본문 바로가기

벌새::Security

avast! 오진 : 넷마블(NetMarble) ActiveX 스크립트 - HTML:Object-inf (2012.1.9)

국내 온라인 게임 넷마블(NetMarble)에서 제공하는 Netmarble Auto Updater, 키보드보안 K-Defense R6 Manager 관련 ActiveX 설치를 시도할 경우 avast! 보안 제품에서 URL 차단(URL:Mal) 및 HTML:Object-inf 진단명으로 오진하는 것을 확인하였습니다.

최초 사용자가 넷마블 웹 사이트에 접속을 시도할 경우 ActiveX 설치를 통해 배포되는 "Netmarble Auto Updater" 설치창이 생성될 경우, avast! 보안 제품에서는 해당 ActiveX 컨트롤러를 통해 다운로드되는 개체에 대하여 "악의적인 URL 차단" 메시지를 생성하는 것을 확인할 수 있습니다.
  • h**p://download.netmarble.net/ActiveX/NMAutoUpdateX/NMAutoUpdateX_1.0.1.1_20091109.cab

하지만 해당 파일을 다운로드하여 avast! 보안 제품을 통한 검사 및 압축 파일 내부를 살펴보아도 변조 또는 진단되는 부분이 없는 것을 확인할 수 있습니다.

다시 추가적인 조사를 해보면 넷마블 로그인 창에 포함되어 있는 "키보드 보안" 박스에 체크를 시도할 경우 생성되는 "키보드보안 K-Defense R6 Manager" ActiveX 설치창을 생성하기 위한 부분에서 진단을 확인할 수 있었습니다.
  • h**p://login.netmarble.net/js/kdfense_object_checkbox.js?20101201 (MD5 : ec2c87c9dd0d817568d072b8104d1f3d)

해당 kdfense_object_checkbox.js 스크립트 파일에 대하여 avast! 보안 제품(DB : 120108-1)에서는 HTML:Object-inf (VirusTotal : 2/43) 진단명으로 진단이 이루어지는 과정에서 넷마블을 통해 설치되려는 다른 ActiveX까지 악성 URL로 등록이 이루어진 것이 아닌가 의심이 됩니다.

현재 실제적인 공격에 의한 변조에 따른 진단이 아니며 avast! 보안 제품에서만 발생하는 오진으로 확인되고 있으므로, 차후 업데이트를 통해 문제가 해결될 것으로 생각됩니다.(※ 임시적인 예외 처리는 파일 예외 처리와 네트워크 감시 관련 실시간 감시 자체를 OFF 해야 하는 관계로 게시하지 않습니다.)

  • 꼼수면 2012.01.09 14:13 댓글주소 수정/삭제 댓글쓰기

    정보 감사합니다.
    제 기준으로는 한국 기업(온라인 게임사), 관공서, 은행 등에서 제공하는 모든 ActiveX 설치 플러그인을 악성코드로 보고 있기 때문에 이런 오진은 환영이에요.
    오작동, 충돌, 알 수 없는 에러 로그 파일 등 그동안 겪은 것만 생각해도 이건 웬수임.

  • 정말 ㅠ.ㅠ 2012.02.09 14:22 댓글주소 수정/삭제 댓글쓰기

    안떳는데 설치하고나서 이런게 떠서 깜놀했다는 ㅡㅡ;;
    괜히 키보드 보안 설치해서 ㅠ,ㅠ
    띵띵띵 소리 계속들리네요...
    그래도 머 바이러스 같은건 아니니 그냥 무시하고 해도 되죠?

    • 네.. avast! 제품이 오진이 좀 많습니다.

      단 넷마블 홈페이지 내에서 진단하는 것은 무시하셔도 되지만 다른 웹 사이트에서 진단하는 것은 악성일 수 있으므로 주의하시기 바랍니다.

  • 감사합니다 2012.02.09 14:35 댓글주소 수정/삭제 댓글쓰기

    답변 정말 빠르네요!!굳! ㅋ
    어쩔수 없이 그냥 무시하고 할려구요 ㅠ,ㅠ 소리는 걸리적 거리지만
    언제쯤 해결해줄까요,,,

    빠른 답변감사드리구 감기조심하세용~ ^^