2009년 12월 3일 업데이트에서 어베스트(Avast!)가 일부 파일을 Win32:Delf-MZG [Trj]로 오진하는 문제가 생겼습니다.

[관련기사]

 - 알집이 바이러스?... 어베스트 백신 진단오류 속출 (디지털데일리, 2009년 12월 3일)
http://www.ddaily.co.kr/news/news_view.php?uid=57000


국내 파트너사도 공지가 올라왔습니다.

- (긴급 공지) AVAST! 트로이 목마 진단에 관한 안내문
http://www.avast.co.kr/notice/587


현재 다음 업데이트에서 오진이 해결되었다고 합니다.

어베스트의 경우 2008년 11월 30일에도 네이트온 및 기타 프로그램을 Win32:Search로 진단했었죠. 하지만, 이런 문제는 비단 어베스트만 일으킨게 아닙니다.

백신 업체들의 주요 오진 사례는 다음과 같습니다.

 
- 2005년 4월 23일 트렌드마이크로 사에서 배포한 패턴 2.594.00에서 시스템 자원을 100% 사용하고 시스템이 느려지고 윈도우 XP 서비스 팩 2 혹은 윈도우 2003 서버에서는 운영이 불가능해질 수 있는 문제가 발생했다.

- 2006년 3월 맥아피 DAT 4715는 마이크로소프트 엑셀, 플래쉬 플레이어(Macromedia Flash Player), 어도베 업데이트 매니저(Adobe Update Manager), 구글 툴바 설치 파일(Google Toolbar Installer)를 악성코드로 진단했다.

- 2007년 5월 18일 시만텍 노턴 안티 바이러스 제품에서 중국어 윈도우 XP 서비스 팩2 파일인 netapp32.dll과 lasass.exe를 Backdoor.Haxdoor로 오진하고 시스템 파일을 삭제해 버려 시스템이 부팅되지 않는 문제가 발생했으며 2008년 7월 10일 안철수연구소는 윈도우 XP 서비스 팩 3의 LSASS.EXE 파일을 악성코드로 진단해 삭제해버려 시스템이 부팅되지 않는 문제가 발생했다.

- 2008년 11월 30일 어베스트!(Avast!)는 네이트온 및 기타 프로그램을 Win32:Search로 진단했다.

- 2008년 12월 8일 알약이 알약에 포함된 AYUpdate.exe를 S.SPY.Lineag-GLG로 진단해 자신이 자신을 진단하는 해프닝도 있었다.

- 2009년 2월 16일 맥아피 바이러스스캔에서 삼성증권 홈트레이딩시스템(HTS:Home Trading System)의 키보드 보안 프로그램을 악성코드로 오진한다.



다른 업체 오진 사건이라 언급 안하려했지만 문제가 좀 심각하고 오진에 대해 잠깐 얘기하려 합니다.

사실 백신 업체에 있어 오진문제는 악성코드 진단 문제 만큼 참 심각합니다. 백신 업체에서는 악성코드 추가도 하지만 오진이 발생한 시그니처의 제거도 매일 하고 있습니다. 다행히 대부분의 오진은 특정 파일에 대해서 발생해 고객의 불편이 한정됩니다.

오진은 크게 정상을 악성으로 분석해 발생시키는 오진과 진단값을 잘못 잡아 악성코드 외에 정상 파일까지 잡아버리는 형태로 나눌 수 있습니다.

이번 사건은 진단값을 잘못 잡아 정상 파일을 악성코드로 진단한 걸로 보입니다. 주로 델파이 파일에서 발생하는걸로 봐서 델파이 파일 공통 영역을 진단으로 잡은 듯 합니다.

정상 파일의 보강 및 오진을 최소화할 수 있는 진단법을 연구해야 할 겁니다.

우스개 소리로 악성코드 분석가 중에 WinRAR SFX 파일을 오진 내보지 않은 사람이 없다고들 하죠. WinRAR SFX 파일의 경우 앞부분에 공통 코드가 붙고 뒷부분에 데이터가 붙기 때문에 분석가들이 앞부분을 진단해서 오진 내기 쉽습니다. 현재는 진단 방법이 바뀌어서 안랩 신입사원의 경우 이런 문제를 일으키기 힘든 구조가 되었지만요.

백신 업체의 골치 거리 오진 문제...
아무쪼록 빨리 문제가 해결되었으면 합니다.

ps.

어제까지 멀쩡하던 정상 파일이 악성코드로 진단되면 오진을 의심해 보시기 바랍니다.

신고
Posted by mstoned7

댓글을 달아 주세요

  1. 물여우 2009.12.03 15:09 신고  댓글주소  수정/삭제  댓글쓰기

    이번에도 그렇고 이전 오진도 그렇고 어베스트는 일반 사용자들이 잘 사용하는 프로그램들을 한방에 잡아주니 오진 문제가 더 크게 보이는 것도 같습니다. 그래도 다행히 해결은 금방 되었네요.

