본문 바로가기

벌새::Security

avast! 오진 : sfloppy.sys 시스템 드라이버 파일 (2011.12.6)

반응형
해외 무료 백신으로 유명한 avast! 보안 제품에서 Windows XP SP3 운영 체제에 존재하는 SCSI Floppy Driver 시스템 파일인 sfloppy.sys 파일을 Rootkit: system modification 진단명으로 오진하는 사고가 발생 중인 것을 확인하였습니다.

■ 진단명 : Rootkit: system modification
■ avast! 바이러스 패턴 : 111206-1
■ 진단 파일 : C:\WINDOWS\system32\drivers\sfloppy.sys
■ 진단 파일 MD5 : 8e6b8c671615d126fdc553d1e2de5562
■ 특이 사항 : Windows XP SP3 운영 체제, 단 Windows 7 운영 체제에서는 진단하지 않습니다.

해당 오진으로 인하여 실시간 감시를 통해 루트킷 발견 메시지 창이 생성되며, 처리 방식으로 "지금 삭제(추천)"으로 표시되므로 반드시 "무시" 항목으로 변경을 하시고 확인 버튼을 클릭하시기 바랍니다.

만약 sfloppy.sys 파일을 삭제 처리한 경우 "다음 재부팅까지 처리 연기" 처리가 이루어지며, 이로 인하여 시스템 부팅에 문제가 발생하거나 블루스크린(BSoD)이 발생하여 시스템이 불안정해 질 수 있는 것으로 보입니다.

또한 수동 검사를 통한 진단을 통해 그림과 같은 진단창을 보실 수 있으며, 기본값으로 "삭제" 처리를 하도록 안내되고 있습니다.

그러므로 반드시 처리 항목에서 "처리 안 함"으로 설정을 변경하시고 "닫기" 버튼을 클릭하시기 바랍니다.

특히 진단된 파일에 대해 처리를 하지 않고 무시를 할 경우 그림과 같은 부팅 검사 여부를 묻는 창이 생성되므로 "아니오" 버튼을 클릭하시기 바랍니다.

임시적인 문제 해결을 위해서는 환경 설정에서 제공하는 [예외] 항목에 "C:\WINDOWS\system32\drivers\sfloppy.sys" 파일을 추가하여 해당 오진 문제가 해결될 때까지 실시간 감시와 수동 검사로부터 진단되는 문제를 해결할 수 있습니다.

차후 avast! 패턴 업데이트를 통해 해당 파일에 대한 오진 문제가 해결된 경우에는 반드시 예외 처리한 파일을 삭제하시고 이용하시기 바랍니다.

 Update : 삭제, 안전 지대 이동, 치료를 시도한 경우 (2011.12.7)

avast! 오진으로 인하여 사용자가 제품에서 지정한 처리 방식대로 삭제 및 치료를 시도한 경우에는 부팅 검사를 통해 처리를 하도록 연결이 됩니다.

하지만 부팅 검사에서는 sfloppy.sys 파일에 대한 진단을 하지 않는 것으로 확인이 되므로 안심하시기 바랍니다.

그 외 안전 지대 이동을 선택한 경우, "오류 : 지원되지 않는 요청입니다."를 통해 파일을 그대로 유지합니다.

만약 사용자가 수동으로 해당 파일을 임의 삭제 처리를 한 경우, 시스템 재부팅 후에는 자동으로 sfloppy.sys 파일이 복원되는 것으로 확인되고 있습니다.

결론적으로 해당 오진 사고는 실제 실시간 감시 및 수동 검사시 진단은 반복적으로 이루어지지만 파일 삭제 등의 피해는 없을 것으로 보이므로, 오진 문제가 해결될 때까지 진단을 무시하시기 바랍니다.

 Update : 오진 문제 해결 (2011.12.7)

해당 오진 문제는 111206-2 바이러스 패턴 업데이트를 통해 문제가 해결되었으므로 최신 DB 업데이트를 확인하시기 바랍니다.

또한 진단 예외 처리를 하신 분들은 반드시 예외 파일을 삭제 처리하시고 avast! 보안 제품을 이용하시기 바랍니다.

728x90
반응형
  • 지금 이 문제가 떠서 골치 아팠는데 감사합니다.

    • 개인적인 테스트에서는 실제 진단은 하지만 삭제나 안전지대 이동도 안되는 것 같습니다.

      하지만 일부 사용자분이 블루 스크린이 나타난다고도 하는군요.

  • 나한테 아직 그런 일이 없는 걸로 봐서 플로피 드라이브가 설치 안되어 있나 보군요...
    하여튼 좋은 정보 감사합니다......^^

  • 지나가다.. 2011.12.07 00:50 댓글주소 수정/삭제 댓글쓰기

    아...정말 감사합니다..저도 갑자기떠서 이게 뭔지했는데...ㅠㅠ 지워도 저는 괜찮더군요..근데 새로 생성되더라구요....하여간 예외처리 하긴했는데 그래도 뜨긴하네요..

    • 해당 진단이 정식 진단명이 아니라 휴리스틱 의심 파일로 보입니다.

      그래서 제외 처리를 하여도 실시간 감시와 수동 검사에서 계속 진단 처리가 될 수 있습니다.

      테스트에서는 해당 파일에 대해 치료, 안전지대 이동, 삭제를 시도한 경우에도 처리를 못하고 단순히 진단만 하는 수준으로 보입니다.

  • 지인으로부터 이메일을 받았는데 이 파일이었습니다. 그 분께 avast 진단 제외 설정을 가르쳐 드리고 오는 길입니다. ㅎㅎ

  • 지나가다.. 2011.12.07 01:04 댓글주소 수정/삭제 댓글쓰기

    제가 시스템은 잘몰라서요...하여간 즉각삭제하라길래 시스템파일에 있는걸 강제삭제했는데 다시 생성되더라구요...강제삭제프로그램으로도 지워지지않는 파일같은데 정확히는 모르겟네요..하여간 벌새님때문에 안심은 되서 다행이네요..^^ 유익한 정보 한번더 감사드립니다..

    • 네~ 저 역시 테스트에서는 파일 삭제 후 재부팅하면 다시 복원이 이루어지는 것을 확인하였습니다.

      특별한 환경이 아닌 경우라면 진단만 있을 뿐 실제 피해는 없을 것으로 보입니다.^^

  • 비밀댓글입니다

  • 나그네 2011.12.07 09:10 댓글주소 수정/삭제 댓글쓰기

    어제 이 파일을 직접 경로 찾아들어가서 삭제 했는데요. 회사 PC에서 이 파일 복사해서 붙여넣으면 될까요?ㅠㅠ

    • 파일을 강제 삭제하여도 재부팅을 하면 자동으로 복원이 이루어지므로 사용자가 수동으로 추가할 필요는 없을 것으로 보입니다.

      PC 켜시고 해당 폴더의 파일을 재확인해 보시기 바랍니다.

  • root 2011.12.07 15:36 댓글주소 수정/삭제 댓글쓰기

    역시 오진이였군요.
    좋은 정보 감사합니다.

  • 제작사측에서는 이번 오진에 대해 그냥 조용히 넘어가네요~
    빠르게 해결되긴했습니다만 고생한 사용자들에게 공지라도 해줘야할텐데,,, 뭔가 씁쓸합니다.
    유료 사용자들은 실망할텐데 말이죠..