본문 바로가기

벌새::Analysis

하우리 오진 - Spyware.Agent.135168 (2009.02.20.01)

728x90
반응형
국내 보안업체 하우리(Hauri) 바이로봇 제품에서 Spyware.Agent.135168 진단명의 오진이 확인 되었습니다.


Spyware.Agent.135168
 - C:\Documents and Settings\LocalService\Application Data\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\settings.sol

* 바이러스토탈(VirusTotal) 검사 결과 해당 파일을 진단하는 보안 제품은 전혀 존재하지 않았습니다.

해당 진단명은 2007-12-03.01 엔진에 추가되었던 항목으로 몇 일전 검사에서는 진단되지 않았던 파일이 진단이 되어서 확인을 해 보았습니다.


해당 파일은 컴퓨터 사용자마다 크기가 다른 형태로 존재합니다. 이유는 사용자가 웹 사이트에 접속시 출력되는 Adobe Flash 관련 설정 파일이므로 파일 내부의 정보는 다양할 수 있습니다.

해당 파일에 대한 것을 확인하기 위해서는 Flash Cookies에 대한 이해가 필요해 보입니다.



웹 사이트의 Flash 화면에 마우스 우클릭을 통해 [설정]을 클릭할 경우 다음과 같은 화면을 확인할 수 있습니다.


Adobe Flash Player 설정 화면을 통해 해당 사이트에서 제공하는 Flash 정보와 관련된 설정을 컴퓨터에 저장이 됩니다.


Adobe Flash Player 설정 관리자를 살펴보시면 사용자가 방문한 적이 있는 웹 사이트 정보를 확인할 수 있습니다.

기본적으로 일반 사용자가 웹 브라우저를 통해 특정 사이트 방문시 생성된 쿠키(Cookies)들을 각종 시스템 정리 프로그램을 통해 삭제를 하면서 Flash Player에서 생성된 쿠키의 경우에는 있는 줄도 모르는 경우가 대부분이 아닐까 생각됩니다.

위와 같이 상당한 양의 쿠키가 존재하며 타인이 어떤 사이트를 방문하였는지 방문 흔적을 역추적하는 방법으로도 활용(?)될 수 있을 것 같은 생각도 듭니다.

실제 sol 파일 내부 문자열은 방문한 사이트 관련 목록 등이 포함되어 있는 것으로 보입니다.


Flash Cookies 삭제 방법은 [모든 웹 사이트 삭제] 버튼을 클릭하여 사용자 컴퓨터에 저장된 정보와 목록을 삭제하실 수 있습니다.

해당 쿠키 삭제 프로그램이 존재하는지는 확인해 보지 않았으며, 수동으로 삭제시에는 각 폴더 내부의 sol 파일을 삭제해 주어야 하는 불편함이 있기에 해당 방법이 가장 손쉬워 보입니다.


삭제가 완료되면 해당 오진 파일이 초기 7KB 크기에서 1KB 크기로 변경된 것을 확인할 수 있습니다.

이제 다시 Flash 파일이 존재하는 특정 웹 사이트를 방문한 후 재확인을 해보았습니다.


위와 같이 사용자가 방문한 사이트에 대한 기록이 다시 저장되는 것을 확인할 수 있었습니다.

기본적으로 sol 파일은 수시로 파일이 변하는 속성을 가지고 있고, 방문 사이트 정보 등을 내포하고 있기에 일부 위험한 쿠키처럼 진단할 수 있겠지만, 하우리의 해당 진단은 검토가 필요해 보입니다.
728x90
반응형