반응형
해외에서 제작된 컴퓨터 흔적 삭제, 성능 향상 프로그램 AlphaWipe Tracks Cleaner 2008 프로그램에 대해 살펴보도록 하겠습니다.
이 프로그램을 검토하는 이유는 현재 국내외 일부 보안 제품에서 과거 유포되던 가짜 백신 AntiSpywareSoldier 변종 또는 애드웨어(Adware)로 진단을 하고 있기 때문입니다.
현재 제품에 대한 진단 상태를 확인하는 과정에서 이미 VirusTotal에서는 2008년 하반기에 등록된 것을 확인할 수 있었습니다. 진단명을 보시면 Kaspersky 엔진에서 사용하는 진단명 AntiSpywareSoldier.e 또는 Avast 엔진 진단명으로 인한 자동 진단 추가가 의심이 되고 있습니다.
특히 하우리 제품과 같은 경우에는 설치 파일만 진단하여 분석시 파일을 실행하여 추가하지 않았을 수도 있습니다.
실제 해당 제품의 설치와 삭제를 통해 자세히 알아보도록 하겠습니다.
제품이 설치된 후 생성된 폴더와 파일 정보입니다.
제품은 일반적인 IE 관련 흔적 삭제, 민감한 파일 삭제, 각종 응용 프로그램 흔적 삭제, 플러그인을 통한 지원 등으로 구성되어 있습니다.
일단 위에서 살펴본 보안 제품에서 진단하는 가짜 백신 AntiSpywareSoldier (Symantec 기준 : 2007년 5월경 유포)와의 연관성은 찾아볼 수 없었습니다.
단지 악성코드 AntiSpywareSoldier가 설치된 경우 이 제품의 설치 폴더내 폴더 및 파일 구조가 유사성을 가지는 것은 사실로 보입니다.
어느 프로그램이나 유사성은 존재할 수 있지만, 개인적인 생각으로는 해당 프로그램 제작사가 과거 악성코드를 제작하여 배포한 전력이 있지 않았나 강하게 추정이 됩니다.
그런 이유는 다음과 같습니다.
해당 업체 도메인을 확인하던 중 동일 아이피(IP)에서 운영되는 또 다른 사이트가 있는 것이 확인이 되었습니다.
Trace Sweeper라는 유사한 프로그램을 제작하여 배포를 하고 있지만 전형적인 악성코드 진단을 국내외 보안제품이 진단을 하고 있습니다.(안철수연구소 상세 진단 내용)
위에서 먼저 언급한 이전의 악성코드 유포 전력이 아마 맞아떨어지는 부분으로 보입니다.
다시 AlphaWipe Tracks Cleaner 2008 제품으로 돌아와서 제품의 삭제를 살펴보도록 하겠습니다.
제품의 삭제는 제어판의 프로그램 추가/제거 목록의 [AlphaWipe Tracks Cleaner 2008] 항목을 찾아 삭제를 하시면 정상적으로 삭제할 수 있습니다.
제품의 삭제가 완료됨과 동시에 제품에 대한 피드백(Feedback)을 위한 IE 창이 열리는 것을 확인할 수 있었습니다.
비록 동일한 제작사에서 악성코드를 배포하고 있지만 해당 제품은 설치와 삭제 과정에서 어떠한 악의적인 행동을 하는 것을 확인할 수 없었기 때문에 해당 제품에 대한 일부 보안 제품의 진단은 오진으로 봐야하지 않을까 생각됩니다.
이전에 제품이 악의적인 행동을 하다가 수정이 되었을 가능성도 존재하지만 이런 부분에 대한 진단업체의 재확인도 필요한 것 같습니다.
이 프로그램을 검토하는 이유는 현재 국내외 일부 보안 제품에서 과거 유포되던 가짜 백신 AntiSpywareSoldier 변종 또는 애드웨어(Adware)로 진단을 하고 있기 때문입니다.
