Security/보안 뉴스

알약에서 진단되는데 V3에서 진단안되는 파일의 정체

쿨캣7 2008. 1. 22. 15:00
728x90
반응형
알약에서 진단되는데 V3에서 진단안되는 샘플이 들어왔습니다.

우선 제품으로 진단하면 다음과 같이 나옵니다.

* 비트디펜터(알약에서 사용하는 엔진)

c:\work\EC08011500187-000001_27F763A0.org  ok
c:\work\EC08011500187 ... 0.org=>(Quarantine-2)  infected: Trojan.PWS.Delf.IFD

* KAV

KAV로 검사하면 이 파일을 CryptFF 로 패킹되어 있다고 나옵니다.

2008-00-22 14:48:24     c:\work\EC08011500187-000001_27F763A0.scrxx     packed CryptFF
2008-00-22 14:48:24     c:\work\EC08011500187-000001_27F763A0.scrxx     packed PE_Patch.UPX
2008-00-22 14:48:24     c:\work\EC08011500187-000001_27F763A0.scrxx     packed UPX
2008-00-22 14:48:24     c:\work\EC08011500187-000001_27F763A0.scrxx     detected Trojan-PSW.Win32.Agent.sz

예상했겠지만 이 파일은 타백신에서 진단 후 검역소에 암호화해서 보관 중인 파일입니다
(0xFF 로 XOR 되어 있습니다.)

사용자 삽입 이미지

격리함에 보관된 파일과 암호를 풀어본 결과


암호를 풀지 않는 이상 실행되지 않으니 진단할 필요가 없고 타백신에서 검역소에 넣은 파일을 굳이 암호까지 풀어서 진단할 필요가 있을까 싶네요. 하지만, 문제는 타백신에서 이 파일을 진단하고 있습니다.

뒷부분에 나타나는 진단명을 보면 이 파일은 시만텍 제품이 격리 시킨 파일이네요.

사용자 삽입 이미지

시만텍 제품에서 격리한 파일


과연, V3는 이렇게 타백신에서 격리시킨 파일의 암호를 풀어서 진단해줘야할까요 ?








728x90
반응형