울지않는벌새 : Security, Movie & Society

AhnLab SpyZero 오진 - Win-Spyware/Crabton

벌새::Analysis

해외 무료 다운로드 프로그램 Orbit Downloader 제품의 최신 버전 2.8.2를 설치하여 동작하는 과정에서 안철수연구소(AhnLab) SpyZero 엔진이 특정 항목에 대해 Win-Spyware/Crabton 진단을 하는 것을 확인하였습니다.

해당 진단명은 2005년 7월 경에 추가된 진단으로 IE의 설정을 변경하는 악성코드로 추정됩니다.


[Win-Spyware/Crabton]

C:\WINDOWS\system32\Software\Mozilla\Mozilla Firefox\Main\searchplugins\orbitsearch.xml

해당 진단에 대해 자세히 살펴보기 위해 설치 과정을 살펴보겠습니다.


설치 중 Grab Pro, Orbit Downloader 시작 페이지 설정 항목은 모두 체크 해제를 한 상태에서 설치를 진행하였습니다.


설치 후 진단되는 경로(C:\WINDOWS\system32\Software\Mozilla\Mozilla Firefox\Main\searchplugins\orbitsearch.xml
)를 실제 확인해보면 해당 폴더는 존재하지 않습니다.(안철수연구소 제품이 사전 차단하는 부분을 감안하여 보안 제품을 OFF한 상태에서 설치를 하였습니다.)

경로 상에서는 Mozilla Firefox 관련 폴더를 가리키고 있지만 실제 사용자 컴퓨터에서 Firefox가 설치되어 있지 않기 때문에 다른 환경에서는 생성될 수 있을지도 모릅니다.


문제의 orbitsearch.xml 파일은 실제로는 Orbit Downloader 프로그램이 설치된 폴더에 존재하고 있습니다. 해당 파일은 바이러스 토탈(VirusTotal)에서 진단되는 제품은 없습니다.

이제 다른 각도에서 살펴보겠습니다.


이 프로그램을 사용하면서 느낀 문제점 중에는 프로그램을 설치한 상태에서 일부 옵션을 조정하고 업데이트를 할 경우 자동으로 윈도우 시작시 실행되도록 체크가 설정된다는 점입니다.

옵션 중 기타 항목에 체크되어 있는 Orbit Search (Powered by Google) 체크 부분은 이전 버전에서 존재한 옵션으로 이번 진단과 관계가 있어 보입니다.

실제로 해당 프로그램을 설치하면 자동으로 해당 옵션이 체크되어 IE 검색 공급자에 해당 Orbit Search 항목이 추가되는 것을 확인할 수 있습니다.


사용자가 이전에 설정한 기본 검색 공급자를 해당 프로그램이 자동으로 변경하여 IE를 동작하면 변경할지를 묻는 화면이 생성되는 것을 확인할 수 있습니다.

이 부분에 대해 스파이제로(SpyZero) 엔진이 진단했는지는 모르겠지만 해당 기능은 이미 이전 버전부터 있었고(이전 버전을 설치할 경우 진단되지 않았습니다.), 진단된 진단명 역시 오래전에 추가된 것으로 보아 오진이 아닌가 생각됩니다.

현재 안철수연구소에 해당 진단에 대해 문의를 한 상태입니다.