본문 바로가기

벌새::Security

Avira 오진 : BCQRE_RX 연동모듈 설치 프로그램 - Adware/Agent.309248 (2013.1.24)

해외 무료 백신으로 유명한 Avira AntiVirus 제품에서 인터넷제증명 발급 솔루션 "BCQRE_RX 연동모듈 설치 프로그램"Adware/Agent.309248 진단명으로 오진하는 문제를 확인하였습니다.

해당 오진과 관련된 이슈는 국민연금공단에서 운영하고 있는 "4대 사회보험 정보연계센터" 웹 사이트에서 제공하는 "BCQRE_RX 연동모듈 설치 프로그램" 관련 ActiveX를 통해 설치가 이루어지는 과정에서 발견하였습니다.

 

  • h**p://www.4insure.or.kr/RexServer30//plugin/bcqre/cab/BCQREConRX.cab

제시되는 ActiveX 설치창을 통해 설치를 진행하면 BCQREConRX.cab 파일을 받아와 내부에 존재하는 BCQREConRX.exe (MD5 : da1bc84ceed2d21c3981ee60f82c1bd1) 설치 파일을 통해 프로그램이 설치됩니다.

 

이 과정에서 해당 설치 파일(BCQREConRX.exe)에 대하여 Avira(Adware/Agent.309248), Trend Micro(TROJ_SPNR.0BA813) 등 VirusTotal 기준으로 14/45 제품이 오진을 하는 문제가 발생합니다.

실제 설치 과정에서는 "BCQRE_RX 연동모듈(1.0.0.1)"이 설치되는 과정에서 CopyProtectionRX.dll 모듈을 추출하는 과정에서 다음과 같은 진단으로 인해 액세스가 거부되는 동작을 확인할 수 있습니다.

  • BCQREConRX.exe (MD5 : da1bc84ceed2d21c3981ee60f82c1bd1) - Avira : Adware/Agent.309248 (VirusTotal : 14/45)
  • C:\Program Files\BCQRE\RXCon\CopyProtectionRX.dll (MD5 : 3bc33ba8ae07c650f43882fd2c61727f) - Avira : Adware/Agent.309248 (VirusTotal : 15/46)

해당 파일들은 2009년 11월경에 제작된 오래된 파일이며, 실제 BitDefender 제품에서도 현재 Adware.Generic.240166 진단명으로 진단되고 있습니다.

 

하지만 BitDefender DB를 사용하는 알약(ALYac), nProtect, Hauir ViRobot 보안 제품에서는 진단 제외 처리가 이미 이루어진 상태이며, 국내에서 피드백이 제대로 전달되지 않고 있는 일부 해외 보안 제품에서는 장기간 오진이 발생하고 있었을 것으로 보입니다.

 

  <언제나 웃으며 블로그> 4대 보험 문서 위변조 프로그램 오진중 (2012.9.16)

 

실제 관련 정보를 찾아보면 2012년 9월경에 현재와 비슷하게 해외 보안 제품에서 "BCQRE_RX 연동모듈 설치 프로그램"에 대해 오진을 하고 있었던 것으로 보입니다.

 

그러므로 Avira 보안 제품을 사용하시는 분들은 다음과 같은 절차에 따라 설치 및 진단 제외를 하시기 바랍니다.

 

(1) "BCQRE_RX 연동모듈 설치 프로그램"을 ActiveX 창을 통해 설치할 때에는 Avira 실시간 감시 기능을 임시적으로 OFF 하시고 설치하시기 바랍니다.

 

(2) Avira 제품의 환경 설정 모드를 "고급 모드(Expert mode)"로 변경하고 시스템 스캐너(System Scanner)과 실시간 보호(Real-Time Protection) 메뉴의 제외(Exceptions) 항목을 선택하여 "C:\Program Files\BCQRE\RXCon\CopyProtectionRX.dll" 파일을 제외 처리하시기 바랍니다.

현재 Trend Micro 제품의 오진과 관련해서는 한국 Trend Micro의 도움을 통해 문제를 해결할 수 있도록 진행되고 있으므로 참고하시기 바랍니다.