본문 바로가기

벌새::Security

AntiVir의 진단 정책과 나우콤 파일

반응형

샘플 게시판에 올라온 클럽박스 관련 dll 파일을 AntiVir에서 진단을 하는 것을 확인하고 몇 가지 확인을 하였습니다.

사용자 삽입 이미지

스크린샷은 AntiVir 업데이트 목록의 일부분 입니다.

TR/Spy.NowStarter.A / TR/Spy.NowStarter.B 로 분류한 것을 보실 수 있습니다.

여기서 NowStarter는 나우콤(피디박스 / 클럽박스) 서비스 업체명칭으로 추정됩니다.

즉, 나우콤에서 서비스하는 다운로드 프로그램 자체를 스파이형 트로이목마로 완전 분류하여 진단명을 지정한 상태입니다.

이는 AntiVir에서 정한 악성코드 분류정책에 부합하기에 이와 같은 진단명으로 진단을 시작한 것으로 추정됩니다.

조금 더 정확하게 말해서 2008.02.06 17:28 (GMT+1) 시간부터 진단에 포함되었습니다.

특히 타 백신에서는 전혀 진단하지 않는 경우이므로 자체 분석을 통한 진단으로 추정됩니다.

현재 진단되는 샘플 중 하나입니다.

사용자 삽입 이미지

C:\WINDOWS\system32 폴더에 있는 downengine.dll (MD5 : E409BED80879087DA2CA656ABC20AB3B) 파일입니다.

해당 나우콤의 다운로드를 설치하시면 C:\WINDOWS\Downloaded Program Files 폴더에 다음과 같은 ActiveX 설치 파일이 생성됩니다.

사용자 삽입 이미지

여전히 분명한 것은 NowStarter라는 진단명과 나우콤의 해당 컨트롤러의 명칭이 일치한다는 것이고, 나우콤의 해당 파일을 위해 진단명이 새롭게 지정된 것을 아실 수 있습니다.

이는 누군가가 수정하지 않으면 앞으로 계속적으로 진단이 계속될 확률이 극히 높아 보입니다.

Antivirus Version Last Update Result
AhnLab-V3 2008.2.6.10 2008.02.05 -
AntiVir 7.6.0.62 2008.02.06 TR/Spy.NowStarter.B
Authentium 4.93.8 2008.02.06 -
Avast 4.7.1098.0 2008.02.06 -
AVG 7.5.0.516 2008.02.06 -
BitDefender 7.2 2008.02.07 -
CAT-QuickHeal 9.00 2008.02.04 -
ClamAV 0.92 2008.02.07 -
DrWeb 4.44.0.09170 2008.02.06 -
eSafe 7.0.15.0 2008.01.28 -
eTrust-Vet 31.3.5512 2008.02.05 -
Ewido 4.0 2008.02.06 -
FileAdvisor 1 2008.02.07 -
Fortinet 3.14.0.0 2008.02.06 -
F-Prot 4.4.2.54 2008.02.06 -
F-Secure 6.70.13260.0 2008.02.07 -
Ikarus T3.1.1.20 2008.02.07 -
Kaspersky 7.0.0.125 2008.02.07 -
McAfee 5224 2008.02.06 -
Microsoft 1.3204 2008.02.06 -
NOD32v2 2854 2008.02.06 -
Norman 5.80.02 2008.02.06 -
Panda 9.0.0.4 2008.02.06 -
Prevx1 V2 2008.02.07 Heuristic: Suspicious Self Modifying File
Rising 20.29.22.00 2008.01.30 -
Sophos 4.26.0 2008.02.07 -
Sunbelt 2.2.907.0 2008.02.07 -
Symantec 10 2008.02.07 -
TheHacker 6.2.9.211 2008.02.06 -
VBA32 3.12.6.0 2008.02.07 -
VirusBuster 4.3.26:9 2008.02.06 -
Webwasher-Gateway 6.6.2 2008.02.06 Trojan.Spy.NowStarter.B
Additional information
File size: 155648 bytes
MD5: e409bed80879087da2ca656abc20ab3b
SHA1: dd855b2ffa007faad69a7746dc38da10d1be2f37

* 참고로 해당 파일은 안철수 연구소에서 정상파일(오진)이라는 답변을 받았습니다.

[추가 수정 사항]

바이러스 제로 시즌 2 회원분이 해당 샘플에 대한 진단문제를 Avira측에 건의하여 현재 AntiVir에서 진단되는 문제를 수정하였다고 합니다.

원문 보기 : http://cafe.naver.com/malzero/7791

Antivirus Version Last Update Result
AhnLab-V3 2008.2.11.10 2008.02.11 -
AntiVir 7.6.0.62 2008.02.11 -
Authentium 4.93.8 2008.02.11 -
Avast 4.7.1098.0 2008.02.10 -
AVG 7.5.0.516 2008.02.11 -
BitDefender 7.2 2008.02.11 -
CAT-QuickHeal None 2008.02.11 -
ClamAV 0.92 2008.02.11 -
DrWeb 4.44.0.09170 2008.02.11 -
eSafe 7.0.15.0 2008.02.11 -
eTrust-Vet 31.3.5527 2008.02.11 -
Ewido 4.0 2008.02.11 -
FileAdvisor 1 2008.02.11 -
Fortinet 3.14.0.0 2008.02.11 -
F-Prot 4.4.2.54 2008.02.11 -
F-Secure 6.70.13260.0 2008.02.11 -
Ikarus T3.1.1.20 2008.02.11 -
Kaspersky 7.0.0.125 2008.02.11 -
McAfee 5226 2008.02.08 -
Microsoft 1.3204 2008.02.11 -
NOD32v2 2865 2008.02.11 -
Norman 5.80.02 2008.02.11 -
Panda 9.0.0.4 2008.02.10 -
Prevx1 V2 2008.02.11 Heuristic: Suspicious Self Modifying File
Rising 20.29.22.00 2008.01.30 -
Sophos 4.26.0 2008.02.11 -
Sunbelt 2.2.907.0 2008.02.09 -
Symantec 10 2008.02.11 -
TheHacker 6.2.9.216 2008.02.11 -
VBA32 3.12.6.0 2008.02.10 -
VirusBuster 4.3.26:9 2008.02.11 -
Webwasher-Gateway 6.6.2 2008.02.11 -
Additional information
File size: 155648 bytes
MD5: e409bed80879087da2ca656abc20ab3b
SHA1: dd855b2ffa007faad69a7746dc38da10d1be2f37

바이러스 토탈 검사 결과 현재 downengine.dll 파일을 진단하는 백신이 없습니다. 하지만 이 문제는 언젠가 또 진단할 수 있는 위험성은 존재하다고 판단됩니다. 현재 dll 파일의 버전이 아닌 업데이트된 파일을 진단하거나 누군가의 샘플 신고로 다시 진단에 추가될 수도 있을 것 같습니다.

근본적인 해결 방안은 클럽박스 측에서 파일의 구조를 변경하거나 방식을 변경할 수 밖에 없을지도 모릅니다. 또한 AntiVir 진단 정책이 타 백신사와는 다소 더 엄격(?)한 문제로 인해 이와 같은 진단이 일시적으로 일어나지 않았을까 조심스럽게 추측해 봅니다.

728x90
반응형