Avast! Win32:Delf-MZG [Trj] 오진에 대한 단상

2009년 12월 3일 업데이트에서 어베스트(Avast!)가 일부 파일을 Win32:Delf-MZG [Trj]로 오진하는 문제가 생겼습니다.

[관련기사]

- 알집이 바이러스?... 어베스트 백신 진단오류 속출 (디지털데일리, 2009년 12월 3일) http://www.ddaily.co.kr/news/news_view.php?uid=57000

국내 파트너사도 공지가 올라왔습니다.

- (긴급 공지) AVAST! 트로이 목마 진단에 관한 안내문
http://www.avast.co.kr/notice/587

현재 다음 업데이트에서 오진이 해결되었다고 합니다.

어베스트의 경우 2008년 11월 30일에도 네이트온 및 기타 프로그램을 Win32:Search로 진단했었죠. 하지만, 이런 문제는 비단 어베스트만 일으킨게 아닙니다.

백신 업체들의 주요 오진 사례는 다음과 같습니다.

- 2005년 4월 23일 트렌드마이크로 사에서 배포한 패턴 2.594.00에서 시스템 자원을 100% 사용하고 시스템이 느려지고 윈도우 XP 서비스 팩 2 혹은 윈도우 2003 서버에서는 운영이 불가능해질 수 있는 문제가 발생했다. - 2006년 3월 맥아피 DAT 4715는 마이크로소프트 엑셀, 플래쉬 플레이어(Macromedia Flash Player), 어도베 업데이트 매니저(Adobe Update Manager), 구글 툴바 설치 파일(Google Toolbar Installer)를 악성코드로 진단했다. - 2007년 5월 18일 시만텍 노턴 안티 바이러스 제품에서 중국어 윈도우 XP 서비스 팩2 파일인 netapp32.dll과 lasass.exe를 Backdoor.Haxdoor로 오진하고 시스템 파일을 삭제해 버려 시스템이 부팅되지 않는 문제가 발생했으며 2008년 7월 10일 안철수연구소는 윈도우 XP 서비스 팩 3의 LSASS.EXE 파일을 악성코드로 진단해 삭제해버려 시스템이 부팅되지 않는 문제가 발생했다. - 2008년 11월 30일 어베스트!(Avast!)는 네이트온 및 기타 프로그램을 Win32:Search로 진단했다. - 2008년 12월 8일 알약이 알약에 포함된 AYUpdate.exe를 S.SPY.Lineag-GLG로 진단해 자신이 자신을 진단하는 해프닝도 있었다. - 2009년 2월 16일 맥아피 바이러스스캔에서 삼성증권 홈트레이딩시스템(HTS:Home Trading System)의 키보드 보안 프로그램을 악성코드로 오진한다.

다른 업체 오진 사건이라 언급 안하려했지만 문제가 좀 심각하고 오진에 대해 잠깐 얘기하려 합니다.

사실 백신 업체에 있어 오진문제는 악성코드 진단 문제 만큼 참 심각합니다. 백신 업체에서는 악성코드 추가도 하지만 오진이 발생한 시그니처의 제거도 매일 하고 있습니다. 다행히 대부분의 오진은 특정 파일에 대해서 발생해 고객의 불편이 한정됩니다.

오진은 크게 정상을 악성으로 분석해 발생시키는 오진과 진단값을 잘못 잡아 악성코드 외에 정상 파일까지 잡아버리는 형태로 나눌 수 있습니다.

이번 사건은 진단값을 잘못 잡아 정상 파일을 악성코드로 진단한 걸로 보입니다. 주로 델파이 파일에서 발생하는걸로 봐서 델파이 파일 공통 영역을 진단으로 잡은 듯 합니다.

정상 파일의 보강 및 오진을 최소화할 수 있는 진단법을 연구해야 할 겁니다.

우스개 소리로 악성코드 분석가 중에 WinRAR SFX 파일을 오진 내보지 않은 사람이 없다고들 하죠. WinRAR SFX 파일의 경우 앞부분에 공통 코드가 붙고 뒷부분에 데이터가 붙기 때문에 분석가들이 앞부분을 진단해서 오진 내기 쉽습니다. 현재는 진단 방법이 바뀌어서 안랩 신입사원의 경우 이런 문제를 일으키기 힘든 구조가 되었지만요.

백신 업체의 골치 거리 오진 문제...
아무쪼록 빨리 문제가 해결되었으면 합니다.

ps.

어제까지 멀쩡하던 정상 파일이 악성코드로 진단되면 오진을 의심해 보시기 바랍니다.