울지않는벌새 : Security, Movie & Society

Malwarebytes Anti-Malware 오진 : Trojan.LameShield (2013.7.2)

벌새::Security

해외 유/무료 악성코드 제거 프로그램으로 유명한 Malwarebytes Anti-Malware 제품에서 국내 이니텍(Initech) 업체에서 제공하는 웹 보안 솔루션 "INISAFE Web V6" 프로그램에 대해 Trojan.LameShield 진단명으로 오진하는 부분을 발견하였습니다.

  해외 보안제품 : Malwarebytes' Anti-Malware 1.40 (2009.8.11)

 

Malwarebytes Anti-Malware 보안 솔루션 제품은 실시간 감시 및 웹 보안(악성 웹 사이트 차단) 기능은 유료 제품(Malwarebytes Anti-Malware Pro)에서만 사용 가능하며, 무료 제품(Malwarebytes Anti-Malware Free)에서는 수동 검사 도구로 활용하기에 좋은 제품입니다.

이번에 문제가 된 진단은 예를 들어 한국장학재단 웹 사이트 이용시 반드시 설치를 요구하는 "INISAFE Web V6" 프로그램의 설치 파일에 대하여 Trojan.LameShield 진단명으로 진단되고 있습니다.

  • h**p://www.kosaf.go.kr/initech/plugin/down/INIS60.cab - Malwarebytes : Trojan.LameShield (VT : 1/47)
  • h**p://www.kosaf.go.kr/initech/plugin/down/INIS60.exe (MD5 : f1276c195b3f9644dec04a78c45b5965) - Malwarebytes : Trojan.LameShield (VT : 1/47)

ActiveX 설치 방식으로 다운로드되는 INIS60.cab 파일 내에는 2011년 11월에 최초 보고된 정상적인 INIS60Cab.exe (MD5 : 1de0de69f734f2d7d7aac69340d3ac57) 파일이 포함되어 있습니다.

또한 INISAFE Web V6 프로그램의 수동 설치 파일(MD5 : f1276c195b3f9644dec04a78c45b5965)에 대해서도 Trojan.LameShield 진단명으로 오진이 발생하고 있습니다.

 

그러므로 해당 오진 문제 해결을 위해서는 관련 진단에 대해 제외 처리를 하시기 바라며, Malwarebytes Anti-Malware 보안 제품은 특히 국내에서 제작된 광고 프로그램(PUP)에 대한 진단이 매우 강력하게 이루어지고 있기에 사용이 증가할 것으로 보입니다.

 

하지만 아직까지는 해외 AV 테스트에 참여하여 검증이 확인된 제품으로는 평가할 수 없으며, 해외 제품이라는 특성상 국내법과는 다른 진단 정책을 보여주는 부분이 있습니다.

 

최근에는 제로데이(0-Day) 취약점을 이용한 악성코드 유포에 대응하기 위하여 합병을 통해 Malwarebytes Anti-Exploit 제품을 준비하고 있기에 차후 더욱 발전할 수 있는 여지가 분명히 있지만, 2009년 제품 리뷰에서도 언급한 것처럼 몇 년전부터 배포되는 정상적인 소프트웨어를 오진하는 등의 문제는 여전히 존재하므로 사용시 주의할 필요가 있습니다.