본문 바로가기

벌새::Analysis

하우리 오진 - Adware.Neopoint.520704 외 1종 (2009.02.04)

국내 보안업체 하우리(Hauri) 제품의 애드웨어 진단 일부가 오진하는 것을 확인하였습니다.


Adware.Neopoint.520704 (오진)
 - C:\WINDOWS\system32\madCHook.dll

해당 진단명은 국내 스폰서 프로그램 중의 하나인 네오포인트(NeoPoint) 설치시 생성되는 파일로 유추하여 진단하고 있는 것으로 보입니다.


당시 네오포인트 설치시 생성되는 파일 정보에 의하면 %system%\madCHook.dll 파일이 생성되는 것은 맞습니다. 하지만 제 컴퓨터 환경에서는 현재 네오포인트가 설치되어 있지 않은 환경이고 해당 파일은 다른 프로그램으로 인한 생성으로 보이기에 파일명 단순 비교 방식의 진단은 옳은 진단 방식으로 보이지 않습니다.


특히 해당 파일이 PCZet Blue 1.0 분석글에서 보듯이 오해의 소지가 다분한 파일이지만, 국내외 유명 보안업체의 진단에서 단순히 해당 파일 자체를 가지고 진단하지는 않습니다.

Adware.Searchassist (오진)
 - HKEY_LOCAL_MACHINE\SOFTWARE\4Developers\RCrawler

진단 레지스트리 상세 모습



또 다른 오진으로 보이는 레지스트리 항목은 해외 프로그램 Registry Crawler 제품을 진단하고 있습니다.

해당 프로그램은 현재는 더 이상의 업데이트가 이루어지지 않는 것으로 보이지만, 정상적인 레지스트리 서치(Search) 관련 프로그램입니다.

해외 자료를 찾아보아도 해당 진단 위치를 이용한 악성코드 정보를 발견하기 힘들 정도로 유사한 명칭에 따른 오진이 아닐까 추정이 됩니다.

해당 오진에 의해 치료가 진행이 된다면 Registry Crawler 프로그램의 경우 정상적인 동작을 하지 못하는 현상을 겪습니다.

실제 애드웨어(Adware)의 경우 업체의 정책에 따라 차이가 있을 수 있지만 재확인이 필요한 부분이라고 보여집니다.
  • BitDefender 엔진이 파일 이름 비교 방식 진단을 병행하지 않나 싶습니다 . 제 미천한 테스트 경험상 보면 96년도인가 유명하던 BO!Back Orifice인가하는게 있는데 , 이게 15년전 것이니까 진단을 못할 일은 없습니다 .... 워낙 유명했던 것이니 세월 흘렸다고 진단 못할 일도 없고요 ..... 이게 여섯개의 파일로 이루어져 잇는데 V3를 비롯한 거의 모든 유명 백신들이 4개의 파일만 진단하는데 반하여 BitDefender는 이 BO 구성 요소중 다른 백신들이 거의 진단하지 않는 Freeze.exe , Melt.exe를 진단합니다 . (그러므로 알약도 진단합니다 .)현재 비트디펜더 엔진을 몇몇 국내 백신회사가 차용중이라 말하기 조심스럽지만 , 아무래도 검색율을 높이기 위해 BitDefender가 파일 명칭 검사 방식도 넣지 않았나 하는 생각이 드는데 .... 이 판단은 전문가에게 맡겨야 할 듯하고 제가 판단 할 일은 아니라고 보이므로 .....그냥 개인적 의구심만 가지고 있습니다 ..... 그나 저나 V3 Lite의 진단상 취약점을 찾아냈습니다 ^ ^ 빨리 포스팅하러 가야겠습니다 ^ ^

  • 지나가는이 2009.02.04 03:45 댓글주소 수정/삭제 댓글쓰기

    madchook.dll 파일은 공개 API 훅 라이브러리인듯 싶습니다. 그에 대해서도 확인해보시면 어떨런지.

    • 해당 파일이 등록된 레지 정보나 dll 정보를 확인해 보아도 특별히 등록된 정보를 발견하지 못하였습니다.

      어떤 이유로 시스템 폴더에 존재하는지 더 검토를 해 봐야겠습니다.