본문 바로가기

벌새::Security

Malwarebytes Anti-Malware 오진 : Trojan.LameShield (2013.7.2)

해외 유/무료 악성코드 제거 프로그램으로 유명한 Malwarebytes Anti-Malware 제품에서 국내 이니텍(Initech) 업체에서 제공하는 웹 보안 솔루션 "INISAFE Web V6" 프로그램에 대해 Trojan.LameShield 진단명으로 오진하는 부분을 발견하였습니다.

  해외 보안제품 : Malwarebytes' Anti-Malware 1.40 (2009.8.11)

 

Malwarebytes Anti-Malware 보안 솔루션 제품은 실시간 감시 및 웹 보안(악성 웹 사이트 차단) 기능은 유료 제품(Malwarebytes Anti-Malware Pro)에서만 사용 가능하며, 무료 제품(Malwarebytes Anti-Malware Free)에서는 수동 검사 도구로 활용하기에 좋은 제품입니다.

이번에 문제가 된 진단은 예를 들어 한국장학재단 웹 사이트 이용시 반드시 설치를 요구하는 "INISAFE Web V6" 프로그램의 설치 파일에 대하여 Trojan.LameShield 진단명으로 진단되고 있습니다.

  • h**p://www.kosaf.go.kr/initech/plugin/down/INIS60.cab - Malwarebytes : Trojan.LameShield (VT : 1/47)
  • h**p://www.kosaf.go.kr/initech/plugin/down/INIS60.exe (MD5 : f1276c195b3f9644dec04a78c45b5965) - Malwarebytes : Trojan.LameShield (VT : 1/47)

ActiveX 설치 방식으로 다운로드되는 INIS60.cab 파일 내에는 2011년 11월에 최초 보고된 정상적인 INIS60Cab.exe (MD5 : 1de0de69f734f2d7d7aac69340d3ac57) 파일이 포함되어 있습니다.

또한 INISAFE Web V6 프로그램의 수동 설치 파일(MD5 : f1276c195b3f9644dec04a78c45b5965)에 대해서도 Trojan.LameShield 진단명으로 오진이 발생하고 있습니다.

 

그러므로 해당 오진 문제 해결을 위해서는 관련 진단에 대해 제외 처리를 하시기 바라며, Malwarebytes Anti-Malware 보안 제품은 특히 국내에서 제작된 광고 프로그램(PUP)에 대한 진단이 매우 강력하게 이루어지고 있기에 사용이 증가할 것으로 보입니다.

 

하지만 아직까지는 해외 AV 테스트에 참여하여 검증이 확인된 제품으로는 평가할 수 없으며, 해외 제품이라는 특성상 국내법과는 다른 진단 정책을 보여주는 부분이 있습니다.

 

최근에는 제로데이(0-Day) 취약점을 이용한 악성코드 유포에 대응하기 위하여 합병을 통해 Malwarebytes Anti-Exploit 제품을 준비하고 있기에 차후 더욱 발전할 수 있는 여지가 분명히 있지만, 2009년 제품 리뷰에서도 언급한 것처럼 몇 년전부터 배포되는 정상적인 소프트웨어를 오진하는 등의 문제는 여전히 존재하므로 사용시 주의할 필요가 있습니다.

  • 글을 읽고 오진신고를 했습니다. Malwarebytes 측에서 다음 database update에 오진에 대해 수정 될 거라는 답신도 받았습니다. 진단제외는 안 해도 될 듯하네요.

    한국장학재단 웹 사이트를 이용할 일은 없지만 사용자 PC에 보안툴을 강제설치해야 이용할 수 있게 만드는 건 지양해야하지 않을까 합니다. 이런 부분은 매번 아쉬운 부분입니다. PUA 진단은 지금보다 좀 더 강화해야 되는 게 아닐까도 싶고 Malwarebytes Anti-Malware (무료)는 개인적으로 주위에 추천하는 툴이기도 합니다.

    한국에는 사용자가 적어 그런지 몰라도 ESET이나 Malwarebytes 모두 오진신고에 대응이 빠른데도 오진신고를 하는 경우가 적은 듯하더군요. 좋은 글들 잘 읽고 갑니다.