AVG user32.dll 삭제 오진
아 할일은 많은데 머릿속은 잡생각이 가득하여 집중은 되지 않고 해서 졸음이나 내보낼 겸 쵸큼
여기저기 돌아다니다가 재밌는걸 발견하여 올립니다 (사실은 사진 민망해서 빨리 다음 페이지로
넘기려고 ;; )
AVG 에서 이번 V3에서와 같은 오진 사고를 저질렀군요.
user32.dll 을 Trojan Horses PSW.Banker4.APSA 또는 Generic9TBN 으로 오진하여
파일을 삭제해버립니다. 따라서 리붓하면 부팅이 제대로 되지 않겠죠 lol
이번에는 SP3 문제도 아닌 SP2 에서의 문제이므로 머, 일부 몇몇 SP2일지도 모르겠다만
어쨌든 제대로 테스트 안한건 빼도 박도 못하겠네요.
보안 프로그램들... 백신이든 다른 솔루션이든 엔진 설계시에 native process와
system dll 은 삭제하기 전에 한번 더 체크하는 루틴이 필수적이라고 생각합니다.
그래야 오진을 내더라도, 최소한 지우지는 않죠.
그리고 이번 얘기와 사실 별개지만, 요즘 사실 오진 문제는 V3나 AVG가
재수없어서 잇슈가 된거지 그외 대부분의 백신들 역시 무수히 많은 오진을 내고 있습니다.
그 상당히 많은 경우의 수가 바로 프로텍터/패커를 사용했을 경우인데,
시그너쳐 추출 툴이 예전에 프로텍터가 다양하지 않았던 시절에 제작한 것이라면
추출 알고리즘에 문제가 있을 수도 있으므로 그것에 대한 개량도 필요하다고 봅니다.
그래야 패킹만 하면 백신에 잡혀버리는 사태를 쵸큼이라도 줄일 수 있을테니까요.
또 테스트 환경도 다시 갖춰야 한다고 봅니다. 것이고요, 예를 들어 eXPressor, EXECryptor,
DingBoy 등 머 이딴 쵸큼 희귀한 패커로 된 바이러스 샘플에 대한 시그너쳐를 추출했을 때,
몇몇 샘플 애플리케이션을 제작하여 엔진 패치 전에 해당 샘플을 각 패커로 패킹해보고 혹시
그것을 오진하여 잡지 않는지 그런 테스트 또한 필요하다고 생각합니다.
어쨌든 패커가 다양해져서 바이너리 추출에 대한 애로점이 커지고, 저기서 본 코드가
여기도 있고 쟤 소스가 내 소스고 내 소스가 쟤 소스인 즉, 인간들이 짜는 코드가
포화 상태에 이르러 unique한 값을 찾기 힘들게 된 지금이라도 그런 안전장치가 없는 플그램은
이런 부분에 대해 다시 한번 체크하는 계기가 되었으면 합니다.
머 즉 결론은,,,,V3나 AVG에 대해 머라고 너무 하지 말자 ;; 라는 얘기...저도 무수한 사고
많이 쳐봤습니다 :$/ 무조건 면죄부를 주자는 얘기는 아니지만 사실 사고 한두번 안쳐본
사람이 어디있나요... 동종업계에서 다들 사정 뻔히 잘 아시니 적어도 우리라도 이해하는 분위기를 ^^;
AVG 오진에 관한 글
http://securityandthe.net/2008/11/10/avg-virus-scanner-removes-critical-windows-file/
http://smokeys.wordpress.com/2008/11/09/severe-problems-with-winxp-after-avg-antivirus-marked-user32dll-as-trojan-horse-psw-banker4/
시스템 날라가서 괴로워하는 꼬꼼화
http://kristofmattei.be/2008/11/09/avg-8-update-marks-user32dll-as-false-positive-on-xp-sp2/
window31
2008년 11월.
