본문 바로가기

벌새::Security

McAfee AVERT Stinger 제거 도구의 AhnLab V3 제품 진단 문제

세계적인 미국 보안 업체 McAfee에서 무료로 제공하는 특정 악성코드 제거 도구 McAfee AVERT Stinger 프로그램을 이용하여 사용자 시스템을 검사할 경우 안철수연구소(AhnLab) V3 보안 제품이 설치된 환경에서 일부 파일을 오진하는 문제가 있습니다.


참고로 McAfee AVERT Stinger 프로그램은 마이크로소프트(Microsoft)사에서 제공하는 악성 소프트웨어 제거 도구(MRT)와 유사한 개념의 프로그램으로 이해를 하시면 됩니다.


McAfee AVERT Stinger 10.1.0.1056 버전에서는 그림과 같이 1,954종의 특정 악성코드만을 진단 및 치료할 수 있는 제한적인 전용 백신입니다.

테스트에서는 2010년 9월 24일 배포한 McAfee AVERT Stinger 10.1.0.1056 버전을 이용하여 AhnLab V3 Lite 제품 설치 폴더만을 검사하여 확인해 보도록 하겠습니다.

[McAfee AVERT Stinger 진단 정보 : C:\Program Files\AhnLab 폴더 내부]

C:\Program Files\AhnLab\V3Lite\MUpdate2\Update\ars\v3re0907.exe
 - McAfee : Artemis!9BF86FA46F4B

C:\Program Files\AhnLab\V3Lite\MUpdate2\Update\win\e\b\b_bts_nt\btscan.ex-\btscan.ex-.out
 - McAfee : Artemis!CEF2C45FE893

V3 Lite 제품이 설치된 C:\Program Files\AhnLab 폴더 내에서 2개의 파일에 대해 Artemis 엔진을 이용하여 트로이목마(Trojan)로 진단하는 것을 확인할 수 있습니다.

McAfee 제품의 Artemis 엔진은 안철수연구소에서 서비스하는 Smart Defense와 유사한 개념의 진단 방식으로 이해를 하실 수 있습니다.

개인적인 기억으로 해당 진단은 일시적인 문제가 아니라 이전부터 꾸준히 오진을 하고 있던 것이 아닌가 생각되며, 실제 McAfee AVERT Stinger 제품을 통해 진단된 해당 항목을 프로그램 기본값인 자동 치료 기능을 통해 진행될 경우 V3 보안 제품의 자체 보호 기능으로 인해 치료에 실패할 것으로 보입니다.


McAfee AVERT Stinger 제품을 이용하여 사용자 컴퓨터를 검사하실 분들은 환경 설정(Preferences)의 바이러스 진단시(On virus detection) 항목에서 기본값으로 설정되어 있는 자동 치료(Repair) 설정값을 보고서(Report only)로 변경하시고 이용하시기 바랍니다.

민감하게 진단하는 문제로 인하여 정상적인 프로그램(파일)을 악성코드로 오진하는 문제가 발생할 수 있으므로 검사를 통해 진단된 항목을 추가적으로 바이러스토탈(VirusTotal) 서비스 또는 국내 보안 업체에 추가적으로 문의를 하시고 치료를 하시는 것이 안전할 것으로 판단됩니다.