728x90
반응형

오진 11

대부분이 악성이라해도 정상, is-61BTR.EXE

- 파일이름 : is-61BTR.EXE - 파일길이 : 55,808 바이트 - MD5 : 16b9cad831ffb94dad8ac991f3bf1e4f 이노셋업을 이용해 패키지 설치시 설치되는 임시 파일입니다. ----------- 안티바이러스 엔진 버전 정의 날짜 검사 결과 a-squared 4.0.0.93 2009.02.24 Backdoor.Win32.Hupigon!IK AhnLab-V3 2009.2.24.0 2009.02.24 - AntiVir 7.9.0.88 2009.02.24 BDS/Hupigon.aojt Authentium 5.1.0.4 2009.02.24 - Avast 4.8.1335.0 2009.02.24 Win32:Trojan-gen {Other} AVG 8.0.0.237 2009.02.24..

IEInspector 의 InjectWinSockServiceV2.exe

IEInspector의 IEWebDeveloperV2 모듈 정상입니다. - File size: 125440 bytes - MD5...: 471ed11e1d30767ec4fa49b1d060ef22 - SHA1..: 4a341663e03d36203f65384111781e68fac4fbc8 - SHA256: 6508260b7c67df8801235787a27253a189739dead9f2ad1bd1b3941ccb50c43f - SHA512: 56e11fd469eff44e4cc2de3b6684fe669ba9bfcf7b59cdd17f37fbd1997d504b 222fec0da51b0fa13ce1cbb16036572b2f26240b60aadb162dbd12e23988aebe 안티바이러스 엔진 버전 정의 날짜 검사 결..

cpqsetver.exe - HP 관련 파일

cpqsetver.exe 는 HP 에서 제작한 파일이다. * 파일 정보 MD5 : a5e52c58c47e3233417a3816ff275607 파일길이 : 40,960 바이트 * 등록 정보 4.20.3.1 Hewlett-Packard CpqsetVer --------- 몇몇 제품에서 진단했다. 하지만, 수상한 코드를 찾을 수 없어 구글로 검색해봤다. CpqsetVer.exe 로 검색하면 진단했던 Avira 에서 오진임을 밝히고 있다. http://forum.avira.com/thread.php?postid=316513 하지만, 이건 2007년 얘기인데 왜 아직 진단할까했지만 VirusTotal의 검사 결과를 보면 2008년 1월 18일 결과였다. 다시 검사하니 진단되지 않았다. (여전히 몇몇 제품은 진단하..

누가 루카스아츠 게임을 진단하는가 ? loom.exe, maniac.exe

LucasArts 게임들 저도 좋아합니다. 중학생 시절 원숭이 섬의 비밀 엔딩을 보고 '이제 컴퓨터 끄고 자라'는 메시지를 보고 그렇게 했었죠. 루카스아츠의 게임 엔진을 구현해주는 프로그램인 scummvm 이 있습니다. (http://www.scummvm.org/, 한국어 사이트 : http://scummkor.kldp.net/ ) 게임 구성이 어떻게 되는지 모르겠지만 타사에서는 진단되는에 V3 에서 진단안되는다는 파일이 들어왔는데 제가 분석한 바로는 오진입니다. 배치 파일을 실행 파일로 만들어주는 Quick Batch File Compiler 로 제작되었는데 내용은 다음과 같습니다. @echo off scummvm -f -n maniac ----------- @echo off scummvm -f -n ..

정상 : Reg2Exe

Reg2Exe 파일 파일길이 : 9,216 바이트 MD5 : 103d82155d97f288d1d2fb3c70c3a0dd 정상 파일이지만 V3 를 포함한 많은 보안 프로그램에서 오진했었다. AhnLabV3 : Win-Trojan/StartPage.9301 A-Squared : Trojan.Win32.StartPage.apq ALWIL avast! ashCmd : NO_VIRUS Avira AntiVir/Win32 : NO_VIRUS GRISoft AVG : Startpage.BLK Kaspersky Lab AVP32 : Trojan.Win32.StartPage.apq SOFTWIN AVXC/BDC : Trojan.Startpage.YR Doctor Web DrWebCL : Trojan.StartPage.2..

