본문 바로가기

벌새::Analysis

설치가 안되는 Total Protect 2009 진단

반응형


해외에서 배포되는 악성코드 치료 프로그램(가짜 백신) 중 Total Protect 2009 제품이 있습니다.

해외 배포 사이트에서 현재 시간 배포하는 설치 파일(MD5 : E565D2537DAD8E15060B5BC68000F630)을 이용하여 국내외 보안 제품의 진단 상황과 실제 설치에서의 문제점을 살펴보겠습니다.

[Total Protect 2009 설치 파일 진단 상황]

Antivirus Version Last Update Result
a-squared 4.0.0.93 2009.02.09 Generic.Win32.Malware!IK
AhnLab-V3 5.0.0.2 2009.02.09 -
AntiVir 7.9.0.76 2009.02.09 TR/Dropper.Gen
Authentium 5.1.0.4 2009.02.08 -
Avast 4.8.1335.0 2009.02.08 Win32:Trojan-gen {Other}
AVG 8.0.0.229 2009.02.08 Generic12.AQEZ
BitDefender 7.2 2009.02.09 Trojan.Generic.1343369
CAT-QuickHeal 10.00 2009.02.09 FraudTool.Agent.gk (Not a Virus)
ClamAV 0.94.1 2009.02.09 -
Comodo 971 2009.02.08 -
DrWeb 4.44.0.09170 2009.02.09 BACKDOOR.Trojan
eSafe 7.0.17.0 2009.02.08 Win32.FakeAlert.ab
eTrust-Vet 31.6.6346 2009.02.07 -
F-Prot 4.4.4.56 2009.02.08 -
F-Secure 8.0.14470.0 2009.02.09 FraudTool.Win32.Agent.gk
Fortinet 3.117.0.0 2009.02.09 W32/FakeAlert.AB!tr
GData 19 2009.02.09 Trojan.Generic.1343369
Ikarus T3.1.1.45.0 2009.02.09 Generic.Win32.Malware
K7AntiVirus 7.10.623 2009.02.07 not-a-virus:FraudTool.Win32.Agent.gk
Kaspersky 7.0.0.125 2009.02.09 not-a-virus:FraudTool.Win32.Agent.gk
McAfee 5520 2009.02.08 FakeAlert-AB
McAfee+Artemis 5520 2009.02.08 Generic!Artemis
Microsoft 1.4306 2009.02.09 Program:Win32/PCProtectionCenter
NOD32 3837 2009.02.08 probably a variant of Win32/Genetik
Norman 6.00.02 2009.02.06 -
nProtect 2009.1.8.0 2009.02.09 -
Panda 9.5.1.2 2009.02.08 Adware/TotalProtect2009
PCTools 4.4.2.0 2009.02.08 -
Prevx1 V2 2009.02.09 Malicious Software
Rising 21.15.50.00 2009.02.07 -
SecureWeb-Gateway 6.7.6 2009.02.09 Trojan.Dropper.Gen
Sophos 4.38.0 2009.02.09 Mal/Generic-A
Sunbelt 3.2.1847.2 2009.02.07 Trojan.Win32.Agent.gk
Symantec 10 2009.02.09 Downloader.MisleadApp
TheHacker 6.3.1.5.250 2009.02.09 Aplicacion/Agent.gk
TrendMicro 8.700.0.1004 2009.02.09 -
VBA32 3.12.8.12 2009.02.08 suspected of Malware.VB.31 (paranoid heuristics)
ViRobot 2009.2.9.1595 2009.02.09 Adware.Agent.R.805152
VirusBuster 4.5.11.0 2009.02.08 -
Additional information
File size: 805152 bytes
MD5...: e565d2537dad8e15060b5bc68000f630
SHA1..: cab9b5839627152a1f8b9829005949968d408d51


바이러스토탈(VirusTotal)에 등록되어 있는 제품의 약 70%가 해당 프로그램에 대해 진단을 하고 있는 상태입니다.

실제 해당 설치 파일을 SunBelt CWSandbox 등 가상 자동화 프로그램에 등록하여 분석을 요청할 경우 설치에 따른 다양한 정보를 제공하고 있습니다.


그런데 안철수연구소(AhnLab)에 해당 파일을 2월 5일경에 문의하였을 당시 분석 결과는 정상적인 파일로 악성코드로 분류하지 않고 있습니다.

그렇다면 어느 쪽이 진실인지 확인해 보도록 하겠습니다.(테스트를 위해 2대의 다른 환경의 컴퓨터에서 학인을 하였습니다.)


초기 설치 과정은 정상적으로 진행이 되고 이용약관 확인 과정을 거친 후 실제 설치되는 과정에서 다음과 같은 메시지를 확인할 수 있었습니다.


%System%\vbzlib2.dll 파일을 쓰는 과정에서 관리자 허용이 필요하다는 메시지와 함께 설치 실패를 하며 오류를 일으키고 있습니다.


비록 오류가 생겼지만 위의 그림과 같이 일부 설치된 파일이 존재합니다.

이제 설치된 vbzlib2.dll 파일을 비교해 보겠습니다.

[가상환경에서 정상적으로 분석된 경우 - vbzlib2.dll]

파일 크기 : 35,328 bytes
MD5 : 5F1C537DB726DDD3F78C5DF05D657BC9

[실제 테스트에서 생성된 경우 - vbzlib2.dll]

파일 크기 : 39.918 bytes
MD5 : AB4EF7E2E4169DFC44148C0288F47494

보시는 것처럼 소위 깨진 파일이 생성된 것을 확인할 수 있습니다.

2대의 환경에서 동일하게 관리자 권한이 허용되지 않아 실제로 설치가 실패하는 파일을 수많은 보안 제품이 진단하는 것은 어떤 경우를 통해 설치에 성공하여 분석이 이루어졌는지 모르겠으며, 안철수연구소는 왜 분석이 안되었는지도 모르겠습니다.

실제 설치가 이루어지지 않는 파일을 진단하는 것은 과잉 진단이 아닐까 조심스럽게 생각해 봅니다.


* 테스트를 도와준 글리터양에게 감사를 드립니다.
728x90
반응형