본문 바로가기

벌새::Security

마이크로소프트(Microsoft) 제작 파일을 진단하는 오진 : PSAPI.DLL

국내 모 보안 제품으로 위장한 악성코드를 추적하던 중 마이크로소프트(Microsoft)사에서 제작한 PSAPI.DLL 파일을 백도어(BackDoor)로 진단하는 부분을 확인하여 정보를 공개하겠습니다.

흥미로운 사실은 해당 파일이 국내 모 보안 업체에서 제공하는 ActiveX 설치시에 cab 압축 파일 형태로 사용이 되고 있으며, cab 압축 파일은 2007년 7월 20일에 제작된 ActiveX로 추정되므로 오진으로 보입니다.

MD5 : a07900597202c61b2c7260427daff1d0

cab 압축 파일 내부에 존재하는 PSAPI.DLL 파일은 마이크로소프트사에서 제작한 Process Status Helper 관련 파일입니다.

VirusTotal : 10/41

그런데 해당 파일에 대해 AVG 보안 제품에서는 BackDoor.SmallX.ACR 진단명으로 진단을 하고 있으며, McAfee 보안 제품에서도 BackDoor-AWQ.b 진단명으로 진단을 하는 특이한 오진을 발견할 수 있습니다.

단순히 진단명을 통해 유추해보면 특정 악성 프로그램이 동작하는 과정에서 PSAPI.DLL 파일을 이용하였고, 이 부분에 대해 보안 제품에서 진단하는 과정에서 포함된 것이 아닌가 추정됩니다.

현재 국내에서 AVG 제품과 McAfee 제품을 기업 또는 개인이 사용하는 이용자가 있다는 점에서 국내 보안 업체가 해당 파일을 체크하여 변경을 하거나 아니면 해당 파일에 대해 진단 업체에 수정을 요청하는 것이 옳바르지 않나 생각됩니다.(오해를 방지하기 위해서라도... )

PS) 그런데 해당 보안 업체가 예전에 외부 공격으로 업체 프로그램이 변조되어 악성코드를 유포한 적이 있는데, 설마 이번에도 그런건 아니겠죠?

 Update : 2010.5.24

해당 파일의 진단 이유는 현재 두 가지로 확인이 되고 있습니다.

첫 번째, 해당 PSAPI.DLL 파일은 과거 PECompact 실행 압축으로 제작되었고, 이로 인하여 보안 제품 일부가 실행 압축에 대해 진단하였을 가능성이 있다는 점입니다.

다른 이유는 오늘 해당 파일을 BackDoor.SmallX.ACR 진단명으로 진단하는 해외 보안 업체 AVG에 문의한 결과 해당 파일은 원본 PSAPI.DLL 파일이 아닌 수정된 파일이며 업체에서의 진단은 정확하다는 답변을 받았습니다.

PSAPI.DLL(버전 5.0.2134.1) 원본 파일을 제가 확보에 실패를 하여 비교를 하지 못하였지만, 해당 파일은 어떤 이유로 수정된 비정상적인 파일은 분명한 것으로 보입니다.

결론적으로 해당 파일에 대해 국내 보안 업체에서는 오진으로 보고 있기에 사용자에게 실질적인 피해는 주지 않을 것으로 보입니다. 하지만 깨끗한 파일은 아니라는 점은 분명해 보입니다.