14.0.0 | 2008.02.06 | - |
| F-Prot | 4.4.2.54 | 2008.02.06 | - |
| F-Secure | 6.70.13260.0 | 2008.02.07 | - |
| Ikarus | T3.1.1.20 | 2008.02.07 | - |
| Kaspersky | 7.0.0.125 | 2008.02.07 | - |
| McAfee | 5224 | 2008.02.06 | - |
| Microsoft | 1.3204 | 2008.02.06 | - |
| NOD32v2 | 2854 | 2008.02.06 | - |
| Norman | 5.80.02 | 2008.02.06 | - |
| Panda | 9.0.0.4 | 2008.02.06 | - |
| Prevx1 | V2 | 2008.02.07 | Heuristic: Suspicious Self Modifying File |
| Rising | 20.29.22.00 | 2008.01.30 | - |
| Sophos | 4.26.0 | 2008.02.07 | - |
| Sunbelt | 2.2.907.0 | 2008.02.07 | - |
| Symantec | 10 | 2008.02.07 | - |
| TheHacker | 6.2.9.211 | 2008.02.06 | - |
| VBA32 | 3.12.6.0 | 2008.02.07 | - |
| VirusBuster | 4.3.26:9 | 2008.02.06 | - |
| Webwasher-Gateway | 6.6.2 | 2008.02.06 | Trojan.Spy.NowStarter.B |
| Additional information |
|---|
| File size: 155648 bytes |
| MD5: e409bed80879087da2ca656abc20ab3b |
| SHA1: dd855b2ffa007faad69a7746dc38da10d1be2f37 |
바이러스 제로 시즌 2 회원분이 해당 샘플에 대한 진단문제를 Avira측에 건의하여 현재 AntiVir에서 진단되는 문제를 수정하였다고 합니다.
원문 보기 : http://cafe.naver.com/malzero/7791
| Antivirus | Version | Last Update | Result |
|---|---|---|---|
| AhnLab-V3 | 2008.2.11.10 | 2008.02.11 | - |
| AntiVir | 7.6.0.62 | 2008.02.11 | - |
| Authentium | 4.93.8 | 2008.02.11 | - |
| Avast | 4.7.1098.0 | 2008.02.10 | - |
| AVG | 7.5.0.516 | 2008.02.11 | - |
| BitDefender | 7.2 | 2008.02.11 | - |
| CAT-QuickHeal | None | 2008.02.11 | - |
| ClamAV | 0.92 | 2008.02.11 | - |
| DrWeb | 4.44.0.09170 | 2008.02.11 | - |
| eSafe | 7.0.15.0 | 2008.02.11 | - |
| eTrust-Vet | 31.3.5527 | 2008.02.11 | - |
| Ewido | 4.0 | 2008.02.11 | - |
| FileAdvisor | 1 | 2008.02.11 | - |
| Fortinet | 3.14.0.0 | 2008.02.11 | - |
| F-Prot | 4.4.2.54 | 2008.02.11 | - |
| F-Secure | 6.70.13260.0 | 2008.02.11 | - |
| Ikarus | T3.1.1.20 | 2008.02.11 | - |
| Kaspersky | 7.0.0.125 | 2008.02.11 | - |
| McAfee | 5226 | 2008.02.08 | - |
| Microsoft | 1.3204 | 2008.02.11 | - |
| NOD32v2 | 2865 | 2008.02.11 | - |
| Norman | 5.80.02 | 2008.02.11 | - |
| Panda | 9.0.0.4 | 2008.02.10 | - |
| Prevx1 | V2 | 2008.02.11 | Heuristic: Suspicious Self Modifying File |
| Rising | 20.29.22.00 | 2008.01.30 | - |
| Sophos | 4.26.0 | 2008.02.11 | - |
| Sunbelt | 2.2.907.0 | 2008.02.09 | - |
| Symantec | 10 | 2008.02.11 | - |
| TheHacker | 6.2.9.216 | 2008.02.11 | - |
| VBA32 | 3.12.6.0 | 2008.02.10 | - |
| VirusBuster | 4.3.26:9 | 2008.02.11 | - |
| Webwasher-Gateway | 6.6.2 | 2008.02.11 | - |
| Additional information |
|---|
| File size: 155648 bytes |
| MD5: e409bed80879087da2ca656abc20ab3b |
| SHA1: dd855b2ffa007faad69a7746dc38da10d1be2f37 |
바이러스 토탈 검사 결과 현재 downengine.dll 파일을 진단하는 백신이 없습니다. 하지만 이 문제는 언젠가 또 진단할 수 있는 위험성은 존재하다고 판단됩니다. 현재 dll 파일의 버전이 아닌 업데이트된 파일을 진단하거나 누군가의 샘플 신고로 다시 진단에 추가될 수도 있을 것 같습니다.
근본적인 해결 방안은 클럽박스 측에서 파일의 구조를 변경하거나 방식을 변경할 수 밖에 없을지도 모릅니다. 또한 AntiVir 진단 정책이 타 백신사와는 다소 더 엄격(?)한 문제로 인해 이와 같은 진단이 일시적으로 일어나지 않았을까 조심스럽게 추측해 봅니다.