autorun.exe : 억울한 메인보드 관련 파일

안티 바이러스 오진 문제는 항상 있었지만 샘플이 많이 증가하면서 상대적으로 샘플을 꼼꼼히 볼 시간이 부족하다보니 타업체의 진단을 참고하는데 한곳에서 오진하면 같이 오진이 나는 경우가 많다. - 파일길이 : 61440 bytes - MD5: 3a9bcde21a8d27f0c4b7f43615e0e821 해당 샘플은 안랩으로 2006년 11월 22일에 처음 샘플이 접수되었고 그때 정상파일로 분석되었다. 하지만, 이 샘플에 대한 재분석 요청이 들어왔는데 샘플을 봤는데 마더보드 (Mother Board) 관련 프로그램으로 보인다. 0000B054 0040B054 0 \auto.ini 0000B06C 0040B06C 0 SETUP%d 0000B074 0040B074 0 ============= 0000B090 004..

한글키워드 서비스 업데이트 파일 uID.DLL

여러 백신 프로그램에서 악성코드로 진단하지만 모 회사에서 진행하는 한글키워드 서비스의 일종이다. 프로그램이 전형적인 다운로드 기능이 있어 대부분의 제품에서 트로이목마라고 진단하는데 개발회사 입장에서는 억울하겠지만 자신의 프로그램이 왜 악성코드로 오인 받는지 한번 생각해볼 필요가 있을 듯 싶다. 다음 사항이 있는 건 어떨까 ? 1. 파일 다운로드 할 때 사용자 동의 구함 (특히 실행 파일을 다운로드할 경우) 2. 파일 내 프로그램 이름, 목적, 회사, 연락처 표기 (이 파일에는 존재함) * VirusTotal 결과 Antivirus Version Last Update Result AhnLab-V3 2007.8.9.1 2007.08.09 Win-Trojan/Downloader.172032.F --> 제외 예..

시만텍, 중국어 윈도우 XP SP2 파일 진단

일시 : 2007년 5월 18일 시만텍 노턴 안티 바이러스에서 중국어 윈도우 XP SP2 파일인 netapp32.dll 과 lsass.exe 을 Backdoor.Haxdoor 로 오진했다. 벌써 꽤 시간이 지난 사건이지만 중국에서 시만텍을 상대로 소송을 준비 중이라는 얘기도 있다. 소성 관련 내용 : http://english.people.com.cn/200705/29/eng20070529_379005.html [관련 사이트] * 영어 http://sbin.cn/blog/2007/05/18/symantec-anti-virus-software-damages-system-files/ http://www.cisrt.org/enblog/read.php?100 http://isc.sans.org/diary.htm..

FSG.EXE - FSG packer 10. (false positive)

FSG.EXE FSG packer 1.0 false positive 현재 상당수 프로그램이 실행 압축 프로그램인 FSG 1.0 을 트로이목마로 진단하고 있다. 오진 확인 접수되어 샘플을 봤는데 다운로더 기능을 찾을 수 없어 V3에는 제외했다. File size: 15,024 bytes MD5: 97f0c03be2c303dd75246d519bb3985e * VirusTotal result AhnLab-V3 2007.4.5.0 04.04.2007 Win-Trojan/Downloader.15024.B AntiVir 7.3.1.48 04.04.2007 no virus found Authentium 4.93.8 04.04.2007 is a destructive program Avast 4.7.936.0 04.04..

UDA.EXE - 중국 압축 프로그램

- 파일명 : UDA.EXE - 파일길이 : 14336 bytes - MD5: 79b719f5c3bf7e1025e041df8b92a125 - 프로그램 설명 : 중국 압축 프로그램 중국에서 타사에서 진단하는데 V3 에서 진단 못한다고 샘플이 접수되었는데 확인 결과 중국에서 제작된 압축 프로그램이었다. 이에 진단되는 타사에 메일을 보내 제외 요청을 했는데 Rising, Ediwo, Fortinet, Panda 에서 빼겠다는 답장이 왔다. 2007년 3월 20일 현재 VirusTotal의 진단 결과

728x90
반응형