본문 바로가기

벌새::Security

스크래핑 설치 파일(NXiSAS.exe) 악성코드 탐지 문제 (2020.4.19)

최근 금융권, 공공 기관 서비스를 이용할 경우 설치를 요구할 수 있는 스크래핑 프로그램의 설치 파일에 대하여 다수의 백신 프로그램에서 탐지하는 문제가 확인되고 있습니다.

스크래핑 프로그램 등록명 예시

참고로 스크래핑 프로그램은 이용자가 요청한 정보를 조회 및 자료 전송 기능을 제공한다고 안내되고 있으며, 설치된 프로그램의 이름은 배포처와 버전에 따라 다를 수 있지만 "NXISAS 2019.4.18.0" 이름으로 등록됩니다.

Windows Defender 탐지 모습

예를 들어 Windows Defender 백신 사용자가 스크래핑 설치 파일(SHA-1 : 2f3cf89ce68c6997ca66be3a9f7776fe57305795 / 디지털 서명 : COOCON Co., Ltd.)을 다운로드하여 PC에 저장할 경우 Trojan:Win32/Occamy.AA 진단명으로 탐지되는 모습을 확인할 수 있습니다.

VirusTotal 검사 결과

참고로 VirusTotal 검사 결과에서는 BitDefender : Trojan.GenericKD.33663001, Kaspersky : HEUR:Trojan-Banker.Win32.Banbra.gen 백신 프로그램 등이 악성 파일로 탐지하고 있는 모습을 확인할 수 있습니다.

그러므로 금융권 또는 공공 기관 이용 시 필수적으로 설치되는 솔루션 중에서 백신 프로그램에서 탐지가 발생할 경우에는 탐지된 파일의 디지털 서명이 유효한지 확인하시고 특별한 문제가 없다고 백신 실시간 보호 기능을 임시로 OFF하시고 설치를 진행하는 것도 방법입니다.

해당 탐지가 언제부터 발생하였는지 알 수 없지만 이 부분은 스크래핑 프로그램 제작사에서 확인하여 탐지되지 않도록 개선이 필요해 보입니다.

  • 이정도는 프로그램 만든 회사 에서 보안업체 측에 설명 을 담아 연락해야될듯합니다.일단 시만텍 쪽은 개인적으로 오진 신고 해봐야겠습니다.

    • 네~ 실제 설치되어 생성된 파일은 탐지가 거의 없는데 설치 파일만 저런걸 보면 뭔가 패커 문제인지 제작사에서 빨리 처리를 해줘야 할 것 같습니다.