본문 바로가기

벌새::Security

avast! 오진 : 한글과컴퓨터 오피스 뷰어 2007 - Win32:Malware-gen (2010.3.23)

반응형
최근 해외 보안 제품 avast! 사용자 중에서 한글과컴퓨터에서 제공하는 오피스 뷰어 2007(한글과컴퓨터 뷰어 2007) 프로그램을 설치한 환경에서 Win32:Malware-gen 진단명으로 진단되는 문제로 고생하는 분들이 있는 것을 확인하였습니다.

결론적으로 말하면 해당 진단명은 오진(False Positive)입니다. 하지만 해외 보안 업체의 진단 정책상의 문제일 수 있으며 충분히 진단할만한 여건을 한글과컴퓨터에서 제공한 측면도 없지 않다고 개인적으로 생각합니다.
테스트에서는 avast! 보안 제품을 설치하지 않은 상태로 확인을 하였기 때문에 한글과컴퓨터 뷰어 2007 프로그램을 설치하는 과정에서도 실시간 감시에서 진단되는지 확인이 불가능하지만 아마 설치 단계부터 진단할 것으로 추정됩니다.(보안 제품에 따라 실시간 감시에서 msi 확장자를 진단하지 않을 수 있습니다.)

[생성 파일 진단 정보]

%(사용자 계정)%\Local Setting\Temp\한글과컴퓨터 오피스 뷰어\Install\HVWK.msi (avast! : Win32:Malware-gen)
%SystemRoot%\Installer\(임의의 6~7자리 영문+숫자).msi (avast! : Win32:Malware-gen)

프로그램의 설치 방식은 제작사에서 제공하는 51MB 용량의 설치 파일을 통해 설치 관련 파일을 추출하여 임시 폴더에 파일을 생성하는 과정에서 HVWK.msi 파일(MD5 : 8c6e6414c5a12347052b4ef8772670e5)에 대해 진단을 하기 시작합니다.
HVWK.msi / (임의의 6~7자리 영문+숫자).msi
이렇게 하여 설치 단계로 진입하여 프로그램 설치가 완료되면 Windows 폴더 내에 특정 파일에 대해 동일한 진단명으로 추가적인 진단을 하는 것을 확인할 수 있습니다.

그렇다면 왜 avast! 보안 제품을 비롯한 일부 제품에서 진단을 하는지 확인해 보도록 하겠습니다.
 
진단되는 msi 파일(Windows Installer 패키지) 내부의 압축을 해제해보면 Binary.Daum_Module 파일이 존재하며 실제 보안 제품에서 진단하는 이유는 저 파일로 인한 문제입니다.
Binary.Daum_Module
참고로 해당 Binary.Daum_Module 파일에 대해서는 msi 설치 파일에 비해 더 많은 보안 제품에서 진단을 하고 있는 것을 확인할 수 있습니다.
한글과컴퓨터 뷰어 2007 프로그램을 설치하는 과정을 살펴보면 초기 이용약관 동의 과정에서 기본값으로 [Daum 바로가기 패키지를 설치합니다.] 항목에 체크된 상태로 제공되고 있으며, 해당 기능은 그림과 같은 각종 시작 페이지, 바로가기 아이콘, 검색 공급자를 변경하는 값을 포함하고 있습니다.

이용약관 동의 항목에는 체크되지 않은 상태에서 제휴(스폰서) 프로그램에 대해서는 기본값으로 체크를 하고 있다는 부분은 국내 소프트웨어 배포자들이 반성할 부분이라고 생각합니다.
이렇게 한글과컴퓨터 뷰어 2007 프로그램의 설치가 완료된 시점에서 또 다시 [Daum을 내 홈페이지로 설정합니다.] 항목과 [Daum PC 클리너를 설치합니다.] 항목을 통하여 추가적인 제휴(스폰서) 프로그램이 포함되어 있는 것을 확인할 수 있습니다.

실제 한글과컴퓨터 뷰어 2007 프로그램의 설치 파일을 실행하였을 경우 추출 파일 중에서는 [%(사용자 계정)%\Local Setting\Temp\한글과컴퓨터 오피스 뷰어\Install\DaumCleanerHaansoft.exe] 파일을 생성하는데, 이런 제휴 프로그램으로 인하여 해외 보안 제품의 정책적인 진단 패턴에 따라 다수의 보안 제품에서 Trojan.Downloader 방식으로 오해를 하는 것으로 보입니다.

