울지않는벌새 : Security, Movie & Society

Internet Antivirus Pro 진단의 진실은?

벌새::Analysis
해외에서 유포되고 있는 허위 보안 제품 중에 Internet Antivirus 제품이 있습니다. 이 제품의 변종이 Internet Antivirus Pro라는 이름으로 유포가 되고 있는 것으로 보입니다.


어제 해당 허위 보안 제품의 유포 사이트에서 설치 파일을 다운로드하여 안철수연구소에 샘플 신고를 하였습니다.

당시 VirusTotal의 진단에서는 7개 보안 제품이 진단을 하였고, 현재는 9개 제품이 진단하고 있는 상황입니다.

[InternetAntivirusPro.exe]

Antivirus Version Last Update Result
AhnLab-V3 2008.12.12.0 2008.12.11 -
AntiVir 7.9.0.45 2008.12.11 ADSPY/FakeAV.B
Authentium 5.1.0.4 2008.12.11 -
Avast 4.8.1281.0 2008.12.11 -
AVG 8.0.0.199 2008.12.12 -
BitDefender 7.2 2008.12.12 -
CAT-QuickHeal 10.00 2008.12.11 -
ClamAV 0.94.1 2008.12.11 -
Comodo 733 2008.12.11 -
DrWeb 4.44.0.09170 2008.12.12 -
eSafe 7.0.17.0 2008.12.11 -
eTrust-Vet 31.6.6256 2008.12.11 -
Ewido 4.0 2008.12.11 -
F-Prot 4.4.4.56 2008.12.11 -
F-Secure 8.0.14332.0 2008.12.12 FraudTool.Win32.Agent.fn
Fortinet 3.117.0.0 2008.12.12 Misc/Agent
GData 19 2008.12.12 -
Ikarus T3.1.1.45.0 2008.12.12 -
K7AntiVirus 7.10.551 2008.12.11 -
Kaspersky 7.0.0.125 2008.12.12 not-a-virus:FraudTool.Win32.Agent.fn
McAfee 5461 2008.12.11 -
McAfee+Artemis 5461 2008.12.11 Generic!Artemis
Microsoft 1.4205 2008.12.12 -
NOD32 3685 2008.12.12 -
Norman 5.80.02 2008.12.11 -
Panda 9.0.0.4 2008.12.11 -
PCTools 4.4.2.0 2008.12.11 -
Prevx1 V2 2008.12.12 Malware Dropper
Rising 21.07.32.00 2008.12.11 -
SecureWeb-Gateway 6.7.6 2008.12.11 Ad-Spyware.FakeAV.B
Sophos 4.36.0 2008.12.12 Mal/FakeAV-M
Sunbelt 3.2.1801.2 2008.12.11 -
Symantec 10 2008.12.12 -
TheHacker 6.3.1.2.184 2008.12.11 -
TrendMicro 8.700.0.1004 2008.12.11 -
VBA32 3.12.8.10 2008.12.11 -
ViRobot 2008.12.12.1514 2008.12.12 Adware.Agent.R.1914233
VirusBuster 4.5.11.0 2008.12.11 -
Additional information
File size: 1914233 bytes
MD5...: d63574da1ba761478493d37747febec9
SHA1..: 8b3468f1d0e63f715969c70491e7dc9f6293e5f8


그런데, 오늘 안철수연구소에서 해당 샘플에 대한 분석 결과를 확인해 보니 의외의 결과로 분류하고 있었습니다.


안철수연구소에서 분석한 내용의 [진단대상아님]은 악성코드 진단정책에 부합되지 않는 파일이라는 의미입니다.

그렇다면 왜 현재 타 보안업체에서 진단이 추가되고 있는 샘플을 진단대상에서 제외하고 있는지 확인을 해 보도록 하겠습니다.


해당 설치 파일을 다운로드할 때에는 위와 같이 약관에 동의를 한 상태에서 다운로드를 하도록 하고 있으며, 해당 약관의 내용은 일반적인 약관과 동일한 형태를 가지고 있습니다.


설치 과정 단계를 넘어가는 과정에서 프로그램의 설치는 Password로 보호되어 있다는 메시지와 함께 비밀번호를 입력하는 창이 나오고 있습니다.


실제 사용자가 어떠한 정보도 없는 상태에서 불특정 비밀번호를 입력하는 경우 다시 시도를 하라는 메시지가 출력되고 있습니다. 즉 실제 해당 제품을 결제를 통해 구입하는 경우 비밀번호가 전달되는 과정을 거치는지는 알 수 없지만 단순히 테스트를 하기 위해 제품을 설치하려는 경우에는 절대로 해당 제품을 설치할 수 없는 상태입니다.

그렇다고 Internet Antivirus Pro 제품에 대한 진단이 안철수연구소에서 전혀 없는 것은 아닙니다.


위와 같이 이번의 경우와는 다르게 실제 설치되거나 또는 다른 형태의 다운로드 설치 방식으로 설치되는 파일에 대해서는 정상적으로 진단을 하고 있었던 것으로 보입니다.

하지만 위의 경우에는 전혀 컴퓨터에 설치 과정에서 파일 생성 흔적도 남기지 않는데 현재 국내외 보안 제품 일부가 진단을 추가하고 있습니다.

아니면 제가 모르게 해당 비밀번호를 깨고 설치를 하였을 수도 있겠지만 그렇게 용감하게 분석은 하지 않으리라 보여집니다.

과연 어느 보안 제품이 옳은 진단을 했을지는 각 보안 업체의 진단 정책에 따라 달라지겠지만, 위와 같이 실제 설치 파일이 사용자에게 피해를 주는 것이 아닌 경우에도 진단되는 경향이 있어 보입니다.