[AlphaWipe Tracks Cleaner 2008 설치 파일]
a-squared;4.0.0.93;2009.02.05;Riskware.FraudTool.Win32.AntiSpywareSoldier.e!A2
Avast;4.8.1281.0;2009.02.04;Win32:Spyware-gen
F-Secure;8.0.14470.0;2009.02.05;FraudTool.Win32.AntiSpywareSoldier.e
Fortinet;3.117.0.0;2009.02.05;Misc/AntiSpywareSoldier
GData;19;2009.02.05;Win32:Spyware-gen
K7AntiVirus;7.10.618;2009.02.04;not-a-virus:FraudTool.Win32.AntiSpywareSoldier.e
Kaspersky;7.0.0.125;2009.02.05;not-a-virus:FraudTool.Win32.AntiSpywareSoldier.e
NOD32;3829;2009.02.05;Win32/Adware.AlphaWipe
Sunbelt;3.2.1835.2;2009.01.16;AntiSpyware Soldier
ViRobot;2009.2.5.1591;2009.02.05;Adware.AntiSpywareSoldier.R.1113882
Additional information
File size: 1113882 bytes
MD5...: 0fa4e66853210b00911193a2110f6fc7
SHA1..: 59f0416a1c2ac55f5446b194b5737e63a89d52e4
* 붉은색은 설치 파일만 진단하고 실제 설치가 되었을 경우 진단하지 않는 제품입니다.
[AlphaWipe Tracks Cleaner 2008 실행 파일]
a-squared;4.0.0.93;2009.02.05;Virus.Win32.Spyware!IK
Avast;4.8.1281.0;2009.02.04;Win32:Spyware-gen
Comodo;965;2009.02.05;Application.Win32.Adware.AlphaWipe
F-Secure;8.0.14470.0;2009.02.05;FraudTool.Win32.AntiSpywareSoldier.e
GData;19;2009.02.05;Win32:Spyware-gen
Ikarus;T3.1.1.45.0;2009.02.05;Virus.Win32.Spyware
K7AntiVirus;7.10.618;2009.02.04;not-a-virus:FraudTool.Win32.AntiSpywareSoldier.e
Kaspersky;7.0.0.125;2009.02.05;not-a-virus:FraudTool.Win32.AntiSpywareSoldier.e
NOD32;3829;2009.02.05;Win32/Adware.AlphaWipe
nProtect;2009.1.8.0;2009.02.05;Spyware.2039
Prevx1;V2;2009.02.05;Malicious Software
TheHacker;6.3.1.5.247;2009.02.05;Aplicacion/AntiSpywareSoldier.e
Additional information
File size: 1901568 bytes
MD5...: 75040bbc9601d9b2607c7d98997887c9
SHA1..: 48d83cf3be34ca8c4afbc8fde79692c3653c6fcf
* 푸른색은 설치 파일 단위에서 진단하지 않고, 실행 파일을 진단하는 제품입니다. 즉, 설치가 되었을 경우에만 진단하는 제품입니다.
a-squared;4.0.0.93;2009.02.05;Riskware.FraudTool.Win32.AntiSpywareSoldier.e!A2
Avast;4.8.1281.0;2009.02.04;Win32:Spyware-gen
F-Secure;8.0.14470.0;2009.02.05;FraudTool.Win32.AntiSpywareSoldier.e
Fortinet;3.117.0.0;2009.02.05;Misc/AntiSpywareSoldier
GData;19;2009.02.05;Win32:Spyware-gen
K7AntiVirus;7.10.618;2009.02.04;not-a-virus:FraudTool.Win32.AntiSpywareSoldier.e
Kaspersky;7.0.0.125;2009.02.05;not-a-virus:FraudTool.Win32.AntiSpywareSoldier.e
NOD32;3829;2009.02.05;Win32/Adware.AlphaWipe
Sunbelt;3.2.1835.2;2009.01.16;AntiSpyware Soldier
ViRobot;2009.2.5.1591;2009.02.05;Adware.AntiSpywareSoldier.R.1113882
Additional information
File size: 1113882 bytes
MD5...: 0fa4e66853210b00911193a2110f6fc7
SHA1..: 59f0416a1c2ac55f5446b194b5737e63a89d52e4
* 붉은색은 설치 파일만 진단하고 실제 설치가 되었을 경우 진단하지 않는 제품입니다.
