울지않는벌새 : Security, Movie & Society

avast! 오진 : afreecaplayer.exe - Win32:Evo-gen [Susp] (2013.11.12)

벌새::Security

인터넷 개인 방송으로 유명한 아프리카TV(AfreecaTV)를 실행하는 과정에서 avast! 해외 보안 제품이 Win32:Evo-gen [Susp] 진단명으로 오진하는 사고가 발생하고 있는 것을 확인하였습니다.

 

특히 이번 오진 문제는 시그니처(Signature) 진단이 아닌 행위 기반 진단으로 보이며, 이로 인하여 진단 제외 처리를 하여도 지속적으로 차단되어 프로그램 실행이 되지 않는 문제가 발생하고 있습니다.

사용자가 아프리카TV 서비스를 이용하기 위하여 "설치형 시청하기" 버튼을 클릭하면 "C:\Windows\AFCUPDL2.exe" 파일 실행과 관련된 "사용자 계정 컨트롤" 창이 생성되며, 실행을 허용할 경우 "C:\Program Files\afreeca\afreecaplayer.exe" 실행 파일을 로딩합니다.

실행된 afreecaplayer.exe 파일은 아프리카TV 업데이트 체크를 수행하기 위해 "C:\Users\(사용자 계정)\AppData\Local\Temp\AFCUpdater.exe" 파일을 실행하여 그림과 같은 설치 진행창이 생성될 수 있습니다.

이 과정에서 "바이러스 발견" 경고창이 생성되어 Win32:Evo-gen [Susp] 진단명으로 "C:\Program Files\afreeca\afreecaplayer.exe" 파일을 처리(※ 기본값 : 자동 수정)하려고 합니다.

 

이로 인하여 사용자가 "확인" 버튼을 클릭할 경우 afreecaplayer.exe 파일은 검역소로 이동 처리되며 아프리카TV를 실행할 수 없는 문제가 발생하고 있습니다.

우선 Win32:Evo-gen [Susp] 진단명으로 진단되고 있는 "C:\Program Files\afreeca\afreecaplayer.exe" 파일(MD5 : edb4ef3f7da0524e65ef8feb01ab5edd)을 검사해보면 avast!에서는 진단하지 않고 있다는 점에서 Win32:Evo-gen [Susp] 진단은 행위 기반 진단으로 인해 발생한 이슈로 볼 수 있습니다.

 

해당 오진 문제를 해결하기 위해서는 다음과 같은 절차에 따라 일부 파일을 진단 제외 처리를 하시기 바랍니다.

먼저 avast! 보안 제품의 검사 메뉴 하단에 있는 "검역(바이러스 검역소)"를 클릭하여 생성된 "바이러스 검역소"에서 afreecaplayer.exe 파일을 선택하여 "복원 및 제외에 추가" 메뉴를 실행하시기 바랍니다.

이를 통해 포괄적인 제외 목록에 "C:\Program Files\afreeca\afreecaplayer.exe" 파일을 진단 제외 처리하도록 설정할 수 있습니다.

하지만 위와 같은 설정을 한 후 아프리카TV를 실행할 경우에 반복적으로 Win32:Evo-gen [Susp] 진단명으로 실행되지 않는 문제가 발생하는 것으로 확인되고 있습니다.

그러므로 "환경 설정 → 안티바이러스" 메뉴 중 "예외 → 파일 경로" 항목에 앞에서 제외 처리한 "C:\Program Files\afreeca\afreecaplayer.exe" 파일 외에 "C:\Users\(사용자 계정)\AppData\Local\Temp\AFCUpdater.exe" 파일을 추가로 제외 처리를 하시기 바랍니다.

그 후 아프리카TV를 실행하시면 정상적으로 프로그램이 실행되는 것을 확인할 수 있으며, 차후 해당 오진 문제가 해결되었을 때에는 반드시 환경 설정에서 제외 처리한 파일값을 모두 삭제하시기 바랍니다.