울지않는벌새 : Security, Movie & Society

안랩(AhnLab) 스파이제로(SpyZero) 오진 - Win-Adware/Tuotu.5128192

벌새::Analysis

안녕하세요.

안철수연구소의 스파이웨어 전문 보안제품 스파이제로에서 오진하는 부분이 있는 것으로 보입니다.

사용자 삽입 이미지

AhnLab SpyZero : Win-Adware/Tuotu.5128192

자세한 정보 :
http://kr.ahnlab.com/info/smart2u/virus_detail_16554.html

안철수연구소에서 제공하는 해당 애드웨어 분석 정보를 보면 HKEY_CLASSES_ROOT\.torrent 레지스트리 키값에 대한 진단을 포함하고 있습니다.

사용자 삽입 이미지

해당 분석에서는 Tuotu 라는 torrent 관련 공유 프로그램이 설치된 환경에서 진단하는 것으로 보입니다.

하지만 현재 글쓴이의 컴퓨터에서는 해당 프로그램이 존재하지 않습니다.

그럼, 왜 해당 레지스트리가 컴퓨터에 등록되어 있는 것인가?

사용자 삽입 이미지

이유는 비슷한 계열의 공유 프로그램 BitSpirit 프로그램이 설치되어 있기 때문입니다. 해당 프로그램 역시 torrent 파일을 소스 파일로 여러 공유 파일을 전송/수신하는 원리입니다.

실제 안철수연구소에서 언급한 해당 악성코드에 감염된 경우 설치된다는 %WINDOWS%\emule.INI 파일이 없으며, 나머지 레지스트리 정보도 없기에 해당 진단의 일부는 수정이 되어야 될 것으로 보입니다.

늘어가는 악성코드 속에서 어느 보안제품이나 겪는 오진은 사용자와 보안 업체에 많은 고통을 주는 것 같습니다.