본문 바로가기

벌새::Analysis

미뮤(MEmu) 설치 파일을 백신에서 탐지하는 이유 (2021.5.31)

반응형

Windows 운영 체제 환경에서 안드로이드(Android) 앱을 사용할 목적으로 제작된 다양한 에뮬레이터(Emulator) 중 중국(China)에서 제작한 미뮤(MEmu) 프로그램을 많이 사용하는 것으로 보입니다.

 

그런데 일부 안티바이러스 제품 사용자가 공식 사이트에서 MEmu 설치 파일 다운로드를 시도할 경우 탐지가 발생하는 경우가 있다는 글이 있어서 확인을 해보았습니다.

 

ESET Internet Security 진단 모습 : MSIL/DotSetupIo.A Potentially Unwanted

ESET 프로그램을 통해 설치 파일(SHA-1 : 701971d064d1590397ec9cb99c7c5cb82915b849 / 디지털 서명 : Shanghai Microvirt Software Technology Co.,Ltd.)을 다운로드하는 과정에서 MSIL/DotSetupIo.A Potentially Unwanted (잠재적으로 원치않는 애플리케이션) 진단명으로 탐지되는 것을 확인할 수 있었으며, 그 외에도 PUP.Optional.DotSetupIo.BundleInstaller (Malwarebytes), PUA:Win32/Presenoker (Microsoft) 진단명을 사용하는 백신들이 존재합니다.

 

MEmu Play 설치 화면

실제로 설치를 통해 확인을 해보면 설치 단계에서 "dotSetup License" 안내 링크가 포함되어 있으며, 이는 MEmu Play 인스톨러가 dotSetup 프로그램을 사용하고 있다는 의미입니다.

 

Memu Play 제휴 프로그램 (1)
Memu Play 제휴 프로그램 (2)

Memu Play 프로그램 설치 단계 중에는 최대 2개의 제휴 프로그램이 포함되어 있으며, 테스트 당시에는 안티바이러스 앱(Antivirus-App)으로 구분되어 있는 제휴 프로그램이 노출되고 있었으며, Avast Free Antivirus, AVG AntiVirus Free, CCleaner, RAV Antivirus 프로그램이 노출되어 설치 여부를 결정하도록 구성되어 있습니다.

 

또한 일부 백신 프로그램에서는 바로 이 부분으로 인해 탐지가 발생하는데, 이유는 DotSetup 인스톨러 프로그램을 이용하여 프로그램을 배포하는 과정에서 다수의 악성 제휴 프로그램을 추가하는 경향이 높기 때문에 일괄적으로 진단이 추가된 것으로 보입니다. 특히 DotSetup 인스톨러 자체가 오픈 소스로 제작되어 누구나 이용할 수 있다보니 악용 소지가 많은 것으로 보입니다.

 

그러므로 해당 제휴 프로그램 표시 단계에서 사용자가 "DECLINE (거부)" 또는 "SKIP ALL (전체 건너뛰기)"를 선택하시고 진행하신다면 관련 제휴 프로그램은 설치되지 않습니다.

 

Avast 제휴 프로그램 설치 정보

만약 사용자가 Avast 제휴 프로그램을 선택하여 설치를 허용할 경우 서버로부터 ZIP 압축 파일로 설치 파일을 추가 다운로드하여 설치를 진행하도록 제작되어 있는 것을 알 수 있습니다.

 

MEmu Play 실행 모습

사용자가 MEmu Play 설치가 완료된 후 실행할 경우 추가적인 제휴 프로그램 설치없이 이용할 수 있지만, 만약 설치 단계에서 제휴 프로그램을 선택한다면 백그라운드 방식으로 추가 설치가 진행되어 화면에 표시되지 않고 제휴 프로그램이 자동 설치되는 문제가 발생할 수 있습니다.

 

또한 MEmu Play 프로그램에서는 검증된 제휴 프로그램을 설치하겠지만 다른 프로그램 중 DotSetup 인스톨러를 통해 제휴 프로그램 설치를 유도할 경우 PC 사용에 상당한 불편을 유발할 수 있는 프로그램들을 설치할 수 있다는 점을 명심하시기 바랍니다.

반응형