본문 바로가기

벌새::Software

안철수연구소(AhnLab) V3 Lite 1.2 Beta : 버그(Bug) & 문제점 (2010.8.16)

반응형
안철수연구소(AhnLab) 무료 백신 V3 Lite 1.2 Beta 버전에 대한 오픈 베타 테스트가 2010년 8월 4일부터 8월 25일까지 진행되고 있습니다.

베타(Beta) 버전을 설치하여 해당 기간동안 이용하면서 발견되는 버그(Bug), 문제점에 대해 해당 게시글에 통합적으로 기록하도록 하겠습니다.

1. 검사 파일명 깨지는 현상 (2010.8.4)



정밀 검사를 진행하던 중 파일 검사 과정에서 일부 검사 파일 이름이 ㅁㅁㅁㅁㅁ 형태로 깨진 모양을 제시하는 부분을 발견하였습니다.

2. 정밀 검사시 저사양 컴퓨터의 타 작업 문제 (2010.8.4)


기존 버전에서도 제공되던 기능인지 확인할 수 없지만 이번 버전에서는 파일 검사시 멀티 스레드(Multi Thread) 검사와 관련된 정보를 확인할 수 있습니다. 즉, 해당 기능을 통해 검사 속도 향상을 가져올 것으로 추정됩니다.


프로세스 정보를 확인해보면 정밀 검사시 AhnAzExE.exe 프로세스가 다수 생성되어 동시에 검사를 진행하는 것을 확인할 수 있습니다.

하지만 저사양 컴퓨터에서는 해당 검사로 인하여 기존 버전에 비해 CPU 사용량이 100% 가까이 치솟아 검사 중에는 다른 작업을 하는 것이 매우 어렵게 된 것으로 보입니다.

3. 싱글 코어에서의 멀티 스레드 검사 문제 (2010.8.5)



파일 검사시 동작하는 멀티 스레드 검사의 경우 그림과 같이 1, 2, 4번은 모든 검사가 종료된 상태이며 3번은 C:\WINDOWS\Driver Cache\i386\driver.cab (73.5MB) 압축 파일을 검사를 진행하고 있는 상태입니다.

즉, 특정 대용량 압축 파일을 하나의 스레드가 검사하는 과정에서 저사양 컴퓨터로 인하여 다른 파일 검사는 모두 종료가 되어도 해당 압축 파일 검사는 여전히 진행되는 불균형적인 검사가 이루어질 수 있는게 아닌가 생각됩니다.

이 경우 종료된 다른 스레드가 해당 압축 파일 검사에는 참여하지 못하는 기술적 문제로 인해 언제 종료될지 모르는 검사는 계속 진행되는 현상을 발견하였습니다.

4. 업데이트 엔진 버전 표기 불일치 문제 (2010.8.11)



야간이 이루어지는 정기 업데이트를 통해 실제 적용된 엔진 버전은 2010.08.11.00 버전으로 표기가 되지만, 시스템 트레이 상에 존재하는 아이콘에서 표기하는 엔진 버전은 2010.08.10.06 버전으로 표기가 유지되는 문제점을 발견하였습니다.

해당 현상은 매일 발견되는 문제는 아니고 컴퓨터를 장시간 사용하면서 실시간 감시를 몇 차례 ON/OFF를 하던 시스템에서 발생하는 특정 환경에서 발견될 수 있으리라 추정됩니다.

5. 업데이트 이후 실시간 감시 비활성화 문제 (2010.8.11)


오늘 오전 2010.08.11.00 엔진에서 자동 업데이트를 통해 2010.08.11.01 버전으로 업데이트가 이루어지는 과정에서 실시간 감시가 자동으로 비활성화된 후 업데이트 이후에도 활성화되지 않는 문제를 확인하였습니다.

기존에도 업데이트 과정에서 실시간 감시가 비활성화되는 업데이트가 있지만 업데이트 완료 후에는 정상적으로 재활성화가 되었기에 이번 문제는 제품의 버그(Bug)가 아닐까 생각됩니다.

특히 해당 문제가 확인된 후 사용자가 실시간 감시를 수동으로 활성화를 시도할 경우 일시적으로 활성화가 이루어지는 듯하지만 다시 OFF 상태를 유지하는 동작을 확인하였으며, 시스템 재부팅 이후에 정상적으로 실시간 감시가 동작하였습니다.