    • mstoned7 2009.12.03 15:23 신고  댓글주소  수정/삭제

      업체 입장에서는 매일 오진이 접수되기 때문에 무감각해질 수 있지만 이럴 때는 참 난감하겠죠. 그런데, 한가지 의아한건 Alwil 사도 엔진 내보내기 전에 정상 파일로 테스트를 해볼텐데 델파이 파일이 하나도 없다는건 조금 이상하네요. 정상 파일에 델파이가 없었거나 QA 프로세스에 문제가 생겨 (신입이나 시스템 이상) 통과된게 아닐까 싶네요. 진실은 저 너머에 ~ 그나저나 체코는 지금 오전 7시인데 야간 근무를 안한다면 분석가와 QA 담당자는 자다가 새벽에 회사로 나왔겠군요... 다 보이네요... TT

    • 물여우 2009.12.03 15:37 신고  댓글주소  수정/삭제

      사건은 꼭 근무 외시간에서 터지는 것 같습니다. @.@

    • mstoned7 2009.12.03 15:46 신고  댓글주소  수정/삭제

      그러게요.. 그런데, 근무 시간에 사건 터지면 또 그만큼 빨리 해결되어서 잘 모르는 경우도 많아요 ㅎㅎ


AutoIt은 자동 명령을 수행해주는 프로그램으로 자동 수행할 내용을 EXE로 변환할 수 있습니다.

http://www.autoitscript.com/autoit3/

악성코드 제작자들이 AutoIt을 이용해 악성코드를 제작하고 있고 백신 업체에서 AutoIt 으로 작성된 악성코드를 진단하고 있습니다.

오늘 샘플을 보다가 다음과 같은 문구가 있네요.

'This is a compiled AutoIt script. AV researchers please email avsupport@autoitscript.com for support.'
(컴파일된 AutoIt 스크립트 입니다. AV 연구가들은 avsupport@autoitscript.com으로 연락주세요.)


아마  백신에서 AutoIt으로 작성된 파일을 오진하는 경우가 많아서 남긴 문구로 보입니다.

AutoIt은 앞부분은 EXE이고 뒷부분에 스크립트 내용이 압축되어 저장되는데 많은 백신에서 (혹은 분석가) 공통 부분을 진단해 오진이 종종 발생합니다.

오진 때문에 시달렸을 AutoIt 개발자들에게 웬지 미안한 감정이 생기네요.




신고
Posted by mstoned7

댓글을 달아 주세요

  1. 링크정보 2009.10.05 14:59 신고  댓글주소  수정/삭제  댓글쓰기

    저도 오토잇으로 만든 간단한 프로그램들을 공유하곤 하는데, 바이러스 걸렸다고 물어보는 분들이 꽤 있었습니다. 그래서, 도움말에 "오토잇으로 만들었다. 백신에서 악성코드로 진단해도 나한테 묻지말고 해당 백신회사에 문의해라."라는 내용을 넣어놨죠.

    오진 문의가 많아서 그런 건지 최근에는 악성코드로 진단하는 경우를 못봤습니다.

IEInspector의 IEWebDeveloperV2 모듈

정상입니다.

- File size: 125440 bytes
- MD5...: 471ed11e1d30767ec4fa49b1d060ef22
- SHA1..: 4a341663e03d36203f65384111781e68fac4fbc8
- SHA256: 6508260b7c67df8801235787a27253a189739dead9f2ad1bd1b3941ccb50c43f
- SHA512: 56e11fd469eff44e4cc2de3b6684fe669ba9bfcf7b59cdd17f37fbd1997d504b
222fec0da51b0fa13ce1cbb16036572b2f26240b60aadb162dbd12e23988aebe


안티바이러스 엔진 버전 정의 날짜 검사 결과
a-squared 4.0.0.93 2009.01.30 -
AhnLab-V3 5.0.0.2 2009.01.30 -
AntiVir 7.9.0.60 2009.01.30 -
Authentium 5.1.0.4 2009.01.30 -
Avast 4.8.1281.0 2009.01.29 Win32:Trojan-gen {Other}
AVG 8.0.0.229 2009.01.29 PSW.Banker5.BTQ
BitDefender 7.2 2009.01.30 Trojan.Generic.1196295
CAT-QuickHeal 10.00 2009.01.30 -
ClamAV 0.94.1 2009.01.30 -
Comodo 952 2009.01.29 -
DrWeb 4.44.0.09170 2009.01.30 -
eSafe 7.0.17.0 2009.01.29 -
eTrust-Vet 31.6.6335 2009.01.29 -
F-Prot 4.4.4.56 2009.01.29 -
F-Secure 8.0.14470.0 2009.01.30 -
Fortinet 3.117.0.0 2009.01.30 suspicious
GData 19 2009.01.30 Trojan.Generic.1196295
Ikarus T3.1.1.45.0 2009.01.30 -
K7AntiVirus 7.10.609 2009.01.29 -
Kaspersky 7.0.0.125 2009.01.30 -
McAfee 5510 2009.01.29 -
McAfee+Artemis 5510 2009.01.29 -
Microsoft 1.4306 2009.01.30 -
NOD32 3811 2009.01.29 -
Norman 6.00.02 2009.01.29 -
nProtect 2009.1.8.0 2009.01.30 -
Panda 9.5.1.2 2009.01.30 -
PCTools 4.4.2.0 2009.01.29 -
Prevx1 V2 2009.01.30 -
Rising 21.13.42.00 2009.01.23 -
SecureWeb-Gateway 6.7.6 2009.01.30 -
Sophos 4.38.0 2009.01.30 Sus/Madcode-A
Sunbelt 3.2.1835.2 2009.01.16 -
Symantec 10 2009.01.30 -
TheHacker 6.3.1.5.236 2009.01.30 -
TrendMicro 8.700.0.1004 2009.01.30 -
VBA32 3.12.8.11 2009.01.30 Trojan-Downloader.Win32.Dadobra.avs
ViRobot 2009.1.30.1581 2009.01.30 -
VirusBuster 4.5.11.0 2009.01.29 -
신고
Posted by mstoned7

댓글을 달아 주세요