델파일 컴파일하면 생성되는 바이러스인 Win32/Induc 바이러스 소동이 있었습니다.

백신 프로그램에서 일부 감염된 파일을(제품에 따라 모든 감염 파일을) 삭제해 버린 문제가 발생한 겁니다.




해당 바이러스의 진단/치료가 들어가면서 많은 업체에서 문의가 왔고 개발자 모임인 델마당에서도 한동안 이슈가 되었습니다.

http://www.delmadang.com/



 - 델파이 바이러스 ‘백신’ 과잉대응 논란 (디지털데일리, 2009년 8월 23일)
http://www.ddaily.co.kr/news/news_view.php?uid=53343


- 보안뉴스: 변형된 델파이 바이러스 대응책 마련 시급!
http://www.boannews.com/media/view.asp?idx=17550&kind=1

기사 내용의 정확성은 보안뉴스가 잘되어 있습니다.

기사를 읽으면 백신 업체에서 해당 바이러스를 진단에서 제외한 것으로 오해할 수 있지만 절대 백신 업체에서 해당 바이러스를 진단에서 제외한게 아닙니다. 

V3의 경우 진단/치료를 정상적으로하며 실행 압축 파일의 경우 치료를 못해 삭제하는 문제가 있어 실행 압축되어 있을 때만 진단을 제외했습니다.

이전에도 실행 압축 안에 바이러스가 감염된 경우가 있었지만 그 경우에는 소수였기 때문에 삭제를 권장했었죠.
- 프로그램 제작자의 잘못이기도 하구요.

* 생각할 문제

아무래도 새로운 기법을 사용하는 바이러스이다보니 혼란이 있었지만 백신업체, 개발업체(개발자), 고객들이 고민할 문제가 있습니다.

첫째, 악성코드는 악성코드

예전에 정부에서 수사목적으로 백도어를 제작할 때 백신 업체에서 진단해야하는가 논란이 있었던 적이 있습니다. 이때 몇몇 업체는 정부에 협력하기로 했고 수사목적으로 사용되는 백도어도 백도어이므로 진단해야한다고 했습니다. 비슷한 얘기이지만 특정 환경에서만 전파되지만 바이러스는 바이러스이고 백신 업체는 당연히 진단해야합니다.

둘째, 백신에서 진단/치료 기능을 제공

감염된 실행 압축 파일을 삭제 했기 때문에 문제가 발생했지 적어도 V3 를 포함한 여러 백신 업체에서는 바이러스 진단/치료는 정상적으로 이뤄졌습니다.

셋째, 감염된 파일의 삭제는 회사 정책

전통적으로 (지난 20년 간 !) 바이러스에 감염된 파일을 치료가 아닌 삭제를 하는 업체도 있습니다.
이건 회사 정책적인 문제입니다. 주로 외국 업체가 이런 정책을 가지고 있는 경우가 많습니다.

아래는 감염된 파일에 대한 삭제 권고하는 외국 백신 업체의 글입니다.

특히 이번 바이러스의 경우 정상 파일에 바이러스 감염이 아니라 컴파일러에 의해 생성되는 것이므로 감염된 파일을 치료해도 비정상적인 행동을 할 수 있다는 이유로 삭제를 권합니다.


이런 회사 정책에 다른 생각이 있다면 정책 수정을 요구하거나 사용하는 제품을 변경해야겠죠.
(그점에서는 국내 업체가 고객말 잘 듣는다고 생각하지 않나요 ? 저만 그렇게 생각하는건가요 ? 외국은 우리 정책이다하고 끝인 경우가 많은데....)


다만, 백신 업체가 예측하지 못한 점이라면 델파이로 제작하고 실행 압축 프로그램을 이용해 압축 후 고객에게 제공하는 경우가 엄청(!) 많았다는 점입니다. 국내 업체는 문제를 인식하고 실행 압축된 파일은 진단하지 않는 형태로 바로 해결이 가능했지만 바이러스에 감염된 파일의 치료보다는 삭제라는 다른 문화를 가진 제품도 수정될지는 미지수 입니다. (물론 최근에는 바이러스에 감염된 파일을 치료하는 업체들이 많이 증가했습니다.)