[AlphaWipe Tracks Cleaner 2008 실행 파일]
a-squared;4.0.0.93;2009.02.05;Virus.Win32.Spyware!IK
Avast;4.8.1281.0;2009.02.04;Win32:Spyware-gen
Comodo;965;2009.02.05;Application.Win32.Adware.AlphaWipe
F-Secure;8.0.14470.0;2009.02.05;FraudTool.Win32.AntiSpywareSoldier.e
GData;19;2009.02.05;Win32:Spyware-gen
Ikarus;T3.1.1.45.0;2009.02.05;Virus.Win32.Spyware
K7AntiVirus;7.10.618;2009.02.04;not-a-virus:FraudTool.Win32.AntiSpywareSoldier.e
Kaspersky;7.0.0.125;2009.02.05;not-a-virus:FraudTool.Win32.AntiSpywareSoldier.e
NOD32;3829;2009.02.05;Win32/Adware.AlphaWipe
nProtect;2009.1.8.0;2009.02.05;Spyware.2039
Prevx1;V2;2009.02.05;Malicious Software
TheHacker;6.3.1.5.247;2009.02.05;Aplicacion/AntiSpywareSoldier.e
Additional information
File size: 1901568 bytes
MD5...: 75040bbc9601d9b2607c7d98997887c9
SHA1..: 48d83cf3be34ca8c4afbc8fde79692c3653c6fcf
* 푸른색은 설치 파일 단위에서 진단하지 않고, 실행 파일을 진단하는 제품입니다. 즉, 설치가 되었을 경우에만 진단하는 제품입니다.
현재 제품에 대한 진단 상태를 확인하는 과정에서 이미 VirusTotal에서는 2008년 하반기에 등록된 것을 확인할 수 있었습니다. 진단명을 보시면 Kaspersky 엔진에서 사용하는 진단명 AntiSpywareSoldier.e 또는 Avast 엔진 진단명으로 인한 자동 진단 추가가 의심이 되고 있습니다.
특히 하우리 제품과 같은 경우에는 설치 파일만 진단하여 분석시 파일을 실행하여 추가하지 않았을 수도 있습니다.
실제 해당 제품의 설치와 삭제를 통해 자세히 알아보도록 하겠습니다.
제품이 설치된 후 생성된 폴더와 파일 정보입니다.
012
제품은 일반적인 IE 관련 흔적 삭제, 민감한 파일 삭제, 각종 응용 프로그램 흔적 삭제, 플러그인을 통한 지원 등으로 구성되어 있습니다.
일단 위에서 살펴본 보안 제품에서 진단하는 가짜 백신 AntiSpywareSoldier (Symantec 기준 : 2007년 5월경 유포)와의 연관성은 찾아볼 수 없었습니다.
단지 악성코드 AntiSpywareSoldier가 설치된 경우 이 제품의 설치 폴더내 폴더 및 파일 구조가 유사성을 가지는 것은 사실로 보입니다.
[AntiSpywareSoldier 설치 폴더와 파일 정보 일부]
%ProgramFiles%\Antispyware Soldier\interface\English.lng
%ProgramFiles%\Antispyware Soldier\sounds\crit.wav
%ProgramFiles%\Antispyware Soldier\antispysoldier.exe
%ProgramFiles%\Antispyware Soldier\antispysoldier.url
%ProgramFiles%\Antispyware Soldier\bz.dll
%ProgramFiles%\Antispyware Soldier\pkill.exe
%ProgramFiles%\Antispyware Soldier\unins000.dat
%ProgramFiles%\Antispyware Soldier\unins000.exe
어느 프로그램이나 유사성은 존재할 수 있지만, 개인적인 생각으로는 해당 프로그램 제작사가 과거 악성코드를 제작하여 배포한 전력이 있지 않았나 강하게 추정이 됩니다.
그런 이유는 다음과 같습니다.
해당 업체 도메인을 확인하던 중 동일 아이피(IP)에서 운영되는 또 다른 사이트가 있는 것이 확인이 되었습니다.
