본문 바로가기
보안경고 & et cetra

V3 Lite가 압축파일 안 악성코드를 진단하지 못할 때

by 글벌레 2009. 2. 4.
반응형

제가 악성코드를 관찰하다가 관찰이 끝난 후, 안철수연구소 미진단 파일들은 안철수연구소에 신고를 합니다.

그런데 제가 악성코드들을 샌드박스 안에서 분석을 하기 때문에 테스트를 마친 악성코드들은 압축을 해서
샌드박스 밖으로 꺼냅니다.


신고 후, 진단 되기 시작했다는 답변을 받고 압축해 놓은 악성코드를 검사해 보면,
진단은 무슨? _ _
여전히 진단을 못하는 겁니다 _ _

그런데, 압축을 풀어놓고 진단을 하면 진단을 하는 겁니다.....

황당무계하죠 _ _

안철수연구소로 곧바로 문의했습니다.

문의: 압축해 놓은 악성코드는 V3 Lite가 진단하지 않습니다.
답변: 환경 설정에서 압축파일 검사하기 설정을 해야 합니다.

당근, 이미 그렇게 설정하고 있지요 _ _


그런데 실상 그 이유는 아래와 같습니다.

우선 아래 압축 파일을 V3 Lite가 정상적으로 진단하는 경우입니다.
(제가 지난달 말일에 안철수연구소로 신고했던 파일들의 압축입니다...
그 내용은 중요한 게 아니고 진단 여부에 집중해 주세요 ^ ^ )


감염 - 5개 : 정상 진단 상태입니다.

그런데 똑같은 파일을 재검사한 아래 검사 결과를 보십시오.



검사수 - 3개 : 두 개가 없어졌습니다 _ _

그 이유는 그림만 보아도 이해하실 걸로 믿습니다.....

처음 정상 검사 결과 출력 때는 
V3 Lite와 같이 설치된 알약의 실시간 감시가 꺼져 있었습니다.

두 번째 뭔가 없어진 검사 결과 출력은
알약도 진단 중인 xp-police.exe 를 V3 Lite가 검사하기 전에
알약이 삭제를 해 버렸기 때문에 V3 Lite가 xp-police.exe 를 검사하지 못해서
결과 출력 역시 없는 겁니다......

이는 V3 Lite가 압축 파일을
\AhnLab\V3Lite\Temp에 압축 풀어놓고 검사하는 데서 연유합니다.....

위 V3 Lite의 검사 결과는 알약 실시간 감시 On, V3 Lite 실시간 감시 off 였습니다.

이번에는 역 테스트를 해 봤습니다.

이번에는 
알약 실시간 감시 Off,
V3 Lite 실시간 감시 On 하고 알약은 어떻게 진단 결과를 출력하는지
보았습니다.


V3 Lite 실시간 감시 오프 - 알약 xp-policy.exe 진단.

 
V3 Lite 실시간 감시 온 - 알약 xp-policy.exe 미진단.

알약 역시 V3 Lite 실시간 감시 On인 상태에서는 압축 파일 검사를
제대로 하지 못함을 확인하였습니다.....

참고 : 위에 적은 알약과 V3 Lite의 경우에는 테스트해 보니
         둘의 실시간 감시를 모두 켜 놓은 경우에도 똑같이 적용됩니다 .

이번에는 V3 IS 2007 Platinum을 참여시켜 보았습니다.

1 . 알약 실시간 감시 오프.

위의 V3 Lite와 감염 파일 숫자가 다른 것은 카운팅 방식의 차이 때문이며
진단은 똑같이 한 겁니다 .


2 . 알약 실시간 감시


참고 : 테스트에 사용된 샘플에 대하여 알약보다 V3 Lite와 V3 IS 2007 Platinum의
          검색율이 높은 이유? 말씀 안 드려도 아시죠 ? ^ ^
          제가 안랩에 신고해서 분석/진단되고 있는 것들이란 거...... ^ ^

         그러므로 본 샘플 결과만으로 알약과 V3의 검출율을
         어느 쪽이 우수하다 이런 식으로 유추하지는 마시기 바랍니다.

글을 마치며 ......
 

백신 충돌의 한 예로 적어 보았습니다. 
이 글에서 예를 든 경우는 두 백신 중 어느 쪽이 잡아도 잡으면 그만인지 모릅니다.
그런데 사실 진짜 심각한 백신 충돌은

1. 시스템 자체가 아예 부팅이 안 될 수도 있습니다.
    ( 이 경우에는 안전 모드로 부팅해 충돌하는 백신들 중 하나를 제거해 줘야 합니다 .)

2. 오진 및 미진단의 원인의 됩니다.

3 . 시스템 자원을 낭비해 시스템이 느려지므로 
    시간 낭비의 요소가 됩니다.

이러한 이유로 하나의 시스템에는
하나의 백신 설치
를 글벌레는 권장합니다......!

첨언 : 

개인적으로는 백신들이 이와 같은 방식으로
다른 백신의 참견을 받는 것도
취약점이 될 수 있지 않을까 느껴집니다......

가정하기 가장 쉬운 예로
어떠한 말웨어가 V3의 temp 폴더에 무엇이 있을 수 있다는 가정하에
RUN 등록 항목 파일을 뿌려 댄다면?

물론 V3 Lite의 경우 템프 폴더 밑으로 T1 ,T0 이런 식으로 임의 폴더를 생성하므로 이런 가능성을 막기는 하지만 개선의 여지가 있어 보입니다.........  

첨언 2 :

오늘 든 예는 알약과 V3 뿐만 아니라,
그 외 어떠한 백신들이든 중복으로 설치 시는
일어날 수 있는 문제입니다.....
반응형

댓글