넷째, 이번 경우와 같이 실행 압축 파일 내에 바이러스를 포함한 경우 어떻게 처리해야하는가하는 문제도 백신업체는 고민해야 할 것입니다. (삭제를 할지.. 그대로 둘지....) 하지만, 이번 사건이 특이한 경우이고 바이러스 감염된 파일을 삭제 위주로하거나 압축된 내에 있는 바이러스 감염을 굳이 치료할 필요가 없어 그리 크게 논의 되지는 않을 것 같습니다.



--------

마지막으로 적당한 내용이 있네요.

- 델파이 사태, 새로운 보안 위협의 발견 (디지털데일리, 2009년 8월 24일)
http://www.ddaily.co.kr/news/news_view.php?uid=53389

문득 외국 업체들 중에는 '감염 파일 삭제가 우리 정책이다'로 삭제를 고수하는 업체도 있는걸로 알고 있는데..
이럴 때는 말잘듣는(?) 국내 업체가 있는게 좋은게 아닐까 싶네요.







Posted by mstoned7

댓글을 달아 주세요

  1. ByJJoon 2009.08.24 16:37  댓글주소  수정/삭제  댓글쓰기

    속 시원한 글입니다! 항상 잘 보고 있습니다.
    수고하세요.

    • mstoned7 2009.08.24 18:06 신고  댓글주소  수정/삭제

      이번 일도 각자 입장이 달라서 발생한 일이겠죠. 한편으로 백신 업체(사실 제 개인의견이지만) 얘기가 너무 없어서 한번 남겨봤습니다.


2009년 8월 19일 Win32/Induc 바이러스가 발견되었습니다.
처음에는 그저그런 바이러스라고 생각했는데 감염 방식을 듣고 개념증명 형태로 생각했는데
각종 자료와 쏟아지는 샘플을 통해 델파이 제작자들에게 널리 퍼져있음을 알 수 있습니다.

[관련자료]

- 에스지어드밴텍 '델파이 개발자, 바이러스 주의' 경고
http://ddaily.co.kr/news/news_view.php?uid=53211


- Delphi 4~7을 감염시키는 바이러스 유행중
http://www.delmadang.com/community/bbs_view.asp?bbsNo=19&bbsCat=0&st=&keyword=&indx=415299&keyword1=&keyword2=&page=1



- W32/Induc-A virus being spread by Delphi software houses
http://www.sophos.com/blogs/gc/g/2009/08/19/w32induca-spread-delphi-software-houses/




샘플을 확인해보니 이미 6월에도 이 바이러스는 활동하고 있었습니다.
다른 바이러스와 달리 일반 파일을 감염시키지 않고 델파이 개발자를 대상으로 했서 발견이 늦어 진 것으로 보입니다.
특정 목표를 대상으로 하는 악성코드는 발견되기 힘들다는 사실을 다시 한번 알 수 있습니다.


[새로운 기법 ?!]

Win32/Induc 바이러스가 사용한 방법은 델파이가 설치되어 있으면 sysconst.pas에 소스코드를 삽입하고 dcc32.exe를 이용해 라이브러리 파일을 생성해서 컴파일되는 모든 파일에 바이러스 코드를 포함하게 하는 방법입니다.

이런 방법이 이전에도 있었는지 아직 확인되지 않았지만 이전에도 C 소스 코드에 바이러스 소스코드를 include 시키는 방법이나 바이러스에 소스 코드를 포함하고 있고 컴파일러가 설치된 시스템에서 그 소스를 변형해 컴파일해 새로운 변종을 만들어 내는 바이러스는 존재했었습니다.

