728x90
반응형
해외에서 배포되는 악성코드 치료 프로그램(가짜 백신) 중 Total Protect 2009 제품이 있습니다.
해외 배포 사이트에서 현재 시간 배포하는 설치 파일(MD5 : E565D2537DAD8E15060B5BC68000F630)을 이용하여 국내외 보안 제품의 진단 상황과 실제 설치에서의 문제점을 살펴보겠습니다.
[Total Protect 2009 설치 파일 진단 상황]
| Antivirus | Version | Last Update | Result |
| a-squared | 4.0.0.93 | 2009.02.09 | Generic.Win32.Malware!IK |
| AhnLab-V3 | 5.0.0.2 | 2009.02.09 | - |
| AntiVir | 7.9.0.76 | 2009.02.09 | TR/Dropper.Gen |
| Authentium | 5.1.0.4 | 2009.02.08 | - |
| Avast | 4.8.1335.0 | 2009.02.08 | Win32:Trojan-gen {Other} |
| AVG | 8.0.0.229 | 2009.02.08 | Generic12.AQEZ |
| BitDefender | 7.2 | 2009.02.09 | Trojan.Generic.1343369 |
| CAT-QuickHeal | 10.00 | 2009.02.09 | FraudTool.Agent.gk (Not a Virus) |
| ClamAV | 0.94.1 | 2009.02.09 | - |
| Comodo | 971 | 2009.02.08 | - |
| DrWeb | 4.44.0.09170 | 2009.02.09 | BACKDOOR.Trojan |
| eSafe | 7.0.17.0 | 2009.02.08 | Win32.FakeAlert.ab |
| eTrust-Vet | 31.6.6346 | 2009.02.07 | - |
| F-Prot | 4.4.4.56 | 2009.02.08 | - |
| F-Secure | 8.0.14470.0 | 2009.02.09 | FraudTool.Win32.Agent.gk |
| Fortinet | 3.117.0.0 | 2009.02.09 | W32/FakeAlert.AB!tr |
| GData | 19 | 2009.02.09 | Trojan.Generic.1343369 |
| Ikarus | T3.1.1.45.0 | 2009.02.09 | Generic.Win32.Malware |
| K7AntiVirus | 7.10.623 | 2009.02.07 | not-a-virus:FraudTool.Win32.Agent.gk |
| Kaspersky | 7.0.0.125 | 2009.02.09 | not-a-virus:FraudTool.Win32.Agent.gk |
| McAfee | 5520 | 2009.02.08 | FakeAlert-AB |
| McAfee+Artemis | 5520 | 2009.02.08 | Generic!Artemis |
| Microsoft | 1.4306 | 2009.02.09 | Program:Win32/PCProtectionCenter |
| NOD32 | 3837 | 2009.02.08 | probably a variant of Win32/Genetik |
| Norman | 6.00.02 | 2009.02.06 | - |
| nProtect | 2009.1.8.0 | 2009.02.09 | - |
| Panda | 9.5.1.2 | 2009.02.08 | Adware/TotalProtect2009 |
| PCTools | 4.4.2.0 | 2009.02.08 | - |
| Prevx1 | V2 | 2009.02.09 | Malicious Software |
| Rising | 21.15.50.00 | 2009.02.07 | - |
| SecureWeb-Gateway | 6.7.6 | 2009.02.09 | Trojan.Dropper.Gen |
| Sophos | 4.38.0 | 2009.02.09 | Mal/Generic-A |
| Sunbelt | 3.2.1847.2 | 2009.02.07 | Trojan.Win32.Agent.gk |
| Symantec | 10 | 2009.02.09 | Downloader.MisleadApp |
| TheHacker | 6.3.1.5.250 | 2009.02.09 | Aplicacion/Agent.gk |
| TrendMicro | 8.700.0.1004 | 2009.02.09 | - |
| VBA32 | 3.12.8.12 | 2009.02.08 | suspected of Malware.VB.31 (paranoid heuristics) |
| ViRobot | 2009.2.9.1595 | 2009.02.09 | Adware.Agent.R.805152 |
| VirusBuster | 4.5.11.0 | 2009.02.08 | - |
| Additional information | |||
| File size: 805152 bytes | |||
| MD5...: e565d2537dad8e15060b5bc68000f630 | |||
| SHA1..: cab9b5839627152a1f8b9829005949968d408d51 | |||
바이러스토탈(VirusTotal)에 등록되어 있는 제품의 약 70%가 해당 프로그램에 대해 진단을 하고 있는 상태입니다.
실제 해당 설치 파일을 SunBelt CWSandbox 등 가상 자동화 프로그램에 등록하여 분석을 요청할 경우 설치에 따른 다양한 정보를 제공하고 있습니다.
그런데 안철수연구소(AhnLab)에 해당 파일을 2월 5일경에 문의하였을 당시 분석 결과는 정상적인 파일로 악성코드로 분류하지 않고 있습니다.
그렇다면 어느 쪽이 진실인지 확인해 보도록 하겠습니다.(테스트를 위해 2대의 다른 환경의 컴퓨터에서 학인을 하였습니다.)
초기 설치 과정은 정상적으로 진행이 되고 이용약관 확인 과정을 거친 후 실제 설치되는 과정에서 다음과 같은 메시지를 확인할 수 있었습니다.
%System%\vbzlib2.dll 파일을 쓰는 과정에서 관리자 허용이 필요하다는 메시지와 함께 설치 실패를 하며 오류를 일으키고 있습니다.
비록 오류가 생겼지만 위의 그림과 같이 일부 설치된 파일이 존재합니다.
이제 설치된 vbzlib2.dll 파일을 비교해 보겠습니다.
[가상환경에서 정상적으로 분석된 경우 - vbzlib2.dll]
파일 크기 : 35,328 bytes
MD5 : 5F1C537DB726DDD3F78C5DF05D657BC9
[실제 테스트에서 생성된 경우 - vbzlib2.dll]
파일 크기 : 39.918 bytes
MD5 : AB4EF7E2E4169DFC44148C0288F47494
파일 크기 : 35,328 bytes
MD5 : 5F1C537DB726DDD3F78C5DF05D657BC9
[실제 테스트에서 생성된 경우 - vbzlib2.dll]
파일 크기 : 39.918 bytes
MD5 : AB4EF7E2E4169DFC44148C0288F47494
보시는 것처럼 소위 깨진 파일이 생성된 것을 확인할 수 있습니다.
2대의 환경에서 동일하게 관리자 권한이 허용되지 않아 실제로 설치가 실패하는 파일을 수많은 보안 제품이 진단하는 것은 어떤 경우를 통해 설치에 성공하여 분석이 이루어졌는지 모르겠으며, 안철수연구소는 왜 분석이 안되었는지도 모르겠습니다.
실제 설치가 이루어지지 않는 파일을 진단하는 것은 과잉 진단이 아닐까 조심스럽게 생각해 봅니다.
[관련글 보기]
2008/12/12 - [벌새::Security] - Internet Antivirus Pro 진단의 진실은?
2009/02/05 - [벌새::Analysis] - AlphaWipe Tracks Cleaner 2008
2008/12/12 - [벌새::Security] - Internet Antivirus Pro 진단의 진실은?
2009/02/05 - [벌새::Analysis] - AlphaWipe Tracks Cleaner 2008
* 테스트를 도와준 글리터양에게 감사를 드립니다.
728x90
반응형