avast! 오진 : 한글과컴퓨터 오피스 뷰어 2007 - Win32:Malware-gen (2010.3.23)

최근 해외 보안 제품 avast! 사용자 중에서 한글과컴퓨터에서 제공하는 오피스 뷰어 2007(한글과컴퓨터 뷰어 2007) 프로그램을 설치한 환경에서 Win32:Malware-gen 진단명으로 진단되는 문제로 고생하는 분들이 있는 것을 확인하였습니다.

결론적으로 말하면 해당 진단명은 오진(False Positive)입니다. 하지만 해외 보안 업체의 진단 정책상의 문제일 수 있으며 충분히 진단할만한 여건을 한글과컴퓨터에서 제공한 측면도 없지 않다고 개인적으로 생각합니다.

테스트에서는 avast! 보안 제품을 설치하지 않은 상태로 확인을 하였기 때문에 한글과컴퓨터 뷰어 2007 프로그램을 설치하는 과정에서도 실시간 감시에서 진단되는지 확인이 불가능하지만 아마 설치 단계부터 진단할 것으로 추정됩니다.(보안 제품에 따라 실시간 감시에서 msi 확장자를 진단하지 않을 수 있습니다.)

[생성 파일 진단 정보]

%(사용자 계정)%\Local Setting\Temp\한글과컴퓨터 오피스 뷰어\Install\HVWK.msi (avast! : Win32:Malware-gen)
%SystemRoot%\Installer\(임의의 6~7자리 영문+숫자).msi (avast! : Win32:Malware-gen)

프로그램의 설치 방식은 제작사에서 제공하는 51MB 용량의 설치 파일을 통해 설치 관련 파일을 추출하여 임시 폴더에 파일을 생성하는 과정에서 HVWK.msi 파일(MD5 : 8c6e6414c5a12347052b4ef8772670e5)에 대해 진단을 하기 시작합니다.

HVWK.msi / (임의의 6~7자리 영문+숫자).msi

이렇게 하여 설치 단계로 진입하여 프로그램 설치가 완료되면 Windows 폴더 내에 특정 파일에 대해 동일한 진단명으로 추가적인 진단을 하는 것을 확인할 수 있습니다.

그렇다면 왜 avast! 보안 제품을 비롯한 일부 제품에서 진단을 하는지 확인해 보도록 하겠습니다.
 
진단되는 msi 파일(Windows Installer 패키지) 내부의 압축을 해제해보면 Binary.Daum_Module 파일이 존재하며 실제 보안 제품에서 진단하는 이유는 저 파일로 인한 문제입니다.

Binary.Daum_Module

참고로 해당 Binary.Daum_Module 파일에 대해서는 msi 설치 파일에 비해 더 많은 보안 제품에서 진단을 하고 있는 것을 확인할 수 있습니다.

한글과컴퓨터 뷰어 2007 프로그램을 설치하는 과정을 살펴보면 초기 이용약관 동의 과정에서 기본값으로 [Daum 바로가기 패키지를 설치합니다.] 항목에 체크된 상태로 제공되고 있으며, 해당 기능은 그림과 같은 각종 시작 페이지, 바로가기 아이콘, 검색 공급자를 변경하는 값을 포함하고 있습니다.

이용약관 동의 항목에는 체크되지 않은 상태에서 제휴(스폰서) 프로그램에 대해서는 기본값으로 체크를 하고 있다는 부분은 국내 소프트웨어 배포자들이 반성할 부분이라고 생각합니다.

이렇게 한글과컴퓨터 뷰어 2007 프로그램의 설치가 완료된 시점에서 또 다시 [Daum을 내 홈페이지로 설정합니다.] 항목과 [Daum PC 클리너를 설치합니다.] 항목을 통하여 추가적인 제휴(스폰서) 프로그램이 포함되어 있는 것을 확인할 수 있습니다.

실제 한글과컴퓨터 뷰어 2007 프로그램의 설치 파일을 실행하였을 경우 추출 파일 중에서는 [%(사용자 계정)%\Local Setting\Temp\한글과컴퓨터 오피스 뷰어\Install\DaumCleanerHaansoft.exe] 파일을 생성하는데, 이런 제휴 프로그램으로 인하여 해외 보안 제품의 정책적인 진단 패턴에 따라 다수의 보안 제품에서 Trojan.Downloader 방식으로 오해를 하는 것으로 보입니다.

이런 진단에 대한 개인 사용자가 오진 수정 요청을 하기에는 해당 프로그램의 초기 설치 파일 용량이 50MB 이상이라서 신고가 어렵고, 진단되는 msi 파일만을 신고하여서는 전체적인 프로그램 성격을 이해시키기가 쉽지 않을 것으로 보입니다.

특히 avast! 제품 사용자 중에서 해당 진단을 악성코드 진단으로 오해를 하시고 치료를 시도할 경우 치료에 실패(msi 파일 내부의 Binary.Daum_Module 파일만 처리하지 못하는 문제로 추정됩니다.)하는 것을 확인하였기에, 보안 제품의 진단 제외 항목에 해당 파일들을 등록하여 진단되지 않도록 설정하시면 됩니다.

해당 진단에 대해서는 한글과컴퓨터 업체 차원에서 각 보안 업체에 진단되는 부분에 대해 이해를 시킬 필요가 있을 것으로 보이지만, 제휴 프로그램을 너무 공격적으로 설치하도록 하는 부분은 앞으로 없었으면 합니다.