울지않는벌새 : Security, Movie & Society

Kaspersky 오진 : Trojan-Spy.HTML.Fraud.gen (2010.3.6)

벌새::Security
바이러스 제로 시즌 2 카페 회원님께서 Daum 카페 서비스를 통해 검색을 시도할 경우 Kaspersky 보안 제품에서 Trojan-Spy.HTML.Fraud.gen 진단명으로 진단을 하여 컴퓨터 포멧까지 하셨다는 이야기와 함께 문의가 있어서 확인을 해보았습니다.

Daum 카페 아무 곳이나 접속하여 카페 내에서 제공하는 검색 기능을 통해 불특정 검색어를 입력할 경우 그림과 같은 clixbizad 이름을 포함하는 링크를 확인할 수 있습니다.

해당 html 파일 내부 소스를 보면서 처음에는 그림과 같은 Head 내부에 카페 메인 프레임과 관련된 특정 기능을 위한 자바스크립트(Javascript)가 포함되어 있는 것을 통해, 해당 소스가 악성코드에서와 유사성이 있기에 Kaspersky 보안 제품에서 진단을 하고 있는 것이 아닌가 추정을 하였습니다.

하지만 확인 과정에서 발견한 것은 Head 태그로 인한 문제가 아닌 Body 내부에 존재하는 다수의 Long URL로 인한 진단 문제로 추정됩니다.

해당 링크 자체는 국내 금융권 관련 링크로 안전한 사이트이지만, 소스에 포함된 링크 자체가 일반적으로 보이는 연결 방식은 아닌 것 같습니다.

또 한 가지 의심해 볼 부분은 해당 링크들의 경우 대체로 링크를 통해 접속한 첫 페이지에서 국내 금융권 보안 프로그램을 설치하도록 유도한다는 점입니다.

이 부분으로 인해 마치 링크를 통해 해외 가짜 백신(Rogue AV)을 설치하는 동작과 유사성이 있기에 진단했을 수도 있습니다.

이유야 어찌되었건 해당 진단명은 현재 Kaspersky 보안 제품에서만 진단되는 오진 현상이며, 진단명 자체는 가짜 백신을 설치하도록 유도하는 웹 페이지를 진단하기 위한 Gen 진단으로 Kaspersky 업체에서 수정이 필요한 DB 패턴입니다.