반응형
국내 보안업체 하우리(Hauri) 제품의 애드웨어 진단 일부가 오진하는 것을 확인하였습니다.
해당 진단명은 국내 스폰서 프로그램 중의 하나인 네오포인트(NeoPoint) 설치시 생성되는 파일로 유추하여 진단하고 있는 것으로 보입니다.
당시 네오포인트 설치시 생성되는 파일 정보에 의하면 %system%\madCHook.dll 파일이 생성되는 것은 맞습니다. 하지만 제 컴퓨터 환경에서는 현재 네오포인트가 설치되어 있지 않은 환경이고 해당 파일은 다른 프로그램으로 인한 생성으로 보이기에 파일명 단순 비교 방식의 진단은 옳은 진단 방식으로 보이지 않습니다.
특히 해당 파일이 PCZet Blue 1.0 분석글에서 보듯이 오해의 소지가 다분한 파일이지만, 국내외 유명 보안업체의 진단에서 단순히 해당 파일 자체를 가지고 진단하지는 않습니다.
또 다른 오진으로 보이는 레지스트리 항목은 해외 프로그램 Registry Crawler 제품을 진단하고 있습니다.
해당 프로그램은 현재는 더 이상의 업데이트가 이루어지지 않는 것으로 보이지만, 정상적인 레지스트리 서치(Search) 관련 프로그램입니다.
해외 자료를 찾아보아도 해당 진단 위치를 이용한 악성코드 정보를 발견하기 힘들 정도로 유사한 명칭에 따른 오진이 아닐까 추정이 됩니다.
해당 오진에 의해 치료가 진행이 된다면 Registry Crawler 프로그램의 경우 정상적인 동작을 하지 못하는 현상을 겪습니다.
실제 애드웨어(Adware)의 경우 업체의 정책에 따라 차이가 있을 수 있지만 재확인이 필요한 부분이라고 보여집니다.
Adware.Neopoint.520704 (오진)
- C:\WINDOWS\system32\madCHook.dll
- C:\WINDOWS\system32\madCHook.dll
해당 진단명은 국내 스폰서 프로그램 중의 하나인 네오포인트(NeoPoint) 설치시 생성되는 파일로 유추하여 진단하고 있는 것으로 보입니다.
당시 네오포인트 설치시 생성되는 파일 정보에 의하면 %system%\madCHook.dll 파일이 생성되는 것은 맞습니다. 하지만 제 컴퓨터 환경에서는 현재 네오포인트가 설치되어 있지 않은 환경이고 해당 파일은 다른 프로그램으로 인한 생성으로 보이기에 파일명 단순 비교 방식의 진단은 옳은 진단 방식으로 보이지 않습니다.
특히 해당 파일이 PCZet Blue 1.0 분석글에서 보듯이 오해의 소지가 다분한 파일이지만, 국내외 유명 보안업체의 진단에서 단순히 해당 파일 자체를 가지고 진단하지는 않습니다.
Adware.Searchassist (오진)
- HKEY_LOCAL_MACHINE\SOFTWARE\4Developers\RCrawler
- HKEY_LOCAL_MACHINE\SOFTWARE\4Developers\RCrawler
진단 레지스트리 상세 모습
또 다른 오진으로 보이는 레지스트리 항목은 해외 프로그램 Registry Crawler 제품을 진단하고 있습니다.
해당 프로그램은 현재는 더 이상의 업데이트가 이루어지지 않는 것으로 보이지만, 정상적인 레지스트리 서치(Search) 관련 프로그램입니다.
해외 자료를 찾아보아도 해당 진단 위치를 이용한 악성코드 정보를 발견하기 힘들 정도로 유사한 명칭에 따른 오진이 아닐까 추정이 됩니다.
해당 오진에 의해 치료가 진행이 된다면 Registry Crawler 프로그램의 경우 정상적인 동작을 하지 못하는 현상을 겪습니다.
실제 애드웨어(Adware)의 경우 업체의 정책에 따라 차이가 있을 수 있지만 재확인이 필요한 부분이라고 보여집니다.
728x90
반응형