본문 바로가기

벌새::Analysis

Kaspersky 오진 - Trojan-Banker.Win32.Banker.uxd

사용자 삽입 이미지

Kaspersky 엔진이 현재 시간 국내 무료 악성코드 치료 프로그램 PCFree 실행 파일을 오진하고 있는 것을 확인하였습니다.


8월 초에도 Trojan Banker류로 오진한 적이 있었으며, 또 다시 유사한 진단명으로 오진을 한 것으로 보입니다.

[PCFree.exe]

Antivirus Version Last Update Result
AhnLab-V3 2008.8.19.0 2008.08.19 -
AntiVir 7.8.1.23 2008.08.19 -
Authentium 5.1.0.4 2008.08.19 -
Avast 4.8.1195.0 2008.08.18 -
AVG 8.0.0.161 2008.08.18 -
BitDefender 7.2 2008.08.19 -
CAT-QuickHeal 9.50 2008.08.18 (Suspicious) - DNAScan
ClamAV 0.93.1 2008.08.19 -
DrWeb 4.44.0.09170 2008.08.19 -
eSafe 7.0.17.0 2008.08.18 -
eTrust-Vet 31.6.6035 2008.08.15 -
Ewido 4.0 2008.08.18 -
F-Prot 4.4.4.56 2008.08.18 -
F-Secure 7.60.13501.0 2008.08.19 -
Fortinet 3.14.0.0 2008.08.19 -
GData 2.0.7306.1023 2008.08.19 Trojan-Banker.Win32.Banker.uxd
Ikarus T3.1.1.34.0 2008.08.19 -
K7AntiVirus 7.10.420 2008.08.18 -
Kaspersky 7.0.0.125 2008.08.19 Trojan-Banker.Win32.Banker.uxd
McAfee 5363 2008.08.18 -
Microsoft 1.3807 2008.08.19 -
NOD32v2 3366 2008.08.19 -
Norman 5.80.02 2008.08.19 -
Panda 9.0.0.4 2008.08.18 -
PCTools 4.4.2.0 2008.08.18 -
Prevx1 V2 2008.08.19 -
Rising 20.58.11.00 2008.08.19 -
Sophos 4.32.0 2008.08.19 Sus/Behav-1004
Sunbelt 3.1.1546.1 2008.08.15 -
Symantec 10 2008.08.19 -
TheHacker 6.3.0.5.054 2008.08.19 -
TrendMicro 8.700.0.1004 2008.08.19 -
VBA32 3.12.8.3 2008.08.19 -
ViRobot 2008.8.18.1339 2008.08.18 -
VirusBuster 4.5.11.0 2008.08.18 -
Webwasher-Gateway 6.6.2 2008.08.19 Win32.Malware.gen#PECompact!84 (suspicious)
Additional information
File size: 738304 bytes
MD5...: 00d9496ec3a9a99a7f301b60e5772d29
SHA1..: 53c8888cdbfc6e9ca14fcde0e401f70db917949b


오진 부분의 수정이 있을 때까지 사용하시는 제품의 진단 예외 설정을 하시고 사용하시기 바랍니다. 특히 PCFree의 실시간 감시 기능을 이용하여 사용하시는 분들은 이 문제가 해결될 때까지 실시간 감시를 OFF하시고 수동으로 검사하여 사용하시는 것을 추천해 드립니다.
  • 오경보 2008.08.26 13:39 댓글주소 수정/삭제 댓글쓰기

    오늘도 kav에서 PCFree.exe를 Trojan-Banker.Win32.Banker.vnz 로 오경보하더군요. 해외쪽에 신고하였더니 정확히 30분후 (죄송합니다. 오경보(false alarm)입니다. 곧 수정하겠습니다. 도움을 주셔서 감사합니다.) 라고 답장을 받은 상태입니다.

    특이하게 False Positive보다는 false alarm를 쓰더군요. 다른 외국 보안사나 외국 포럼에도 false alarm를 좀더 선호하는거 같구요. 무슨차이가?

    • 오진이라는 영문을 찾아보니 2개를 동의어로 같이 사용하는 것으로 보입니다.

      해당 오진은 어제 신고를 했는데, 요즘 해당 진단명과 유사한 쪽으로 계속적으로 하는 걸 봐서는 앞으로도 오진할 경우가 계속 이어질 것 같습니다.

