본문 바로가기

벌새::Security

ClamAV 엔진의 comres.dll 오진에 대한 오해

오픈 소스(GPL) 안티 바이러스(Antivirus) 엔진으로 유명한 ClamAV 검사 도구를 이용하여 시스템 검사를 한 경우, 일부 시스템 파일에 대해 마치 진단한 것처럼 오해를 하는 사용자들이 최근에 있는 것으로 보입니다.

 

테스트는 ClamAV 엔진을 사용하는 ClamWin 무료 백신을 통해 확인하였으며, 다른 ClamAV 엔진을 사용하는 검사 도구에서도 동일할 것으로 추정됩니다.

시스템 검사를 완료한 후 표시되는 보고서를 확인해보면 "Infected files : 0"이며, 이는 감염된 파일이 발견되지 않았다는 의미입니다.

 

그런데 해당 보고서 하단에는 "The following files are Digitally Signed by Microsoft Corporation and may have been incorrectly detected as viruses:"라는 문구가 추가되어 있습니다.

 

해당 문구는 마이크로소프트(Microsoft) 업체에서 서명된 파일들이 바이러스처럼 부정확하게 진단되었다는 의미입니다.

C:\WINDOWS\$NtUninstallKB2423089$\wab.exe: [Win.Trojan.Agent-205240] FALSE POSITIVE FOUND

C:\WINDOWS\system32\comres.dll: [Win.Trojan.Buzy-127] FALSE POSITIVE FOUND

C:\WINDOWS\system32\dllcache\comres.dll: [Win.Trojan.Buzy-127] FALSE POSITIVE FOUND

C:\WINDOWS\system32\dllcache\dplaysvr.exe: [Win.Trojan.Agent-211183] FALSE POSITIVE FOUND

C:\WINDOWS\system32\dllcache\ping.exe: [Win.Worm.319479] FALSE POSITIVE FOUND

C:\WINDOWS\system32\dplaysvr.exe: [Win.Trojan.Agent-211183] FALSE POSITIVE FOUND

C:\WINDOWS\system32\ping.exe: [Win.Worm.319479] FALSE POSITIVE FOUND

그리고 진단된 목록에서는 정상적인 시스템 파일(comres.dll, ping.exe 등)에 진단명이 추가되어 있으며, 옆에는 "FALSE POSITIVE FOUND(오진 발견)"라는 문구가 포함되어 있습니다.

 

맨 마지막 문구에서는 "Please do not be alarmed and help us by submitting the files identified above as FALSE POSITIVE at h**p://www.clamav.net/sendvirus/"를 통해 오진(FALSE POSITIVE)으로 확인된 해당 파일들은 샘플 신고하여 도움을 요청하지 말라고 적혀 있습니다.

 

그런데 일부 사용자들은 검사를 통해 표시된 진단명과 파일명을 근거로 시스템이 감염된 것으로 오해하여 삭제를 시도하거나 포맷을 하는 등의 잘못된 조치를 취하려고 하는 것 같습니다.

 

Antivirus 제품에서 정상적인 파일을 악성 파일로 잘못 진단한다는 의미로 "오진(False Positive)"이라는 표현을 사용하고 있으므로 오해하지 않도록 하시기 바랍니다.