울지않는벌새 : Security, Movie & Society

V3 365 클리닉 - V3 엔진의 2중 진단

벌새::Security

예전에 안철수연구소(AhnLab) V3 365 클리닉 제품의 진단 방식 중 단일 샘플에 대해 V3 엔진과 스파이제로(SpyZero) 엔진이 서로 다른 진단을 하는 이중적 진단을 살펴 보았습니다.

이번에는 단일 샘플에 대한 V3 엔진[각주:1]이 2중 진단을 하는 부분이 확인이 되어 이 부분에 대해 살펴보도록 하겠습니다.

[테스트 방식]

WebMa 웹 브라우저를 통해 악성코드 링크를 주소창에 입력하여 클릭할 경우 새로운 탭(공백)이 생성되면서 악성코드는 Orbit Downloader 프로그램을 통해 다운로드를 시도하였습니다.


일반적으로 위의 그림과 같이 악성코드 파일을 테스트 방식으로 다운로드 하면 인터넷 임시 폴더에 악성코드 svchost.exe 파일이 기록이 되면서 다운로드 되는 폴더에 동일한 파일이 다운로드 됩니다.

해당 두 폴더에는 동일한 svchost.exe 파일이 기록되므로 진단명도 위와 같이 Win-Trojan/WowHack.74240.C 트로이목마로 진단명이 동일한 것을 확인할 수 있습니다.


하지만 이번에는 다른 악성코드를 다운로드하면서 동일한 파일 skash.exe 파일에 대해 인터넷 임시 폴더에 생성된 파일에 대한 진단명 Win-Trojan/Fraudload.9728과 실제 최종적으로 다운로드 된 파일 Win-Trojan/Wantvi.43520.B의 진단명이 다른 것을 확인할 수 있었습니다.

두 진단명 모두 V3 엔진에서 진단한 부분으로 이전의 스파이제로 진단과는 또 다른 형태임을 알 수 있습니다.

일반적으로 F-Secure 제품과 같이 멀티(다중) 엔진을 사용하는 보안 제품에서 일부 이런 현상이 있을 수 있겠지만 V3 제품의 동일 엔진에서 단일 파일에 대해 2중 진단을 하는 모습은 특이합니다.


추가적인 확인 과정에서도 ksahi.exe 악성코드에 대해 인터넷 임시 폴더의 파일 진단명과 실제 다운로드 진단명이 또 다른 것을 확인할 수 있으며 해당 진단명 역시 인터넷 임시 폴더 진단명은 동일하지만 Win-Trojan/Wantvi.44032 이라는 다운로드 된 파일 진단명이 다른 것으로 보아 특정 진단명의 문제는 아니지 않나 생각이 듭니다.

가장 의심이 되는 부분은 다음과 같습니다.

44,032KB 크기의 악성코드 다운로드 과정에서 인터넷 임시 폴더에 생성된 파일은 9,728KB 크기만 기록이 되면서 우연인지 아닌지는 모르지만 해당 크기 내부에서 타 악성코드로 진단되는 항목과 중복적인 부분이 존재하기에 Win-Trojan/Fraudload.9728 진단명으로 진단이 되고, 최종적인 실제 다운로드된 44,032KB 파일은 Win-Trojan/Wantvi.44032 진단명으로 진단이 되는 것이 아닌가 추정이 됩니다.

인터넷 임시 폴더에 있는 파일에 대해 추가적인 확인을 하지 못한 실수를 하였지만 위와 같이 다운로드 과정상에서 V3 제품이 특이한 진단을 하는 경우가 있으므로 제품의 문제로 오해할 필요는 없을 것으로 보입니다.

단지 테스트 과정이나 제품 사용 과정에서 V3 제품이 인터넷 임시 폴더 내부에서 진단하는 항목에 대해 치료를 전혀 하지 못하는 문제는 수정이 되어야 할 것 같습니다.

저의 경우 램디스크(RamDisk)를 이용하여 인터넷 임시 폴더를 이용하고 있는데 특정 악성코드를 자동으로 다운로드 하는 웹 사이트에 접속시 임시 폴더에 다운로드된 부분에 대해 진단을 하지만 치료를 하지 못하는 메시지만 출력하고 있습니다.

위의 경우에도 실제 치료를 할 경우 다운로드된 파일은 치료하면서 인터넷 임시 폴더에 존재하는 파일은 치료하지 못하는 문제는 확인이 필요해 보입니다.
  1. V3 엔진은 바이러스, 웜, 트로이목마를 전문으로 진단하는 엔진입니다. [본문으로]