울지않는벌새 : Security, Movie & Society

진단되지 않는 악성코드를 진단하는 바이러스토탈(VirusTotal) AhnLab-V3 진단 결과

벌새::Security
해외에서 서비스하는 다중 온라인 검사 도구 바이러스토탈(VirusTotal)을 이용할 경우 안철수연구소(AhnLab) V3 보안 제품 진단 중 주의할 점에 대해 살펴보도록 하겠습니다.

일반적으로 알려진 정보에 의하면 해당 서비스에서 제공되는 각 보안 제품의 엔진은 해당 서비스에 최적화된 형태로 제작되어 실제 사용자 컴퓨터에 설치된 보안 제품 진단과는 다소 차이가 발생할 수 있습니다.

그로 인하여 보안 제품에서 실제로 진단되는 샘플에 대해 바이러스토탈 검사에서는 진단되지 않는 경우가 대부분일 것으로 생각됩니다.

하지만 반대로 바이러스토탈 검사에서는 진단이 되지만 실제 보안 제품에서는 진단되지 않는 사례를 안철수연구소 V3 보안 제품에서 발견하였으므로 참고할 필요가 있을 것으로 보입니다.

MD5 : d63977968d1968a3a42cc2de2a3e028d


해당 샘플은 2010년 2월 8일에 바이러스토탈 검사에서 진단된 내용으로 안철수연구소 V3에서는 HTML/Shell 진단명으로 진단이 되는 PHP 스크립트 관련 악성코드입니다.

MD5 : d63977968d1968a3a42cc2de2a3e028d


다시 최근에 유포되는 것으로 확인된 동일한 MD5 값을 가지는 샘플에 대해 바이러스토탈에서 검사를 해보면 이전에 검사한 히스토리(History) 정보를 제공하면서 재검사시에도 V3 제품에서는 여전히 HTML/Shell 진단명으로 진단되는 것으로 표시되고 있습니다.


하지만 실제 사용자 컴퓨터에 설치된 V3 365 클리닉 제품을 통해 검사를 해보면 해당 파일에 대해서는 진단을 하지 못하는 현상을 확인할 수 있습니다.

앞서 언급한 것처럼 일반적으로 알려진 바이러스토탈 진단 결과와 실제 보안 제품 진단에서의 차이점은 바이러스토탈 진단이 부정확하다고 알려져 있으며, 안철수연구소의 과거 답변에서도 사용자 컴퓨터에 설치된 보안 제품의 진단 결과를 신뢰하라는 답변을 받은 것으로 기억하고 있습니다.

하지만 해당 문제의 파일을 직접 실행한 경우에도 진단되지 않는 샘플에 대해 바이러스토탈에서 진단하는 문제는 수정이 되어야 하지 않을까 생각됩니다.