728x90
반응형
알약에서 진단되는데 V3에서 진단안되는 샘플이 들어왔습니다.
우선 제품으로 진단하면 다음과 같이 나옵니다.
* 비트디펜터(알약에서 사용하는 엔진)
c:\work\EC08011500187-000001_27F763A0.org ok
c:\work\EC08011500187 ... 0.org=>(Quarantine-2) infected: Trojan.PWS.Delf.IFD
* KAV
KAV로 검사하면 이 파일을 CryptFF 로 패킹되어 있다고 나옵니다.
2008-00-22 14:48:24 c:\work\EC08011500187-000001_27F763A0.scrxx packed CryptFF
2008-00-22 14:48:24 c:\work\EC08011500187-000001_27F763A0.scrxx packed PE_Patch.UPX
2008-00-22 14:48:24 c:\work\EC08011500187-000001_27F763A0.scrxx packed UPX
2008-00-22 14:48:24 c:\work\EC08011500187-000001_27F763A0.scrxx detected Trojan-PSW.Win32.Agent.sz
예상했겠지만 이 파일은 타백신에서 진단 후 검역소에 암호화해서 보관 중인 파일입니다
(0xFF 로 XOR 되어 있습니다.)
암호를 풀지 않는 이상 실행되지 않으니 진단할 필요가 없고 타백신에서 검역소에 넣은 파일을 굳이 암호까지 풀어서 진단할 필요가 있을까 싶네요. 하지만, 문제는 타백신에서 이 파일을 진단하고 있습니다.
뒷부분에 나타나는 진단명을 보면 이 파일은 시만텍 제품이 격리 시킨 파일이네요.
과연, V3는 이렇게 타백신에서 격리시킨 파일의 암호를 풀어서 진단해줘야할까요 ?
우선 제품으로 진단하면 다음과 같이 나옵니다.
* 비트디펜터(알약에서 사용하는 엔진)
c:\work\EC08011500187-000001_27F763A0.org ok
c:\work\EC08011500187 ... 0.org=>(Quarantine-2) infected: Trojan.PWS.Delf.IFD
* KAV
KAV로 검사하면 이 파일을 CryptFF 로 패킹되어 있다고 나옵니다.
2008-00-22 14:48:24 c:\work\EC08011500187-000001_27F763A0.scrxx packed CryptFF
2008-00-22 14:48:24 c:\work\EC08011500187-000001_27F763A0.scrxx packed PE_Patch.UPX
2008-00-22 14:48:24 c:\work\EC08011500187-000001_27F763A0.scrxx packed UPX
2008-00-22 14:48:24 c:\work\EC08011500187-000001_27F763A0.scrxx detected Trojan-PSW.Win32.Agent.sz
예상했겠지만 이 파일은 타백신에서 진단 후 검역소에 암호화해서 보관 중인 파일입니다
(0xFF 로 XOR 되어 있습니다.)
격리함에 보관된 파일과 암호를 풀어본 결과
암호를 풀지 않는 이상 실행되지 않으니 진단할 필요가 없고 타백신에서 검역소에 넣은 파일을 굳이 암호까지 풀어서 진단할 필요가 있을까 싶네요. 하지만, 문제는 타백신에서 이 파일을 진단하고 있습니다.
뒷부분에 나타나는 진단명을 보면 이 파일은 시만텍 제품이 격리 시킨 파일이네요.
시만텍 제품에서 격리한 파일
과연, V3는 이렇게 타백신에서 격리시킨 파일의 암호를 풀어서 진단해줘야할까요 ?
728x90
반응형
'Security > 보안 뉴스' 카테고리의 다른 글
| 마지막 Flight 엔진 (0) | 2008.02.18 |
|---|---|
| 안랩 VB100 (2008년 2월) 통과 (0) | 2008.02.04 |
| 무료화에 대해 고객이 보낸 메일 (2) | 2008.01.18 |
| 기사 : 안랩-NHN, 백신 엔진 제공 합의 (2) | 2008.01.15 |
| CA 에서 fse_pe2.dll 오진 (0) | 2008.01.11 |