본문 바로가기

벌새::Security

Kaspersky 오진 : Trojan.Win32.Rozena.hms (2010.11.22)

반응형
러시아 보안 제품 Kaspersky 진단 중 2010.11.22에 등록된 Trojan.Win32.Rozena.hms 진단명을 통해 오픈 소스(Open Source)로 제작된 Notepad++ 5.8.4 버전의 [C:\Program Files\Notepad++\notepad++.exe] 실행 파일을 오진하는 것을 확인하였습니다.

[notepad++.exe 파일 진단 정보]

● SHA1 : 43c6304628a0cbdf3ad369f6ab81cfd7ca676891

Ikarus : Trojan.Win32.Rozena
Kaspersky : Trojan.Win32.Rozena.hms

※ AVG Identity Protection : Win32.Rozena.hms

최초 해당 오진 문제를 발견하게 된 부분은 Kaspersky 제품을 통해서가 아니라 AVG Anti-Virus Free Edition 2011 버전에 새롭게 추가된 행동 기반 방식의 Identity Protection 진단을 통해서 입니다.

 

Notepad++ 프로그램을 실행하였는데 AVG Identity Protection 경고창을 통하여 notepad++.exe 파일에 대해 Win32.Rozena.hms 진단명으로 진단되는 것을 확인하고, 타 보안 제품의 진단 여부를 확인하던 중 해당 오진은 Kaspersky 제품의 오진에서 유발된 것임을 확인하였습니다.

 

AVG Anti-Virus Free Edition 2011 버전을 사용하시는 분들은 일단 Identity Protection 기능의 허용 목록에 해당 파일 경로를 등록하여 오진 문제가 해결될 때까지 임시로 문제를 해결하시기 바랍니다.

또한 Kaspersky 보안 제품 또는 네이버 백신(Naver Vaccine) 사용자들은 해당 파일을 진단 예외 처리를 하시고 이용하시기 바라며, 오진 문제가 해결된 후에는 예외 항목에서 삭제를 하시기 바랍니다.

728x90
반응형
  • 카퍼는 왠지 1년에 한번꼴로 대형사고에 가까운 오진을 일으키는 느낌이 들기도 합니다.^^

  • 저 프로그램은 잘 모르겠지만 내부 코드중에서 바이러스로 오진될만한 코드가 있을 수 도 있습니다.
    이런건 어떤 백신도 완벽하지 않다는걸 증명합니다.
    같은 코드라도, 같은 통신방식, 처리방식이라도 어떤 용도로 쓰이느냐에 따라서 바이러스인지 아닌지로 분류됩니다.
    이 경우는 패턴은 바이러스 패턴이나 실제 구동목적은 바이러스나 기타 시스템에 해가되는 것이 아니었다. 라는 것이 되겠죠.
    이런 경우는 해당 프로그램을 제보시 개발사 등에 문의하거나 HEX등으로 분석해 예외 처리 혹은 예외패턴추가로 처리하고 패치를 배포하는 것이 일반적인 백신 제조사의 대응책입니다.