울지않는벌새 : Security, Movie & Society

Kaspersky 오진 : 토렌저(Torrenser) 업데이트 파일 - Trojan.Win32.Jorik.Vobfus.kmi (2012.1.24)

벌새::Security
러시아 보안 제품 Kaspersky 보안 제품에서 국내에서 제작된 토렌트(Torrent) 검색 프로그램 토렌저(Torrenser) 업데이트 파일 Torrenser.exe(MD5 : ecc21cce2c5df64c92a84a38da9ec0e6)에 대하여 Trojan.Win32.Jorik.Vobfus.kmi 진단명으로 오진하고 있는 것을 확인하였습니다.

토렌저(Torrenser)는 작년경부터 블로그 등 인터넷 게시판을 통해 배포가 이루어지고 있는 토렌트(Torrent) 검색 기능을 가진 프로그램으로 검색된 결과를 바탕으로 µTorrent 프로그램을 이용하여 다운로드를 연결하는 것으로 보이며, 공식적인 홈페이지는 확인이 되지 않고 있습니다.

우선적으로 이런 방식의 배포는 배포 과정에서 설치 파일 변경 등 악의적인 문제가 유발할 수 있다는 점은 명심해야 할 것으로 보입니다.

MD5 : ecc21cce2c5df64c92a84a38da9ec0e6

해당 파일은 "C:\Documents and Settings\(사용자 계정)\Application Data\Torrenser\Torrenser.exe" 파일로 위치하며, TorrenserUpdater 기능을 하는 해당 파일을 실행시 다음과 같은 동작을 진행합니다.

토렌저 프로그램이 최초 실행될 때 토렌저 업데이트를 담당하는 Torrenser.exe 파일은 외형적으로 그림과 같은 업데이트 진행창이 생성됩니다.

실제 업데이트시 연결되는 네트워크 연결 정보를 살펴보면 토렌저 서버(torrenser.net)에 접속하여 업데이트 정보(update.inf)를 체크하여 특정 IP 서버(42.99.136.35)에서 해당 프로그램의 관련 파일을 다운로드하는 것을 확인할 수 있습니다.

현재 확인된 업데이트 정보에서는 추가적인 악의적 프로그램의 다운로드는 확인되지 않고 있으므로 이번 진단은 오진으로 판단되며, Kaspersky 보안 제품을 사용하시는 분들은 차후 업데이트를 통해 오진 문제가 해결될 때까지 진단 제외 처리를 하시기 바랍니다.