제가 악성코드 분석을 하다가 분석이 끝난 후 ,
안철수연구소 미진단 파일들은 안철수연구소에 신고를 합니다 .

그런데 제가 악성코드들을 샌드박스내에서 분석을 하기 때문에
테스트를 마친 악성코드들은 압축을하여서
샌드박스 밖으로 꺼냅니다 .

신고후 , 진단 되기 시작했다는 답변을 받고
압축해놓은 악성코드를 검사해보면 ,
진단은 무슨 ? _ _

여전히 진단을 못하는겁니다 _ _

그런데 , 압축을 풀어놓고 진단을 하면 진단을 하는겁니다 .....

황당무게죠 _ _

안철수연구소로 곧바로 문의했습니다 .

문의 : 압축해 놓은 악성코드는 V3 Lite가 진단하지 않습니다 .
답변 : 환경설정에서 압축파일 검사하기 설정을 해야 합니다 ......

당근 , 이미 그렇게 설정하고 있지요 _ _


그런데 실상 그 이유는 아래와 같습니다 .

우선 아래 압축 파일을 V3 Lite가 정상적으로 진단하는 경우입니다 .
(제가 지난 달 말일에 안철수연구소로 신고했던 파일들의 압축입니다 ...
그 내용은 중요한게 아니고 진단 여부에 집중해 주세요 ^ ^ )


감염 - 5개 : 정상 진단 상태입니다 .

그런데 똑같은 파일을 재검사한 아래 검사 결과를 보십시오 .



검사수 - 3개 : 두개가 없어졌습니다 _ _

그 이유는 그림만 보셔도 이해하실 걸로 믿습니다 .....

처음 정상 검사 결과 출력 때는 
V3 Lite와 같이 설치된 알약의 실시간 감시가 꺼져 있었습니다 .

두번째 뭔가 없어진 검사 결과 출력은
알약도 진단중인 xp-police.exe 를 V3 Lite가 검사하기 전에
알약이 삭제를 해버렸기 때문에 V3 Lite가 xp-police.exe 를 검사하지 못해서
결과 출력 역시 없는 것입니다 ......

이는 V3 Lite가 압축 파일을
\AhnLab\V3Lite\Temp에 압축 풀어놓고 검사하는데서 연유합니다 .....

위 V3 Lite의 결과는 알약 실시간 감시 On ,
V3 Lite 실시간 감시 off 였습니다 .

이번에는 역 테스트를 해봤습니다 .

이번에는 
알약 실시간 감시 Off ,
V3 Lite 실시간 감시 On 하고 알약은 어떻게 진단 결과를 출력하는지
보았습니다 .


V3 Lite 실시간 감시 오프 - 알약 xp-policy.exe 진단 .

 
V3 Lite 실시간 감시 온 - 알약 xp-policy.exe 미진단 .

알약 역시 V3 Lite 실시간 감시 온인 상태에서는 압축 파일 검사를
제대로 하지 못함을 확인하였습니다 .....

참고 : 위 알약과 V3 Lite의 경우는 테스트 해보니
         둘 다의 실시간 감시를 모두 킨 경우에도 똑같이 적용됩니다 .

이번에는 V3 IS 2007 Platinum을 참여시켜 보았습니다 .

1 . 알약 실시간 감시 오프 .

위의 V3 Lite와 감염 파일 수자가 다른 것은 카운팅 방식의 차이 때문이며
진단은 똑같이 한 것입니다 .


2 . 알약 실시간 감시


참고 : 테스트에 사용된 샘플에 대하여 알약보다 V3 Lite와 V3 IS 2007 Platinum의
          검색율이 높은 이유 ? 말씀 안드려 아시죠 ? ^ ^

          제가 안랩에 신고해서 분석/진단되고 있는 것들이란거 ...... ^ ^

         그러므로 본 샘플 결과만으로 알약과 V3의 검출율을
         어느 쪽이 우수하다 이런 식으로 유추하지는 마시기 바랍니다 .

글을 마치며 ......
 
백신 충돌의 한 예로 써보았습니다 . 
본 포스트에서 예를 든 경우는 두 백신중 어느 쪽이 잡아도 잡으면 그만인지 모릅니다 .  

그런데 사실 진짜 심각한 백신 충돌은

1 . 시스템 자체가 아예 부팅이 불가할 수 있습니다 .
    ( 이 경우는 안전모드로 부팅해 충돌하는 백신들중 하나를 제거해줘야 합니다 .)

2 . 오진 및 미진단의 원인의 됩니다 .

3 . 시스템 자원을 낭비해 시스템이 느려지므로 
    시간 낭비의 요소가 됩니다 .

이러한 이유로 하나의 시스템에는
하나의 백신 설치
를 글벌레는 권장합니다 ......!

첨언 : 

개인적으로는 백신들이 이와 같은 방식으로
다른 백신의 참견을 받는 것도
취약점이 될 수 있지 않을까 느껴집니다 ......

가장 쉬운 예로
어떠한 말웨어가 V3의 temp 폴더에 무엇이 있을 수 있다는 가정하에
RUN 등록 항목 파일을 뿌려댄다면 ?

물론 V3 Lite의 경우 템프 폴더 밑으로 T1 ,T0 이런 식으로 임의 폴더를 생성하므로 이런 가능성을 막기는 하지만 개선의 여지가 있어 보입니다 .........  

첨언 2 :

오늘 든 예는 알약과 V3 뿐만 아니라 ,
그 외어떠한 백신들이든 중복으로 설치시는
일어날 수 있는 문제입니다 .....
 

글벌레의 블로그에서 윗글과 관련된 글벌레의 다른 글 또는 원하시는 내용을 찾아보세요 .
(컴퓨터 관련 또는 기타 검색 시는 키워드 검색을 하세요 . 예 - 프로세스 익스플로러)
(TV 드라마 또는 영화 관련 검색 시는 드라마/영화 제목으로 검색하시면 됩니다.)

검색 예시 - 예를 들어 구가의 서라고 검색하시면
구가의 서와 관련된 글벌레의 모든 리뷰들을 보실 수 있습니다.

 
 
Posted by 글벌레

댓글을 달아 주세요

  1. saf 2009.07.01 22:10 신고  댓글주소  수정/삭제  댓글쓰기

    알약. V3lite.pc그린>> 하나의 보조수단 입니다...

    백신은 윈도우에 <악성코드.바이러스.스파웨어 등등>침입할경우 차단하고 치료하는것뿐...윈도우 취약점 까지 막아주지는 못합니다...

    물론 백신도 중요하지만... 윈도우 보안패치는 더더욱 중요합니다..

    윈도우 취약점을 통해 변종 바이러스. 악성코드. 트로이목마가 침투 합니다.
    백신에서는 차단은 하겠지만...특히 변종일경우 치료가 안되거나.탐지 안되는 경우가 있습니다... 하지만..
    대부분 사람들은 이런 경우 생기면.. 전부 백신 성능 탓으로만 돌리곤 하는데..
    정말 잘못된 것입니다..

    <2090바이러스> <- 대부분이 윈도우 보안 패치를 안해준 컴퓨터에 감염됩니다.

  2. 이세규 2010.07.14 03:25 신고  댓글주소  수정/삭제  댓글쓰기

    알약+V3켰다가 충돌나는것을 목격한 1人
    갑자기 블루스크린이 ㄷㄷ