[Trace Sweeper 설치 파일]
| Antivirus | Version | Last Update | Result |
| a-squared | 4.0.0.93 | 2009.02.05 | Trojan.Generic!IK |
| AhnLab-V3 | 5.0.0.2 | 2009.02.05 | (SpyZero) Win-Dropper/Rogue.TraceSweeper.805287 |
| AntiVir | 7.9.0.74 | 2009.02.05 | DR/Fraud.TraceSweeper.A |
| Authentium | 5.1.0.4 | 2009.02.04 | - |
| Avast | 4.8.1281.0 | 2009.02.04 | Win32:Trojan-gen {Other} |
| AVG | 8.0.0.229 | 2009.02.04 | Fake_AntiSpyware.ZX |
| BitDefender | 7.2 | 2009.02.05 | Trojan.Generic.1016748 |
| CAT-QuickHeal | 10.00 | 2009.02.05 | - |
| ClamAV | 0.94.1 | 2009.02.05 | - |
| Comodo | 965 | 2009.02.05 | Application.Win32.FraudTool.TraceSweeper.~A |
| DrWeb | 4.44.0.09170 | 2009.02.05 | - |
| eSafe | 7.0.17.0 | 2009.02.04 | - |
| eTrust-Vet | 31.6.6343 | 2009.02.05 | - |
| F-Prot | 4.4.4.56 | 2009.02.04 | - |
| F-Secure | 8.0.14470.0 | 2009.02.05 | FraudTool.Win32.TraceSweeper.a |
| Fortinet | 3.117.0.0 | 2009.02.05 | Misc/TraceSweeper |
| GData | 19 | 2009.02.05 | Trojan.Generic.1016748 |
| Ikarus | T3.1.1.45.0 | 2009.02.05 | Trojan.Generic |
| K7AntiVirus | 7.10.618 | 2009.02.04 | - |
| Kaspersky | 7.0.0.125 | 2009.02.05 | not-a-virus:FraudTool.Win32.TraceSweeper.a |
| McAfee | 5516 | 2009.02.04 | Generic.dx |
| McAfee+Artemis | 5516 | 2009.02.04 | Generic.dx |
| Microsoft | 1.4306 | 2009.02.05 | - |
| NOD32 | 3829 | 2009.02.05 | - |
| Norman | 6.00.02 | 2009.02.04 | - |
| nProtect | 2009.1.8.0 | 2009.02.05 | - |
| Panda | 9.5.1.2 | 2009.02.04 | Generic Malware |
| PCTools | 4.4.2.0 | 2009.02.05 | - |
| Prevx1 | V2 | 2009.02.05 | Worm |
| Rising | 21.15.30.00 | 2009.02.05 | - |
| SecureWeb-Gateway | 6.7.6 | 2009.02.05 | Trojan.Dropper.Fraud.TraceSweeper.A |
| Sophos | 4.38.0 | 2009.02.05 | - |
| Sunbelt | 3.2.1835.2 | 2009.01.16 | FraudTool.Win32.TraceSweeper.a |
| Symantec | 10 | 2009.02.05 | TraceSweeper |
| TheHacker | 6.3.1.5.247 | 2009.02.05 | - |
| TrendMicro | 8.700.0.1004 | 2009.02.05 | - |
| VBA32 | 3.12.8.12 | 2009.02.04 | - |
| ViRobot | 2009.2.5.1591 | 2009.02.05 | Adware.TraceSweeper.R.805287 |
| VirusBuster | 4.5.11.0 | 2009.02.04 | - |
| Additional information | |||
| File size: 805287 bytes | |||
| MD5...: d4322bdc6b16f7bc267fa2137265869d | |||
| SHA1..: 8729441d71c0e8ad689d47931b8d0733fb5e88d1 | |||
Trace Sweeper라는 유사한 프로그램을 제작하여 배포를 하고 있지만 전형적인 악성코드 진단을 국내외 보안제품이 진단을 하고 있습니다.(안철수연구소 상세 진단 내용)
위에서 먼저 언급한 이전의 악성코드 유포 전력이 아마 맞아떨어지는 부분으로 보입니다.
다시 AlphaWipe Tracks Cleaner 2008 제품으로 돌아와서 제품의 삭제를 살펴보도록 하겠습니다.
제품의 삭제는 제어판의 프로그램 추가/제거 목록의 [AlphaWipe Tracks Cleaner 2008] 항목을 찾아 삭제를 하시면 정상적으로 삭제할 수 있습니다.
제품의 삭제가 완료됨과 동시에 제품에 대한 피드백(Feedback)을 위한 IE 창이 열리는 것을 확인할 수 있었습니다.
비록 동일한 제작사에서 악성코드를 배포하고 있지만 해당 제품은 설치와 삭제 과정에서 어떠한 악의적인 행동을 하는 것을 확인할 수 없었기 때문에 해당 제품에 대한 일부 보안 제품의 진단은 오진으로 봐야하지 않을까 생각됩니다.
이전에 제품이 악의적인 행동을 하다가 수정이 되었을 가능성도 존재하지만 이런 부분에 대한 진단업체의 재확인도 필요한 것 같습니다.
728x90
반응형