바이러스체이서 Trojan.DownLoad1.37182.Based 전용 백신의 문제점

최근 국내 보안 업체에서 Bredolab, Palevo 악성코드와 관련한 변종으로 인한 컴퓨터 감염에 대해 경고를 하면서 바이러스체이서(Virus Chaser) 보안 제품에서는 제일 먼저 전용 백신을 내놓았었습니다.

• 바이러스체이서 : 지능형 종합 바이러스 경고 (2010.2.11)

그런데 최근 보안 카페 바이러스 제로 시즌 2 회원님이 해당 전용 백신이 정상적인 프로그램 설치 파일인 경우에도 진단을 하는 문제점이 있다는 지적에 개인적으로 확인차 테스트를 진행하였고, 몇 가지 문제점을 확인할 수 있었습니다.

전용 백신을 실행한 경우 자동으로 프로세스 검사 및 사용자의 메인 디스크를 검사하도록 구성되어 있습니다.

■ 문제점 1. 특정 폴더 선택 불가능 현상

---

전용 백신에서는 사용자가 특정 폴더를 선택할 수 있도록 제공하고 있지만, 실제 검사를 중지하고 특정 폴더를 지정한 상태로 검사를 시도할 경우 초기화되어 모든 폴더를 검사하는 단일한 방식으로 동작을 하고 있습니다.

■ 문제점 2. 오진 추정 진단 및 자동 치료 기능

---

검사 과정에서 [%(모든 사용자 계정)%\Application Data\TEMP:284D1EE4] 파일을 ADS Detected 검출 이름으로 진단을 하였으며, 해당 파일은 143Bytes 크기로 VirusTotal 검사를 통해서는 아무런 악성 정보를 확인할 수 없는 정상적인 파일로 보입니다.

이렇게 진단된 항목에 대해 검사가 완료되면 자동으로 전용 백신은 치료를 진행하여 파일을 삭제 처리를 하며, 전용 백신을 종료할 경우 바이러스가 발견되었으므로 시스템 재부팅을 권장하는 메시지를 확인할 수 있습니다.

■ 문제점 3. 재부팅 후 자동 검사 및 치료 실패

---

재부팅 과정에서 윈도우 진입시 자동으로 전용 백신이 동작하면서 재검사를 진행하며, 그림과 같이 이전에 진단한 파일(TEMP:284D1EE4)에서 윈도우 진입시 진단 파일명은 변경이 된 형태(TEMP:E965A533)로 또 다시 진단하는 것을 확인할 수 있었습니다.

실제 재부팅 전에 전용 백신에서 해당 파일을 치료를 통해 제거 하였다고 나온 이후 GMER 도구를 이용하여 확인을 해보면 제거가 되지 않은 것을 확인할 수 있었고, 재부팅 과정에서 제거를 완료하는 것이 아닌가 확인차 재부팅을 따랐습니다.

하지만 재부팅 이후에도 동일한 위치에서 이번에는 파일명이 변경된 형태로 진단을 하고 있는 점은 실제 오진 여부를 떠나서 치료에 실패를 한 것임을 알 수 있습니다.

특히 재부팅 이후 파일을 재확인해보면 진단한 파일명이 그대로 존재하며, 부팅 과정에서 재검사를 통해 진단된 파일은 존재하지 않는 것으로 보아, 진단된 파일명 자체도 의문이 가는 대목입니다.

이렇게 매번 재부팅 과정에서 자동 진단, 자동 치료, 재부팅을 요구하는 악순환으로 인해 실제 삭제되지 않는 파일을 끝없이 진단하는 문제를 볼 때 현재 바이러스체이서에서 제공하는 전용 백신에 문제가 있다고 판단됩니다.

[관련글 보기]

2010/02/12 - [벌새::Security] - [소식] Bredolab, Palevo 악성코드에 대한 알약, 잉카 전용백신 출시 (2010.2.12)