울지않는벌새 : Security, Movie & Society

안철수연구소(AhnLab) V3 Lite 1.2.0 Beta 3 : 버그(Bug) & 문제점 (2010.10.18)

벌새::Software
안철수연구소(AhnLab)에서 제공하는 무료 백신 V3 Lite 1.2 Beta 테스트가 당초 계획인 8월 25일에 종료될 예정이었으나, 일정이 연장되어 9월 30일까지 추가적인 테스트가 이루어지고 있습니다.

현재 공개된 V3 Lite 1.2.0 Beta 3 버전에서 발견된 버그(Bug), 문제점에 대해 계속적으로 내용을 업데이트 하도록 하겠습니다.

참고로 1차 테스트 기간 중에 발견된 문제는 링크를 참고하시기 바랍니다.

1. 특정 진단 파일을 실시간 검사에서 치료하지 못하는 문제 (2010.8.27)


실시간 검사 진단 화면

특정 악성코드(MD5 : fc8740386ebc97afc10d6534f60d0400) 파일을 실시간 검사에서 Trojan/Win32.Bho 진단명으로 진단 및 치료 가능인 상태에서 사용자가 치료를 시도해 보겠습니다.

치료 완료 후

해당 진단에 대해 치료를 시도할 경우 그림과 같이 상태 항목에 치료와 관련된 정보가 표시되지 않고 있으며, 진단 파일은 삭제 처리가 이루어지지 않는 것을 확인할 수 있습니다.

만약 해당 파일을 실시간 검사 방식이 아닌 수동 검사를 통해 진단을 하여 치료를 시도할 경우에는 정상적으로 삭제 처리가 되는 것을 확인할 수 있으므로, 이는 실시간 검사 기능의 문제로 추정됩니다.

2. 검역소의 바이러스 항목에 스파이웨어가 포함되는 문제 (2010.8.27)

검역소에 보관되는 항목은 바이러스와 스파이웨어를 분류하여 구성되어 있으나, Win-Spyware/Agent.10776 진단명과 같이 스파이웨어 항목에 보관되어야 할 부분이 바이러스 항목에 보관되는 문제가 있습니다.

3. Smart Defense 의심 파일 전송 기능 불능 문제 (2010.9.12)

AhnLab V3 Lite 버전에서만 제공되는 Smart Defense 의심 파일 수집 및 전송 기능 중 정상적으로 의심 파일 수집은 가능하지만 전송은 2010년 9월 9일 이후로 전혀 이루어지지 않고 있는 현상을 확인하였습니다.

실제로 현재 시간을 기준으로 의심 파일 수집은 그림과 같이 정상적으로 이루어지고 있지만, 보내기 버튼을 클릭할 경우 서버로 전송되는 트래픽도 확인되지 않으며 로그(Log) 기록에서도 발견되지 않고 있습니다.

또한 시스템 재부팅 후에는 이전에 수집된 파일을 반복적으로 수집하여 전송 여부를 묻는 창이 생성되는 문제도 발생하고 있습니다.


최근에 AhnLab V3 Lite Beta 4 (Build 274) 버전이 공개되면서 기존 베타 버전을 삭제하고 재설치를 하였습니다.

해당 버전에서 발견된 버그(Bug)와 문제점에 대해 살펴보도록 하겠습니다.

1. 실시간 검사를 통해 진단된 항목에 대해 치료를 하지 않을 경우 explorer.exe 관련 오류 발생 (2010.9.21)

예를 들어 sh.pdf 파일(MD5 : 5676a695a72ef03bf4bbbb33d588a877)에 대하여 실시간 검사에서 HTML/C99shell 진단명으로 진단될 경우, 사용자가 치료하기 버튼을 이용하여 치료를 하지 않고 닫기 버튼을 클릭할 경우 1차적으로 해당 실시간 검사창이 닫힙니다.

하지만 해당 악성 파일을 사용자가 계속적으로 액세스(Access)를 하고 있을 경우 반복적으로 실시간 검사창이 생성되고 이에 대해 사용자가 반복적으로 닫기 버튼을 클릭할 경우 다음과 같은 오류창이 생성되는 것을 확인할 수 있습니다.

explorer.exe 프로세스(윈도우 탐색기) 오류로 인하여 사용자는 작업 관리자에서 해당 프로세스를 수동으로 종료한 후, 다시 explorer.exe 프로세스를 재실행해야지 정상적으로 컴퓨터를 이용하실 수 있습니다.

2. 업데이트시 V3 자체 보호 알림창 생성과 실시간 검사 비활성화 문제 (2010.10.18)

2010.10.17.00 업데이트가 이루어지는 시점부터 발생한 것으로 추정되는 V3 자체 보호 알림창 생성 문제와 이로 인한 업데이트 완료 후 실시간 검사 비활성화 문제를 확인하였습니다.

참고로 해당 문제는 2010.10.17.01 업데이트시에는 발생하지 않은 것으로 기억되며, 2010.10.18.00 업데이트에서는 재발생하였습니다.

V3 업데이트가 진행되는 과정에서 그림과 같이 특정 프로그램이 V3 Lite에 접근을 하려는 동작이 발생하여 V3 자체 보호 기능을 통해 알림창이 생성되는 것을 확인할 수 있습니다.

자체 보호 상세 정보를 살펴보면 svchost.exe 프로세스와 [C:\Program Files\AhnLab\V3Lite\V3LSvc.exe] 파일이 관련되어 있음을 확인할 수 있습니다.

V3LSvc.exe 파일은 V3 Lite Service 서비스 항목으로 등록된 V3 365 Clinic Service Application 파일로 실시간 검사, 업데이트 등의 기능을 담당하고 있는 것을 확인할 수 있습니다.

이런 문제로 인하여 업데이트 완료 후 V3 실시간 검사가 비활성화되는 현상과 함께 사용자가 활성화를 시도할 경우 정상적으로 활성화가 이루어지지 않는 문제가 발생합니다.

이런 경우 시스템 재부팅 또는 V3 보안 제품을 완전히 종료 후 재실행할 경우에 자동으로 활성화되므로 참고하시기 바랍니다.

※ 해당 내용은 버그 또는 문제점이 발견될 때마다 계속적으로 업데이트 됩니다.