알약에서 진단되는데 V3에서 진단안되는 샘플이 들어왔습니다.

우선 제품으로 진단하면 다음과 같이 나옵니다.

* 비트디펜터(알약에서 사용하는 엔진)

c:\work\EC08011500187-000001_27F763A0.org  ok
c:\work\EC08011500187 ... 0.org=>(Quarantine-2)  infected: Trojan.PWS.Delf.IFD

* KAV

KAV로 검사하면 이 파일을 CryptFF 로 패킹되어 있다고 나옵니다.

2008-00-22 14:48:24     c:\work\EC08011500187-000001_27F763A0.scrxx     packed CryptFF
2008-00-22 14:48:24     c:\work\EC08011500187-000001_27F763A0.scrxx     packed PE_Patch.UPX
2008-00-22 14:48:24     c:\work\EC08011500187-000001_27F763A0.scrxx     packed UPX
2008-00-22 14:48:24     c:\work\EC08011500187-000001_27F763A0.scrxx     detected Trojan-PSW.Win32.Agent.sz

예상했겠지만 이 파일은 타백신에서 진단 후 검역소에 암호화해서 보관 중인 파일입니다
(0xFF 로 XOR 되어 있습니다.)

사용자 삽입 이미지

격리함에 보관된 파일과 암호를 풀어본 결과


암호를 풀지 않는 이상 실행되지 않으니 진단할 필요가 없고 타백신에서 검역소에 넣은 파일을 굳이 암호까지 풀어서 진단할 필요가 있을까 싶네요. 하지만, 문제는 타백신에서 이 파일을 진단하고 있습니다.

뒷부분에 나타나는 진단명을 보면 이 파일은 시만텍 제품이 격리 시킨 파일이네요.

사용자 삽입 이미지

시만텍 제품에서 격리한 파일


과연, V3는 이렇게 타백신에서 격리시킨 파일의 암호를 풀어서 진단해줘야할까요 ?








Posted by mstoned7
TAG

댓글을 달아 주세요

  1. 코프 2008.01.23 18:19  댓글주소  수정/삭제  댓글쓰기

    이미 격리시킨 파일인데 왜 진단해야될까요 (...)
    문제는 사람들이 'V3 않좋다' 라는 인상을 심을지도 모른다는거지만요 OTL

    • mstoned7 2008.01.24 08:02 신고  댓글주소  수정/삭제

      그러게요. 확인된 것만 3개 업체가 다른 회사에서 격리된 파일을 진단하고 있어서... 이게 또 일반인들에게는 불필요한 오해를 일으키는게 아닐까 싶네요.