본문 바로가기

벌새::Security

해외 보안 제품 Windows Anti-Virus Mate 주의

반응형


Windows Anti-Virus Mate Free Edition 버전의 경우 제품 이름과는 다르게 실제 악성코드 검사 기능을 포함하지 않는 시스템 정보 제공 프로그램의 형태임을 알 수 있습니다.

MD5 : f7f92ba903e7e96f0153b550ed54affe


일부 보안 제품에서 의심 파일로 진단을 하고 있지만, 해당 진단은 큰 의미를 부여할 필요는 없습니다.


유료 버전인 Windows Anti-Virus Mate Professional Edition에서는 그림과 같이 메모리(Memory) 검사와 스마트(Smart) 검사 기능을 통해 악성코드 검사 기능을 가진 보안 제품의 모습을 가지고 있습니다.


하지만 검사를 진행해보면 9초 정도의 짧은 시간에 완료되면서 정상적인 파일, 레지스트리 정보를 위험한 요소로 진단을 하고 있는 것을 확인할 수 있습니다.

해당 프로그램을 보면 마치 RemoveIT Pro v4 - SE 제품을 보는 듯한 느낌이지만, 중요한 차이점이 이 제품은 저런 엉성한 진단을 통해 유료 결제를 하도록 유도한다는 점입니다.

해당 유료 버전 Setup 설치 파일(MD5 : a03edc00ba486d9cb9fee218f13c3e10)에 대하여 Kaspersky 보안 제품에서는 Trojan.Win32.FraudPack.amba (VirusTotal : 3/42) 진단명으로 진단을 하고 있는 것을 확인할 수 있습니다.

[생성 파일 진단 정보]

C:\Program Files\Winavm\avm.exe (Kaspersky : Trojan.Win32.FraudPack.amba)

제품 등록이 있어서 심사 기준이 명확한 곳으로 알려진 해외 공개 자료실 Softpedia에서는 해당 프로그램이 안전하다고 등록되어 있지만, 현재 보안 제품에서 진단을 한다는 점에서 수정이 필요해 보입니다.

특히 2월경 진행된 1일 무료판 설치 파일에 대해서는 공식 사이트에서 배포하던 형태와는 또 다른 파일로 배포되는 과정에서 보안 제품 상당수가 악성코드로 진단하는 것을 확인할 수 있습니다.

MD5 : ad823f12d1c1c9ee10a9639671490a49


프로그램의 삭제는 제어판의 [Windows Anti-Virus Mate Professional 2.0.462] 삭제 항목을 이용하여 삭제하실 수 있습니다.

 

[생성 레지스트리 등록 정보]

HKEY_LOCAL_MACHINE\SOFTWARE\AVM
HKEY_LOCAL_MACHINE\SOFTWARE\microsoft\Windows\CurrentVersion\Uninstall\Windows Anti-Virus Mate Professional_is1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\avm

 

이처럼 금전 결제를 통한 유료 제품의 경우에는 제품의 진단 품질에 대해 신경을 쓰지 않으면 가짜 백신으로 진단될 수 있을 것으로 보입니다. 아니면 제품 판매를 비정상적인 다른 경로를 통해 사용자에게 배포할 수도 있지 않나 생각됩니다.

728x90
반응형