    • 그리고 False Positive라는 말 자체가 통계학 쪽에서 전문적으로 사용하던 단어라서 일반인이 의미하기 어려우므로 False Alarm이라는 의미가 일상적으로 더 사용될 수도 있을 것 같습니다.

  • 오경보 2008.08.26 15:11 댓글주소 수정/삭제 댓글쓰기

    그런뜻이 있었군요.

    벌새님 글대로 PCFree에 대한 오진은 계속 있을거 같애요. 그럼 매번 신고해야하니 불편하고 외산/국산 백신들이 간혹가다가 PCFree를 오진하는 사례를 봐왔고 앞으로도 그럴거 가튼데 PCFree측에서 프로그램을 수정하는 방향은 좀안될려나 몰겠네요. 일반적으로 백신들이 이런식으로 오진하면 제작자측에서 프로그램을 수정하는 일도있던데 잘해결되었으면 좋겠네요.

    • 차기 버전이 제작 중인 것으로 압니다.

      그리고 이전에 Kav에서 진단되고 있는 상태에서 엔진 업데이트가 이루어지니 해당 파일에 대한 진단이 사라진 적이 있었습니다.

      꾸준하게 해당 PCFree 제작사에서 체크하면서 이 문제를 해결하는 것이 정석일 것 같습니다.

  • 오경보 2008.08.26 16:09 댓글주소 수정/삭제 댓글쓰기

    글구 VT하고 수동 검사에서 안잡히는데 실시간 감시에서만 잡히는게 뭔가 이상하다 했더니 http://update2.pcfree.co.kr/PF3/PCFree.exe에서 받아오는 업데이트 파일을 걸러내네요.

    원래 PCFree 프로그램의 PCFree.EXE는 오진안하더군요. 업데이트하는 과정에서http://update2.pcfree.co.kr/PF3/PCFree.exe에서 받아오는 파일을 오진하는거 같습니다. 영어가 짧아서 벌새님이 다시좀신고해주세요. 국내는 신고하면 오래걸려서 하기 싫어져요.

  • 오경보 2008.08.26 16:18 댓글주소 수정/삭제 댓글쓰기

    차기버전 기대되요. 또 질문 있어요. PCFree삭제할때 C:\Program Files\PCFree\InstallLog.exe가 외부와 커뮤니케이션을 시도하길래 차단했긴했는데 이게 뭔가요?

  • 오경보 2008.08.26 16:38 댓글주소 수정/삭제 댓글쓰기

    벌새님 PCFree에서 특이한거 발견했어요. PCFree깔고 맨처음 업데이트할때 KAV에서 Trojan-Banker.Win32.Banker.vnz로 진단한 파일을 전부차단하니까 IE 시작페이지가 http://www.disco.co.kr/?ucc=y로 바뀌었어요. PCFree업데이트 파일에 의심쩍은게 있긴 하나봐요. 다른건 답글안해줘도 되고 이거 자세히좀 알아봐 주세요.

    • 해당 사이트로 연결되는 것은 아마 PCFree 메인화면에 보시면 검색 기능이 있습니다.

      해당 검색창에 검색어를 넣고 검색을 시도하시면 Disco로 연결되어 검색을 하게 하는 방법입니다.

      일종의 스폰서 기능으로 알고 있습니다.

      그 기능으로 인한 시작페이지 고정이나 검색 엔진 변경은 이루어지지 않는 것으로 압니다. 단, 업데이트시에 설치를 해제하시면..

  • 오경보 2008.08.26 16:43 댓글주소 수정/삭제 댓글쓰기

    도배해서 미안해요. 근데 또 튿이사항 있어서. 시계옆에 http://www.disco.co.kr/?ucc=y 로 링크된 아이콘이 생성되네요.

    • 아마 PCFree 업데이트시에 일부 선택사항을 제대로 확인하지 않으시고 모두 업데이트를 하신 것 같습니다.

      현재 해당 프로그램이 Disco업체의 도움을 받고 있기에 스폰서 프로그램이 설치될 수 있습니다.

  • 오경보 2008.08.26 17:36 댓글주소 수정/삭제 댓글쓰기

    벌새님 고맙습니다. 업데이트할때 선택하는거있어요. 그것도 모르고 잘보고했어야하는데 괜시리 오바했습니다.