재 컴파일을 통해 변형을 만들어내는 바이러스로는 Apparition 바이러스 시리즈가 있습니다.

아래는 V3에서 Win32/Apparition.96239로 진단되는 바이러스에 포함된 압축된 바이러스 소스코드 입니다.


그런데... 이 바이러스도 BCC32.EXE를 컴파일에 이용하네요.
볼랜드 제품은 이래저래 악성코드 제작자들에게 사랑(?) 받고 있나봅니다.



[감염 확인]

백신 프로그램을 이용해서 검사해 보는 방법이 있지만 아직 진단 추가가되지 않은 제품도 존재하고 일부 파일의 경우 미진단하는 경우도 발견되고 있습니다.
(아무래도 컴파일러가 바이러스를 만들다보니 컴파일되는 파일마다 형태가 달라져서 진단에 어려움이 있습니다.)

감염된 파일에는 아래와 같은 문자열이 존재합니다.

sysconst 와 dcc32.exe가 존재하면 감염되었다고 생각하시면 됩니다.


하지만, 컴파일 후 실행 압축으로 배포한 형태도 많아 백신에 따라 실행 압축된 파일은 진단하지 못할 수 있습니다.
혹은 진단해도 실행압축 때문에 파일을 지워버려 사용자 입장에서는 낭패를 겪을 수 있습니다.
(오진 아닌 오진이 되어 버린거죠.)

[델파이 설정 확인]

현재까지 알려진 델파이 개발자가 취할 방법은 다음과 같습니다.

1. 델파이가 설치된 디렉토리에서 sysconst.bak 파일 찾기
2. sysconst.dcu 파일 삭제 후 sysconst.bak를 sysconst.dcu 로 변경
3. 기존 파일 재컴파일

이미 배포된 파일은 치료보다는 재컴파일을 통한 배포가 바람직해 보입니다.



기존에 정상으로 분류되었던 파일에서도 이 바이러스가 무더기로 나오네요.
- 언제부터 퍼진걸까요 ?!?!?!?!?!

속담을 하나 만들어야겠네요.

'정상으로 분석된 샘플도 다시 보자.' ..... @.@

그리고, 내일 출근하면 오진아니냐며 연락 올 많은 개발자 및 업체 여러분.....
감염된겁니다 TT

ps.

향후에는 이런 컴파일러 감염 형태에 일반 파일도 감염시킬 수 있는 기능이 포함된다면.... 아찔 하군요.

Posted by mstoned7

댓글을 달아 주세요

  1. XeroNic(HS) 2009.08.20 09:59 신고  댓글주소  수정/삭제  댓글쓰기

    '정상이라 분석된 샘플도 다시 보자.' ..... @.@
    이말에 적극 공감합니다... ^^;;;;;

    정말이지 이런 방식에 좀 더 악성적인 코드가 들어간다면;;; 아찔하네요;;ㅡㅜ

    • mstoned7 2009.08.20 11:32 신고  댓글주소  수정/삭제

      제 예상에는 다른 백신 업체에서도 정상으로 분류했던 파일들에서 바이러스가 발견되어 혼란(?)을 겪고 있을 겁니다. 또 역시 아침부터 잘 사용하고 있는 우리 파일이 바이러스 걸렸다고나오는데 오진아니냐는 문의가 엄청 들어오고 있네요.

  2. viruslab 2009.08.20 13:42  댓글주소  수정/삭제  댓글쓰기

    Virus Total Collection 확인해 보니 2월 21일에 감염된게 들어왔었네요.

    한참 오래전 부터 활동했다고 봐야 할 것 같네요.

    MD5 : bebeb5ba2b7e1f513bdaca2dfd962e23

  3. 료츠키 2010.05.29 13:20  댓글주소  수정/삭제  댓글쓰기

    그럼 델파이로 컴파일한 파일을 사용했을때 그 바이러스에 컴이 감염되어 이상이 생기나요?