'False Positive'에 해당되는 글 2건

  1. 2009.01.15 VietKey2000 - 베트남어 관련 프로그램
  2. 2007.10.05 autorun.exe : 억울한 메인보드 관련 파일

VietKey2000 이라는 베트남어 관련 프로그램으로 베트남에서 문의가 들어왔다.

* 파일 정보

File size: 78848 bytes
MD5...: 84ad9adebd9fa8a2346b9f71d5d55605
SHA1..: bd7af32621f735bf12fe7b581c0a26d93d6a2125


현재 오진하고 있는 회사가 여럿있다. (2009.01.15 08:35:18 검사 결과)

----------------------------------------------------------------------------------

a-squared 4.0.0.73 2009.01.15 Virus.Win32.Agent.YIC!IK
AhnLab-V3 2009.1.15.0 2009.01.15 -
AntiVir 7.9.0.54 2009.01.14 SPR/Agent.EZ
Authentium 5.1.0.4 2009.01.14 -
Avast 4.8.1281.0 2009.01.14 Win32:Agent-YIC
AVG 8.0.0.229 2009.01.14 -
BitDefender 7.2 2009.01.15 -
CAT-QuickHeal 10.00 2009.01.15 (Suspicious) - DNAScan
ClamAV 0.94.1 2009.01.15 -
Comodo 931 2009.01.14 -
DrWeb 4.44.0.09170 2009.01.15 -
eSafe 7.0.17.0 2009.01.14 Suspicious File
eTrust-Vet 31.6.6308 2009.01.15 -
F-Prot 4.4.4.56 2009.01.14 -
F-Secure 8.0.14470.0 2009.01.15 -
Fortinet 3.117.0.0 2009.01.15 -
GData 19 2009.01.15 Win32:Agent-YIC
Ikarus T3.1.1.45.0 2009.01.15 Virus.Win32.Agent.YIC
K7AntiVirus 7.10.584 2009.01.09 Trojan.Win32.Malware.1
Kaspersky 7.0.0.125 2009.01.15 -
McAfee 5495 2009.01.14 Generic.dx
McAfee+Artemis 5495 2009.01.14 Generic.dx
Microsoft 1.4205 2009.01.15 -
NOD32 3767 2009.01.15 -
Norman 5.93.01 2009.01.13 -
nProtect 2009.1.8.0 2009.01.15 -
Panda 9.5.1.2 2009.01.14 Generic Malware
PCTools 4.4.2.0 2009.01.14 -
Prevx1 V2 2009.01.15 Worm
Rising 21.12.30.00 2009.01.15 -
SecureWeb-Gateway 6.7.6 2009.01.15 Riskware.Agent.EZ
Sophos 4.37.0 2009.01.15 -
Sunbelt 3.2.1831.2 2009.01.09 -
Symantec 10 2009.01.15 -
TheHacker 6.3.1.4.220 2009.01.14 -
TrendMicro 8.700.0.1004 2009.01.15 -
VBA32 3.12.8.10 2009.01.14 -
ViRobot 2009.1.14.1559 2009.01.15 -
VirusBuster 4.5.11.0 2009.01.14 -
신고
Posted by mstoned7

댓글을 달아 주세요

안티 바이러스 오진 문제는 항상 있었지만 샘플이 많이 증가하면서
상대적으로 샘플을 꼼꼼히 볼 시간이 부족하다보니 타업체의 진단을 참고하는데 한곳에서 오진하면 같이 오진이 나는 경우가 많다.

- 파일길이 : 61440 bytes
- MD5: 3a9bcde21a8d27f0c4b7f43615e0e821

바이러스토털 결과


해당 샘플은 안랩으로 2006년 11월 22일에 처음 샘플이 접수되었고 그때 정상파일로 분석되었다.
하지만, 이 샘플에 대한 재분석 요청이 들어왔는데 샘플을 봤는데 마더보드 (Mother Board) 관련 프로그램으로 보인다.

