본문 바로가기

벌새::Analysis

해외 가짜 백신 : Perfect Defender 2009

반응형


러시아에서 제작된 것으로 알려진 Perfect Defender 2009 제품에 대해 살펴보도록 하겠습니다.

해당 제품은 일반적인 허위 보안 제품과는 다소 색다른 부분이 있습니다.

허위 보안 제품의 가장 큰 특징이라면 허위 진단을 통하여 결제 유도, 사용자에게 심리적인 위협을 주는 행위, 컴퓨터 사용을 방해, 각종 팝업 광고창 생성을 통한 애드웨어 활동, 추가적인 다운로드 기능 등 다양한 활동을 할 수 있습니다.

하지만 이 제품은 일단 알려진 바에 따르면 오픈소스 보안 제품으로 유명한 ClamAV의 DB를 이용하고 있다고 합니다. 그로 인하여 실제 테스트에서 어떠한 진단도 하지 않는 것을 확인할 수 있었습니다.

제작사 홈페이지에 보면 마이크로소프트사의 파트너처럼 허위 과장 광고를 하는 부분이나 Softpedia에서 별 5개를 받았다는 광고는 허위 정보임을 확인할 수 있었습니다.


실제로 제품을 살펴보면서 자세하게 알아보도록 하겠습니다.


설치 과정은 위와 같이 단순히 설치 경로 안내만을 제공하고 있으며 바로 프로그램이 설치된 후 동작하도록 구성되어 있습니다.


프로그램이 설치된 후 생성된 폴더와 파일 정보입니다.


제품 메인 화면을 보시면 방화벽 기능이 포함되어 있는 것을 확인할 수 있습니다.

실제 제품이 설치되는 과정에서 업데이트가 자동으로 진행된 부분은 없어 보이는데, 추가적인 업데이트를 확인해 보면 더 이상 업데이트 항목이 없다는 메시지가 나오는 것을 확인할 수 있었습니다.

하지만 프로그램 우측 상단에 [Need Update]라는 표시를 통해 심리적으로 업데이트를 하도록 유도하는 느낌이 듭니다.

메인 화면에서 제공되는 정보에 따르면 해당 제품이 위협요소를 진단할 수 있는 진단수가 22,280개 수준으로 비록 ClamAV의 DB를 이용하고 있다고 하더라도 오진 또는 허위 진단이 없는 이유를 알 수도 있을 것 같습니다.


실제로 시스템을 검사하는 과정에서는 위와 같이 [Defender Security Alert] 경고창을 생성하여 검사를 하도록 유도하는 안내창을 확인할 수 있었습니다.


IE를 동작하게 되면 위와 같이 방화벽 기능이 동작하여 해당 프로그램이 사용하려는 인터넷 포트를 허용할지 여부를 묻는 것을 확인할 수 있었습니다.


제품의 삭제는 제어판의 프로그램 추가/삭제 기능에서 [Uninstall Perfect Defender 2009] 항목을 통해 정상적으로 삭제할 수 있습니다.

[PDInstall2009.exe]

Antivirus Version Last Update Result
AhnLab-V3 2008.12.12.0 2008.12.12 -
AntiVir 7.9.0.45 2008.12.12 -
Authentium 5.1.0.4 2008.12.11 -
Avast 4.8.1281.0 2008.12.11 -
AVG 8.0.0.199 2008.12.12 -
BitDefender 7.2 2008.12.12 -
CAT-QuickHeal 10.00 2008.12.11 -
ClamAV 0.94.1 2008.12.12 -
Comodo 733 2008.12.11 -
DrWeb 4.44.0.09170 2008.12.12 -
eSafe 7.0.17.0 2008.12.11 -
eTrust-Vet 31.6.6257 2008.12.12 -
Ewido 4.0 2008.12.11 -
F-Prot 4.4.4.56 2008.12.11 -
F-Secure 8.0.14332.0 2008.12.12 Suspicious:W32/UltimateRAT.21!Gemini
Fortinet 3.117.0.0 2008.12.12 -
GData 19 2008.12.12 -
Ikarus T3.1.1.45.0 2008.12.12 Generic.Win32.Malware.Pernefed
K7AntiVirus 7.10.551 2008.12.11 -
Kaspersky 7.0.0.125 2008.12.12 -
McAfee 5461 2008.12.11 -
McAfee+Artemis 5461 2008.12.11 -
Microsoft 1.4205 2008.12.12 Program:Win32/Pernefed
NOD32 3685 2008.12.12 -
Norman 5.80.02 2008.12.11 -
Panda 9.0.0.4 2008.12.11 Suspicious file
PCTools 4.4.2.0 2008.12.11 -
Prevx1 V2 2008.12.12 -
Rising 21.07.41.00 2008.12.12 -
SecureWeb-Gateway 6.7.6 2008.12.12 -
Sophos 4.36.0 2008.12.12 -
Sunbelt 3.2.1801.2 2008.12.11 -
Symantec 10 2008.12.12 -
TheHacker 6.3.1.2.184 2008.12.11 -
TrendMicro 8.700.0.1004 2008.12.12 -
VBA32 3.12.8.10 2008.12.11 -
ViRobot 2008.12.12.1514 2008.12.12 -
VirusBuster 4.5.11.0 2008.12.11 -
 
Additional information
File size: 7862512 bytes
MD5...: f80cffcd69fd50ab81ee242677dbf96a
SHA1..: 40476709e7d021e11aac5d7d780ccb4edc0b74f4


VirusTotal의 진단에서도 마이크로소프트, 이카루스에서 진단하는 부분을 제외하고는 특별히 해당 제품이 일반적인 허위 보안 제품으로 분류하고 있지는 않는 것 같습니다.

하지만 이런 빈약한 제품을 1년에 $49.95에 결제하시고 사용하시겠습니까?

728x90
반응형
  • 이름 자체가 퍼펙트인가요.
    최근의 전세계적인 경기침체 영향이 소프트웨어 업체들에게도 미치고 있던데
    국내외의 이런 류의 허위보안제품이 살아남을지 걱정(?)입니다. ㅎㅎㅎ

  • 알 수 없는 사용자 2008.12.12 21:11 댓글주소 수정/삭제 댓글쓰기

    글쎄.. 이건 악성코드라고 명확하게 말하기에는 무리가 있을 듯 하네요.. ^^;;
    허위 광고와 ClamAV 엔진을 사용하면서 결제를 유도하는 부분은 악성코드라고 할 수 있겠지만..

    • 그래서 대부분 진단하지 않는 것 같습니다.

      제가 봐도 특별히 문제 삼을 부분도 없고, 삭제도 정상적으로 되더군요.

  • 허위광고에다가 ClamAV 엔진을 사용하면서 결제라~그리고 가만히 보니까 외국에 유명한 comodo사 방화벽 아이콘하고 비슷한 부분도 있는것 같습니다.^.^;

  • 알 수 없는 사용자 2008.12.14 15:13 댓글주소 수정/삭제 댓글쓰기

    The best parasite 다 ㅡㅂㅡㅋㅋㅋ 잘봤어 저두 코모도 생각 나네요 @.@