울지않는벌새 : Security, Movie & Society

안랩(AhnLab) 스파이제로(SpyZero) 오진 - Win-Spyware/PWS.Egold.80608

벌새::Analysis

안녕하세요.

안철수 연구소에서 서비스하는 스파이제로 제품에서 오진하는 부분에 대해 살펴보겠습니다.

해당 오진은 개인적으로 이미 1달(?) 전에도 확인한 오진으로 기억하고 있습니다.

사용자 삽입 이미지

진단명 : Win-Spyware/PWS.Egold.80608 (2006.07.05.00  스파이제로 엔진)

자세한 내용 :
http://kr.ahnlab.com/info/smart2u/virus_detail_4654.html

해당 악성코드는 사용자의 컴퓨터에서 설치되어 각종 정보를 탈취하는 스파이웨어로 설명하고 있습니다.

먼저 스파이제로에서 진단하는 항목에 대한 글쓴이의 컴퓨터 상태입니다.

사용자 삽입 이미지

HKEY_LOCAL_MACHINE\SOFTWARE\Windows
 - HKEY_LOCAL_MACHINE\SOFTWARE\Windows\CurrentVersion
  - HKEY_LOCAL_MACHINE\SOFTWARE\Windows\CurrentVersion\Explorer
   - HKEY_LOCAL_MACHINE\SOFTWARE\Windows\CurrentVersion\Explorer\Browser Helper Objects

현재 컴퓨터에 등록된 레지스트리 항목은 실제 존재합니다. 단, 모든 하위 정보는 어떤 정보도 등록되어 있지 않은 상태입니다.

이제 안철수 연구소에서 해당 악성코드를 분석한 내용의 일부를 통해 비교해 보겠습니다.

해당 악성코드에 감염된 경우 등록되는 레지스트리 정보입니다.

HKCU\Software\Microsoft\Internet Explorer\Main\
"Enable Browser Extensions"="yes"

HKCU\SOFTWARE\Windows

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{78364D99-A640-4ddf-B91A-67EFF8373045}

위에서 보시는 것처럼 해당 악성코드에 감염된 경우 붉은색 clsid 값 {78364D99-A640-4ddf-B91A-67EFF8373045}이 등록되어 있어야 합니다.

또한 의심되는 부분은 안철수 연구소에서 치료값 입력시 실수를 하지 않았을까 생각됩니다.

이유는 분석글에서는 HKCU\SOFTWARE\Windows 항목을 지적하면서 실제 스파이제로에서는 HKEY_LOCAL_MACHINE\SOFTWARE\Windows 항목을 찾아서 존재하면 진단하는 것이 아닐까 추정됩니다.

실제 사용자 컴퓨터에는 현재 HKCU\SOFTWARE\Windows 레지스트리값 자체가 존재하지 않습니다.

사용자 삽입 이미지

이전부터 해당 진단명으로 오진을 하는 부분이 있었고 지금까지 계속적으로 오진을 하기에 안철수 연구소측에서 아직 파악하지 못한 것이 아닌가 생각됩니다.

참고로 해당 진단에 대해 PCFree 제품에서도 동일하게 오진을 하는 것으로 보입니다.