이런 진단에 대한 개인 사용자가 오진 수정 요청을 하기에는 해당 프로그램의 초기 설치 파일 용량이 50MB 이상이라서 신고가 어렵고, 진단되는 msi 파일만을 신고하여서는 전체적인 프로그램 성격을 이해시키기가 쉽지 않을 것으로 보입니다.

특히 avast! 제품 사용자 중에서 해당 진단을 악성코드 진단으로 오해를 하시고 치료를 시도할 경우 치료에 실패(msi 파일 내부의 Binary.Daum_Module 파일만 처리하지 못하는 문제로 추정됩니다.)하는 것을 확인하였기에, 보안 제품의 진단 제외 항목에 해당 파일들을 등록하여 진단되지 않도록 설정하시면 됩니다.

해당 진단에 대해서는 한글과컴퓨터 업체 차원에서 각 보안 업체에 진단되는 부분에 대해 이해를 시킬 필요가 있을 것으로 보이지만, 제휴 프로그램을 너무 공격적으로 설치하도록 하는 부분은 앞으로 없었으면 합니다.
728x90
반응형
  • 음... 제가 보기에도 한글과 컴퓨터가 좀더 잘못한거 같아 보이는데... ^^

  • 어베스트 5버전 무료는 폴더 전체를 진단 제외해야하는데 고생들을 좀 하셨겠네요.

  • 엊그제 2010.03.23 15:01 댓글주소 수정/삭제 댓글쓰기

    avast무료사용잔데 위와 같은 이유로 한글뷰어2007설치하다 포기했어요.
    설치화면에서는 스폰서프로그램 설치항목은 못 본것 같은데요,
    나중에 보니 뷰어설치도 못했는데 스폰서프로그램은 깔렸더군요.
    방금전까지도 도대체 어디서 깔린건지 의문스러웠는데 이 글을 보니 이해가 됩니다.

    • 뷰어는 설치가 되지 않았는데 스폰서가 깔리면 악성코드입니다.

      avast가 설치된 상태라면 아마 설치 과정에서 진단으로 인해 차단되지만 스폰서는 어떤 이유로 설치가 되는게 아닌가 싶습니다.

  • 3735943886 2010.03.27 10:05 댓글주소 수정/삭제 댓글쓰기

    설명을 읽어보니 솔직히 뷰어2007이 Malware가 맞다는 생각이 드는군요.
    살짝 눈속임으로 원하지 않는걸 마구 설치해대니까..
    개인적으로 AVAST가 오진이라기보다는 잘 잡아줬다고 상주고싶네요

  • 안녕하세요ㅜㅜ 컴퓨터를 잘 모르는 사람입니다.ㅜㅜ

    포맷 후 한글과 컴퓨터 2007을 깔기 전에 알집 상태를 avast 무료 버전으로 바이러스 검사를 했는데

    이 블로그 글 처럼 win32 malware-gen 이 있다고 나오네요ㅜ그럼 깔면 안되는 건가요?
    한글을 사용해야 하는데 쓸 수 있는 방법이 없는 건지 여쭙고 싶습니다ㅜㅜ

    MS office 2007도 검사해보니 똑같은 상태로 나오는데ㅜㅜ 도와주세요ㅜㅜ

    • 2007 버전이 알집 상태라고 하시는걸 보니 포터블 버전이나 수정된 버전이 아닌가 싶습니다.

      정확하게 어떤 파일명에 대한 탐지인지 알 수 없어서 확답하기 어렵습니다.

      되도록이면 탐지되지 않는 파일을 다시 찾으시기 바라며, 한컴2007, 오피스 2007 버전을 사용하시는데 너무 오래된 버전입니다.

      좀 더 최신 버전을 이용하시기 바랍니다.

  • 답변 너무 감사합니다. 그럼 최신 버전은 avast에 win32 malware 걸리지 않고 설치가 되는 건가요?
    한글 2010 등 토렌트에서 있는 파일에 문제가 많다고 해서 또 겁이 나네요ㅜㅜ

    • 최신 버전 여부를 떠나서 토렌트를 통해 다운로드되는 파일은 신뢰하기 어려운 파일이 많으므로 되도록이면 정품이나 아니면 다운로드한 파일에 대해 악성코드 검사를 제대로 하시고 사용하시기 바랍니다.