본문 바로가기

벌새::Security

안철수연구소(AhnLab)의 샘플 신고의 부실한 답변

반응형
보안에 관심이 있으신 분들은 한 번 정도는 자신이 사용하는 보안제품 업체에 악성코드를 신고해 본 경험이 있을 것입니다.

그런데, 자신이 봐서는 분명히 악성코드인데 해당 업체에서는 정상이라는 답변이 온다거나 하는 경우 개인적으로는 가장 광범위하게 예상할 수 있는 부분이 업체마다의 진단 정책에 따른 차이라고 애써 위로를 합니다.

하지만 다음과 같은 이유로 실제로는 악성코드이지만 보안업체의 부실한 답변으로 인해 피해를 볼 수도 있다는 점에 대해 알아보도록 하겠습니다.


해외에서 제작된 
가짜 백신 중 Antivirus 1 이라는 프로그램이 있습니다. 해당 악성코드의 출현시기는 일정 시간이 지났지만, 다양한 변종으로 인하여 실제 보안제품에서 정확하게 진단하기 위해서는 꾸준한 모니터링과 사용자들의 샘플 신고가 필요해 보입니다.

MD5 : CAA5E72F991ACBC69512B6E7D3D55C84


해당 배포 사이트에서 제공하는 설치 파일을 다운로드하여 바이러스 토탈(VirusTotal)을 통해 진단 여부를 확인해 보면 위와 같이 일부 보안 제품에서 진단하는 것을 확인할 수 있습니다.(해당 샘플은 4월 중하순경에 배포된 것으로 추정됩니다.)

이 샘플을 안철수연구소(AhnLab)에 샘플 신고를 하고 연구소측에서 분석을 하여 최종적으로 답변을 받은 내용은 정상이라는 것입니다.

이제 보안업체에서 정상이라고 답변을 받은 제품에 대해 실제 설치를 진행하여 보겠습니다.


설치 과정은 일반적인 프로그램처럼 위장하고 있는 것을 확인할 수 있습니다.

MD5 : 08b43cd937f9b4b804fd8dca26dfc0cf


실제 설치된 후 생성된 파일 중 해당 제품의 실행 파일을 바이러스 토탈에서 검사를 해보면 안철수연구소 제품에서 Win-Trojan/Fraudload.2575872 진단명으로 정식 진단을 하고 있는 것을 확인할 수 있었습니다.

실제 제가 신고한 샘플로 인해 해당 진단명이 생성된 것이 아닌 이미 이전에 해당 샘플에 대한 DB가 추가된 상태로 보이며, 이런 경우 안철수연구소에서는 샘플 신고에 대한 부실한 답변으로 인하여 사용자에게 혼동을 주고 있습니다.

만약 샘플을 정상적으로 분석을 하였다면 생성 파일이 이미 자사 제품에서 진단을 하고 있기에 이 부분에 대해 추가적인 정보를 제공해 주어야 하지 않을까 생각됩니다.

비록 설치 파일 단위에서는 업체 정책상 진단에 추가되지 않을 수 있겠지만, 신고자에게 전달하는 답변에서는 단순히 정상이라는 답변을 통해 오해를 야기할 수 있다고 봅니다.

특히 악성코드가 설치 파일은 적은 용량으로 구성되어 있고, 실제 설치 단계에서 특정 서버를 통해 다운로드 되는 방식으로 구성된 샘플의 경우 안철수연구소의 경우 설치 파일에 대해 진단을 하지 않는 경우가 많아 보입니다.

위와 같이 설치 파일을 통해 생성된 파일은 악성코드이지만 설치 파일을 업체의 어떤 이유로 인해 진단하지 않을 경우 사용자는 아무런 문제가 없다고 오해를 할 수 있으며, 만약 실제 생성된 파일조차도 진단하지 못하였다면 해당 제품에 대해 사용자는 신뢰를 하지 않으리라 볼 것입니다.

샘플 신고를 하면서 위와 같이 일부 설치 파일에 대해서는 정상이라고 할지라도 실제 설치 후 생성된 파일은 악성코드가 존재할 수 있으므로 주의가 요구됩니다.
728x90
반응형
  • HIchikok 2009.05.04 19:31 댓글주소 수정/삭제 댓글쓰기

    분석력이 뛰어난 분이신 듯...
    그런데 안랩에 다시 문의해 보는 것이 좋지 않을까요?
    한쪽 이야기만 보면 오해할 수도 있지 않을까 싶네요.

  • 둘리 2009.05.04 21:12 댓글주소 수정/삭제 댓글쓰기

    설치 파일 내부에 일부 악성코드가 존재 한다고 가정 할 때
    꼭 안랩에서는 설치 파일 자체를 차단 해 주면 좋을 텐데 안그러고 꼭 설치파일을 더블 클릭하여
    설치를 일정부분 진행 하거나 아니면 설치가 끝난 후 제품을 실행 하는 과정에서 그제야 진단하는버그?가
    있더라구요..이미 시스템에는 쓰레기 파일이 몇몇 깔린뒤에 말이죠..

    처음부터 설치를 못하게 해당 exe 파일을 차단 헀으면 컴터에 쓰레기 파일도 안생길것이고
    더 안전해 보이는 데요..

  • 외국 社들 보면.. 설치파일만 진단하고 설치 후의 파일은 진단을 안해서 피를 보는데 꼭 상반된 경우네~

  • darkhi 2009.05.06 02:19 댓글주소 수정/삭제 댓글쓰기

    저도 모 백신회사에 샘플 신고를 하고 있는 편입니다.
    신고를 하면 이메일로 답변을 보내줍니다.
    분석하여 패턴 등록을 한다던가
    분석이 끝난 경우에는 이러이러한 작업을 하는 악성코드였다고 알려주기도 합니다.
    어쩔때는 빠른 시간내에 분석하여 등록하겠다고 합니다만
    항상 이메일로 감사하다는 안내는 담겨져있습니다.
    특별히 감사를 바라고 하는 것은 아니지만
    조속히 대처하는 모습으로 사용자를 기만하지 않는 모습이 좋은 것 같습니다.
    물론 제가 샘플 신고하는 회사는 위에 언급된 회사는 아닙니다.

  • 안녕하세요~ 벌새님. 해당 건에 대해 재 분석을 요청한 상태입니다. 정상파일로 추정된다는 것이었는데, 정상으로 표시되어, 이 부분은 향후 수정될 수 있도록 담당 부서에서 이야기 해 주었고요.

    그리고 어제 좋은 이야기 해 주셔서 감사합니다.