6. V3 Lite 1.2.0.2 설치시 무한 재부팅 현상 (2010.8.11)

출처 : http://cafe.naver.com/malzero/59983 (Master님)

안철수연구소에서 기존의 V3 Lite 1.1.7.6 (Build 257) 버전에서 발견된 각종 문제를 수정한 새로운 설치판 V3 Lite 1.2.0.2 (Build 263) 버전을 공개하였습니다.

하지만 기존 버전을 삭제 후 설치를 하였을 경우 실시간 감시가 설치 초기 활성화되지 않는 현상과 함께 사용자가 수동으로 활성화할 경우 자동 재부팅 현상이 발생합니다.

재부팅시 Windows 진입을 하지 못하고 무한 재부팅 현상으로 컴퓨터 사용을 할 수 없게 만드는 문제를 확인하였습니다.

해당 문제가 발생하는 환경에서는 안전모드로 진입하여 설치된 V3 Lite를 제어판에서 삭제를 하신 후, 기존의 V3 Lite 1.1.7.6 (Build 257) 버전 설치 파일을 이용하여 재설치를 하시기 바랍니다.

7. Induc 바이러스 치료 문제 (2010.8.12)


안철수연구소(AhnLab) 보안 제품에서는 Induc 바이러스 치료 방식을 사용자가 프로그램이 제공하는 삭제 기능을 이용하여 수동 제거를 기본적으로 하도록 설정되어 있습니다.

테스트에서는 Induc 바이러스에 감염된 특정 소프트웨어 설치 파일을 다운로드하는 과정에서 실시간 감시를 통한 진단과 수동 검사를 통한 진단에서 해당 파일을 치료하는 부분에 대해 사용자들에게 오해를 유발할 수 있는 부분을 살펴보도록 하겠습니다.

참고로 해당 파일에 대하여 Win32/Induc 또는 Virus/Win32.Induc 진단명으로 표기가 되므로 참고하시기 바랍니다.


실시간 감시에서는 해당 설치 파일에 대하여 진단과 함께 [치료 가능]으로 다른 악성코드 진단 상태와 동일하게 표시를 하고 있습니다.

하지만 실제 치료를 시도할 경우 정상적으로 [치료 완료]가 표시되지만 진단된 파일에 대한 삭제 또는 파일 수정이 전혀 이루어지지 않는 상태로 존재하게 됩니다.


수동 검사에서는 진단 파일에 대하여 [수동 제거(프로그램 제작사에서 제공하는 삭제 프로그램으로 이 프로그램을 제거하십시오.)]로 표기를 하고 있습니다.


하지만 동일하게 치료 버튼을 통해 치료를 시도할 경우 치료가 완료되었다는 표기를 통해 사용자는 파일이 삭제되거나 수정이 이루어진 것으로 오해를 할 수 있습니다.

이런 잘못된 치료 완료 표시로 인하여 여전히 사용자 컴퓨터에 존재하는 Induc 바이러스 감염 설치 파일 또는 프로그램 구동 파일을 반복적으로 진단만 하게되고 치료를 하지 못하는 것으로 오해할 소지가 있으므로 안내 메시지를 제대로 수정해야 할 것으로 보입니다.

8. 진단명이 보이지 않는 실시간 검사 진단창 + 수동 검사와 결과가 다른 문제 (2010.8.16)


특정 악성코드 파일을 다운로드시 실시간 검사 진단창을 통해 진단되는 경우 그림과 같이 진단명이 공백으로 처리되는 문제를 발견하였습니다.

참고로 해당 악성코드는 바이러스토탈(VirusTotal)에서는 Dropper/Win32.Malware 진단명으로 진단을 하고 있는 것을 확인할 수 있었습니다.


동일한 파일을 수동 검사를 통해 확인을 해보면 Dropper/Malware.97280.HJ 진단명으로 진단하며, 실시간 검사의 치료 예정이 아닌 치료 가능으로 표시되는 부분을 함께 확인할 수 있습니다.

이는 동일한 파일에 대하여 실시간 검사와 수동 검사시 서로 다른 결과를 제시하는 문제를 확인할 수 있었습니다.

※ 해당 내용은 버그 또는 문제점이 발견될 때마다 계속적으로 업데이트 됩니다.

728x90
반응형