본문 바로가기

벌새::Security

Malwarebytes Anti-Malware 보안 제품의 무식한 진단 정책 사례

하우리(Hauri) 보안 업체에서는 CryptXXX, Locky 랜섬웨어(Ransomware) 피해가 급증함에 따라 랜섬웨어 예방툴(RansomProtector)을 제작하여 감염되지 않도록 악성코드를 속이는 방법을 제공하고 있습니다.

 

그런데 국내외에서 인기를 모으고 있는 Malwarebytes Anti-Malware 보안 제품이 랜섬웨어 예방툴(RansomProtector)이 생성한 svchost.exe 파일을 Trojan.Agent.Gen 진단명으로 진단한다는 정보가 있어서 확인해 보았습니다.

 

 

실제로 랜섬웨어 예방툴(RansomProtector)이 생성한 임시 폴더(%Temp%)에 생성된 svchost.exe 파일을 Trojan.Agent.Gen 진단명으로 오진을 하고 있으며, 실제 svchost.exe 파일은 어떠한 기능도 수행하지 않는 Fake 파일입니다.

 

그렇다면 Malwarebytes Anti-Malware 보안 제품이 특정 위치에 특정 파일명이 존재할 경우 무조건 진단하는 추가적인 확인을 해보았습니다.

 

 

우선 메모장으로 임의의 문구를 입력한 한 explorer.exe, rundll32.exe, svchost.exe 파일명으로 저장하여 임시 폴더에 위치시킨 후 Malwarebytes Anti-Malware 보안 제품을 이용하여 정밀 검사를 진행하였습니다.

 

 

  • %Temp%\rundll32.exe (Trojan.Agent.RDL)
  • %Temp%\svchost.exe (Trojan.Agent.Gen)

검사 결과는 임시 폴더(%Temp%)에 생성되는 파일의 코드는 확인하지 않고 파일명 기반으로 무조건 진단하는 정책을 가지고 있음을 알 수 있습니다.

 

간혹 다른 보안 제품에서도 특정 진단을 목적으로 파일 위치 및 파일명으로 악성코드 진단이 이루어지고 있다는 것은 알고 있었지만, CryptXXX 랜섬웨어의 경우 rundll32.exe 시스템 파일을 임시 폴더에 복사하여 DLL 악성 파일을 동작한다고 정상적인 시스템 파일을 진단하는 방식은 상당히 무식한 방식이 아닌가 싶습니다.

  • aaaa 2016.06.12 13:16 댓글주소 수정/삭제 댓글쓰기

    이 프로그램은 제가 즐겨찾기에 등록한 인터넷 쇼핑몰 바로가기도 악성코드로 인식하더군요. 검사 결과보고 너무 어이가 없더군요

  • 비밀댓글입니다

  • 한마디로 일단 잡고 보자 이네요

  • 상선약수 2016.06.13 18:19 댓글주소 수정/삭제 댓글쓰기

    자꾸 염치불고하고 문의합니다. 죄송합니다.
    MZK실행후 UAC기능비활성화라고 지적되어 바로 활성화시키고 ,지난번 말씀하신대로 Appcheck 자동백업에 폴더추가후 인터넷 속도가 느려지고 네이버를 이용하거나 다른 사이트 이용시 화면이 5~10초정도 정지되는 듯한 느낌이 듧니다. 주위의 민원?때문에 UAC기능은 비활성화시켜버렸습니다ㅜ.ㅜ 혹시 Appcheck 자동백업 실행 때문에 속도에 문제가 생길 수도 있습니까?
    바쁘신데 친절히 답변해 주셔서 항상 감사드립니다.

    • AppCheck Pro 제품 사용자이신가요?

      자동 백업의 경우 아마도 최초 적용할 경우 사용자가 지정한 폴더를 자동 백업(AutoBackup(AppCheck))에 백업하는 과정에서 다소 느려질 수도 있을겁니다. 단 시스템 사양에 따라 체감하지 못할 수도 있습니다.

      UAC 기능과는 다소 무관한 것 같고 자동 백업을 일시적으로 해제한 상태에서도 발생하는지 점검해 보시기 바랍니다.

  • 나그네 2016.06.14 18:44 댓글주소 수정/삭제 댓글쓰기

    사실 정상파일은 거기에 없으니 저렇게 강력하게 잡는회사들이 나름 마음에 듭니다.

  • 미루 2016.06.17 12:42 댓글주소 수정/삭제 댓글쓰기

    맬웨어바이트를 이번에 구입하면서 연락이 왔는데
    라이선스발송 규칙이 바뀌었다며 주소지를 물어봅니다.
    찝찝해서 나중에 연락하라고 했는데 괜찮은 건가요?

    • 패키지 상품인가 보네요? 구입해보지 않아서 모르겠습니다. 물건을 받으시려면 주소지를 제공해야겠지만 온라인 상품이라면 주소지가 필요한가 싶습니다.

  • 미루 2016.06.17 12:54 댓글주소 수정/삭제 댓글쓰기

    패키지상품이고 맬웨어바이트 한국 홈페이지 https://www.malwarebytes.co.kr 에서 구입했습니다
    라이선스는 메일을 통한 일괄배송이라 설치시디는 오지 않것든요.
    구입할때나 확인메일이나 주소지 대해서 없었거든요.
    작년에 연락도 없었고...본사에 메일도 보내 봤는데 모르겠네요..하두 요새는 전화도 조심해야 되니.....

  • 미루 2016.06.21 19:12 댓글주소 수정/삭제 댓글쓰기

    메일로 물어보았는데

    '라이선스 발행 시스템이 변경되어 ‘공사’가 아닌 ‘본사’의 요청으로 라이선스 발행 시에 필요한 정보입니다.'

    라고 왔습니디.
    소프트메일이라면 어베스트에서도 요구했을텐데...
    어베스트와의 차이점이라면 어베스트는 라이선스 파일만 오고 맬웨어바이트라는 라이선스 코드가 왔다는 점인데...
    맬웨어바이트 본사라도 주소지가 왜 필요한지 모르겠네요...