이 내용은 우연히 구글 한국어 홈페이지에서 특수한 문자열을 검색어로 입력시 Kaspersky 등 일부 백신에서 바이러스로 진단하는 현상을 발견한 내용입니다.

발견 후 안철수 연구소에 문의한 결과를 통해 윈도우 보안 취약점(MS04-013 MHTML (MIME Encapsulation of Aggregate HTML) URL 처리 취약점)으로 인한 일부 백신의 진단 가능성에 대한 답변을 들었습니다.

즉, 악성코드는 아니지만 진단한다는 것은 진단 백신의 진단 방식의 문제가 아닐지 조심스럽게 생각됩니다.

1. 이 현상은 영문판 구글 검색이나 일본판 구글 검색에서는 일어나지 않는 현상으로 확인했습니다.

2. 특수한 문자열 입력시 나온 검색 결과의 첫 페이지만을 Kaspersky가 진단명(Exploit.HTML.Mht)으로 진단하며, 다음 페이지부터는 진단하지 않는 현상을 보입니다.

3. 진단 샘플을 F-Secure사에 문의 결과 악성코드라는 답변을 받았습니다.(정확하게 말하면 그 웹페이지는 바이러스에 걸린 것은 아닙니다.)


먼저 진단되는 스크린샷입니다.


사용자 삽입 이미지

Antivirus Version Last Update Result
AhnLab-V3 2007.10.2.1 2007.10.02 -
AntiVir 7.6.0.18 2007.10.02 HEUR/Exploit.HTML
Authentium 4.93.8 2007.10.02 -
Avast 4.7.1043.0 2007.10.02 -
AVG 7.5.0.488 2007.10.02 -
BitDefender 7.2 2007.10.02 -
CAT-QuickHeal 9.00 2007.10.02 -
ClamAV 0.91.2 2007.10.02 Exploit.HTML.MHTRedir-8
DrWeb 4.44.0.09170 2007.10.02 -
eSafe 7.0.15.0 2007.10.01 -
eTrust-Vet 31.2.5179 2007.10.02 -
Ewido 4.0 2007.10.02 -
FileAdvisor 1 2007.10.02 -
Fortinet 3.11.0.0 2007.10.02 -
F-Prot 4.3.2.48 2007.10.01 -
F-Secure 6.70.13030.0 2007.10.02 Exploit.HTML.Mht
Ikarus T3.1.1.12 2007.10.02 -
Kaspersky 7.0.0.125 2007.10.02 Exploit.HTML.Mht
McAfee 5131 2007.10.01 -
Microsoft 1.2803 2007.10.02 -
NOD32v2 2565 2007.10.02 -
Norman 5.80.02 2007.10.01 HTML/Exploit!Mht.M
Panda 9.0.0.4 2007.10.02 -
Prevx1 V2 2007.10.02 -
Rising 19.43.10.00 2007.10.02 -
Sophos 4.22.0 2007.10.02 -
Sunbelt 2.2.907.0 2007.10.02 -
Symantec 10 2007.10.02 -
TheHacker 6.2.6.075 2007.10.01 -
VBA32 3.12.2.4 2007.10.02 -
VirusBuster 4.3.26:9 2007.10.01 -
Webwasher-Gateway 6.0.1 2007.10.02 Heuristic.Exploit.HTML


구글 검색어 : mxxxx:xxx://C:\xxx.mhtxhttp://xxx (일부 검색어는 xxx로 표시하였습니다.)

안철수 연구소에서의 답변은 검색어 자체가 취약점을 이용하는 패턴이므로 일부 백신에서 이 패턴만을 통해서 진단했을 가능성이 있다는 의견입니다.

그 답변 메일을 받아 메일을 확인하는 과정에서는 메일 내용에 구글 검색어가 적혀 있다는 이유로 또 다시 Kaspersky 엔진 백신은 또 바이러스 진단 경고를 내리는 이상한 현상을 목격했습니다.

진단 방식의 문제점으로 저는 조심스럽게 결론을 내리면서 세계 유명 백신의 진단 방식에 다소 실망이라면 실망을 하게 된 몇 일이 된 것 같습니다.
블로그 이미지

울지않는 벌새

울지않는벌새가 되고 싶은 나..

댓글을 달아 주세요