0000B054   0040B054      0   \auto.ini
0000B06C   0040B06C      0   SETUP%d
0000B074   0040B074      0   =============
0000B090   0040B090      0   Driver%d
0000B09C   0040B09C      0   Did not Support this MotherBoard
0000B0C0   0040B0C0      0   Mother Board Message
0000B0D8   0040B0D8      0   SETUP
0000B0E8   0040B0E8      0   NOVALUE
0000B0F0   0040B0F0      0   GROUP%d
0000B0F8   0040B0F8      0   This OS is not supported!!
0000B113   0040B113      0   If you have any question, please contact us!!
0000B144   0040B144      0   Information
0000B154   0040B154      0   BUILDNUMBER
0000B160   0040B160      0   PLATFORMID
0000B16C   0040B16C      0   MINOR
0000B174   0040B174      0   MAJOR
0000B17C   0040B17C      0   SUPPORT%d
0000B188   0040B188      0   SUPPORT
0000B190   0040B190      0   ENGLISH
0000B198   0040B198      0   SETUPFILE
0000B1A4   0040B1A4      0   SETUPKEY
0000B1B0   0040B1B0      0   LANGUAGE%d
0000B1BC   0040B1BC      0   EXTDATADEBUGSTRING%d
0000B1D4   0040B1D4      0   STRING%d
0000B1E0   0040B1E0      0   AVIFRAMEY
0000B1EC   0040B1EC      0   AVIFRAMEX
0000B1F8   0040B1F8      0   ENDAVI
0000B200   0040B200      0   BEGINAVI
0000B20C   0040B20C      0   DEFAULT
0000B214   0040B214      0   LANGUAGE
0000B220   0040B220      0   SETUPNO
0000B228   0040B228      0   EXTDATADEBUGMODE
0000B23C   0040B23C      0   DEBUGVERSION
0000B24C   0040B24C      0   DEBUGMODE
0000B258   0040B258      0   ENDBMP
0000B260   0040B260      0   BEGINBMP
0000B26C   0040B26C      0   BACKGROUND
0000B278   0040B278      0   ENDBMP16
0000B284   0040B284      0   BEGINBMP16
0000B290   0040B290      0   BACKGROUND16
0000B2A0   0040B2A0      0   LOADICON
0000B2AC   0040B2AC      0   CAPTION
0000B2B4   0040B2B4      0   GROUPNO
0000B2BC   0040B2BC      0   SETUPSIZE
0000B2C8   0040B2C8      0   SETUPSCRIPT
0000B2D4   0040B2D4      0   SETUPKIND
0000B2E0   0040B2E0      0   IMGPOSTY
0000B2EC   0040B2EC      0   IMGPOSTX
0000B2F8   0040B2F8      0   RUNSIZE
0000B300   0040B300      0   ACTION
0000B308   0040B308      0   ARGUMENTS
0000B314   0040B314      0   STARTROOT
0000B320   0040B320      0   BUTTONFTEXTCOLOR16
0000B334   0040B334      0   BUTTONUTEXTCOLOR16
0000B348   0040B348      0   BUTTONFTEXTCOLOR
0000B35C   0040B35C      0   BUTTONUTEXTCOLOR
0000B370   0040B370      0   BUTTONFTEXT
0000B37C   0040B37C      0   BUTTONUTEXT
0000B388   0040B388      0   BUTTONF16
0000B394   0040B394      0   BUTTONU16
0000B3A0   0040B3A0      0   BUTTONF
0000B3A8   0040B3A8      0   BUTTONU
0000B3B0   0040B3B0      0   0 0 0
0000B3B8   0040B3B8      0   INSTALLTEXTCOLOR
0000B3CC   0040B3CC      0   INSTALLTEXT
0000B3D8   0040B3D8      0   INSTALLMASK
0000B3E4   0040B3E4      0   INSTALLB
0000B3F4   0040B3F4      0   ,ACTION
0000B3FC   0040B3FC      0   CHECK
0000B404   0040B404      0   DRIVERNAME%s
0000B414   0040B414      0   INSTALL
0000B41C   0040B41C      0   OSSUPPORT
0000B428   0040B428      0   SCRIPT
0000B430   0040B430      0   system\currentcontrolset\services\MapMem
0000B488   0040B488      0   Bits Per Pixel : %d
0000B49C   0040B49C      0   UNKNOWN ACTION!
0000B4AC   0040B4AC      0   Error
0000B4C8   0040B4C8      0   PRINT:   
0000B4D4   0040B4D4      0   %d %d %d
0000B4E0   0040B4E0      0   System
0000B4E8   0040B4E8      0   Wrong OS
0000B4FC   0040B4FC      0   STRING
0000B50C   0040B50C      0   Software\Microsoft\Windows\CurrentVersion\Run
0000B53C   0040B53C      0   DIGIT
0000B544   0040B544      0   NUMBER
0000B54C   0040B54C      0   COUNT
0000B558   0040B558      0   CHECKFILE%d
0000B564   0040B564      0   NEXT1
0000B580   0040B580      0   "PATH%d"
0000B58C   0040B58C      0   PATH%d
0000B594   0040B594      0   Are you sure you want to cancel it?
0000B5B8   0040B5B8      0   Warning
0000B5C0   0040B5C0      0   NAME%d
0000B5C8   0040B5C8      0   patch.ini
0000B5D4   0040B5D4      0   After you choose the driver(s) you want and press "OK", it will show device drivers to be installed in sequence.
0000B648   0040B648      0   Soltek
0000B650   0040B650      0   \autorun.exe
0000B660   0040B660      0   \Autorun.ini
0000B670   0040B670      0   \En.ini
0000C004   0045E004      0   SOLTEK

혹시라도 찾기 못한 악의적인 코드가 있는지 모르겠지만 오진일 가능성이 높다.

신고
Posted by mstoned7

댓글을 달아 주세요