울지않는벌새 : Security, Movie & Society

[소식] Firefox 플러그인 Sothink Web Video Downloader 4.0 버전 오진 판명

벌새::Security
최근 Mozilla Firefox 웹 브라우저에서 사용하는 2개의 애드온(Add-on) Master Filer와 Sothink Web Video Downloader 4.0 버전에서 악성코드가 발견되었다는 소식을 전해 드렸습니다.

이에 대한 조치로 Firefox AMO 사이트에 등록된 해당 플러그인은 모두 제거되었으며, 보안 전문가를 통해 재확인하는 과정에서 Sothink Web Video Downloader 4.0 버전에서 발견되었다던 악성코드 Win32.LdPinch.gen 진단명은 오진으로 판명이 되었습니다.

출처 : Firefox AMO

이에 따라 AMO에서 제거된 Sothink Web Video Downloader 플러그인은 다시 복원 조치가 이루어졌으며, 나머지 Master Filer 플러그인은 Win32.Bifrose 악성코드가 포함되어 있음을 재확인하였습니다.

Master Filer 플러그인의 경우 0.2 버전까지 공개된 상태로 알려지지 않은 개인이 제작한 것으로 신뢰성에 문제가 있었던 것으로 생각됩니다.

당시 배포되던 Sothink Web Video Downloader 4.0 버전에 대한 진단 정보를 통해 어떤 부분에서 문제가 되었는지 확인해 보겠습니다.

MD5 : c7add206307c2c01850b4a40bf72f179

먼저 Sothink Web Video Downloader 4.0 버전이 Setup 설치 파일(Firefox 애드온 추가 형태가 아님) 형태로 제작사에서 배포된 샘플에 대하여 일부 보안 제품에서 Trojan/Win32.LdPinch.gen 진단명으로 진단을 하고 있는 것을 확인할 수 있습니다.

web-video-downloader.xpi (MD5 : cbfc351e2859344c53d2233634121fa8)

이번에는 Sothink Web Video Downloader 4.0 버전이 Firefox 애드온으로 등록된 xpi 파일 형태의 경우에는 다수의 보안 제품에서 Trojan/Win32.LdPinch.gen 진단명으로 진단을 하고 있습니다.

하우리 바이로봇(Hauri ViRobot)의 경우에는 Trojan.Win32.PSWLdPinch.634880 진단명으로 진단에 추가된 것을 확인할 수 있습니다.

nsCatcher.dll (MD5 : d4f57ce7d0429d46d761c1eea4181ad0)

해당 xpi 파일 내부에는 Armadillo 패커로 제작된 nsCatcher.dll 파일이 존재하며, 이 파일에 대한 진단으로 인해 이같은 진단이 유발된 것으로 알려져 있습니다.

이번에는 추가적으로 안철수연구소(AhnLab) 보안 제품에서도 Win-Trojan/Xema.variant 진단명으로 추가를 한 것을 확인할 수 있으며, 이 진단은 최근 해당 소식이 전해지면서 추가가 된 것이 아닌가 추정됩니다.

해외 정보에 의하면 nsCatcher.dll 파일은 악성코드를 포함하지 않고 있다고 알려져 있으며, 공식적으로 Mozilla에서도 인정한 부분으로 보안 업체에서는 재분석이 필요할 것으로 보입니다.