태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

'가루약'에 해당되는 글 1건

  1. 2008.01.08 알약과 유사한 가루약 (3)
신종악성코드정보2008.01.08 09:24


알약이라는 이름의 무료백신이 많은 호응을 얻어서 인지는 몰라도 최근 가루약이라는 이름의 보안제품이 확인되었다.

http://www.garuyac.com/bbs/zboard.php?id=garuyac

일부 백신에서 해당 파일의 일부 모듈을 진단하기도 한다.

개인이 제작하여 배포하는 것으로 보인다.

Antivirus Version Last Update Result
AhnLab-V3 2008.1.7.11 2008.01.07 -
AntiVir 7.6.0.46 2008.01.07 DR/Dldr.Agent.256700
Authentium 4.93.8 2008.01.06 -
Avast 4.7.1098.0 2008.01.06 -
AVG 7.5.0.516 2008.01.07 -
BitDefender 7.2 2008.01.07 -
CAT-QuickHeal 9.00 2008.01.05 -
ClamAV 0.91.2 2008.01.07 -
DrWeb 4.44.0.09170 2008.01.07 Trojan.DownLoader.origin
eSafe 7.0.15.0 2008.01.06 -
eTrust-Vet 31.3.5438 2008.01.07 -
Ewido 4.0 2008.01.07 -
FileAdvisor 1 2008.01.07 -
Fortinet 3.14.0.0 2008.01.06 W32/Agent!tr.dldr
F-Prot 4.4.2.54 2008.01.06 -
F-Secure 6.70.13030.0 2008.01.07 Trojan-Downloader.Win32.Agent.gen
Ikarus T3.1.1.15 2008.01.07 -
Kaspersky 7.0.0.125 2008.01.07 Trojan-Downloader.Win32.Agent.gen
McAfee 5200 2008.01.04 -
Microsoft 1.3109 2008.01.07 -
NOD32v2 2769 2008.01.07 -
Norman 5.80.02 2008.01.04 -
Panda 9.0.0.4 2008.01.07 -
Prevx1 V2 2008.01.07 -
Rising 20.26.02.00 2008.01.07 -
Sophos 4.24.0 2008.01.07 -
Sunbelt 2.2.907.0 2008.01.05 -
Symantec 10 2008.01.07 -
TheHacker 6.2.9.183 2008.01.07 -
VBA32 3.12.2.5 2008.01.06 -
VirusBuster 4.3.26:9 2008.01.06 -
Webwasher-Gateway 6.6.2 2008.01.07 BlockReason.0
Additional information
File size: 256700 bytes
MD5: cef6e2ba0ec9fad1f63954b5d5bccff9
SHA1: d1f4f26c698065b0e8591caf88a97915bfce344d


외국에서는 알 수 없는 한국의 프로그램이 의심파일로 신고가 다수 접수되고, 다운로드 기능 등이 포함되어 있고, 일부 백신이 GD(Generic Detection)로 진단하자 다소 오해를 일으킨 것으로 보인다.

여기서 흥미로운 것은 "가루약"이라는 이름(프로그램 의미)을 이해할 수 없는 외국의 보안업체들은 업데이트 모듈을 악성코드(Downloader)로 추가하는 모습을 볼 수 있다.

특히 AntiVir 같은 경우는 파일크기까지 동일하게 진단명에 추가하였는데, 악성코드라고 최종 진단(추가)한 것으로 보인다.

처음에는 Kaspersky 와 Dr.Web 만 진단했는데, 국내의 많은 유저들이 의심파일로 바이러스 토탈에 다수 등록하면서 외국 업체들이 하나 둘 씩 반응을 보이고 있다.

개인적으로는 단순히 업데이트 모듈로 False Positive 로 봐야 맞을 듯 싶다.
이러한 현상(줄줄이 오진)이 발생하는 경우가 종종 있다.

한 백신업체가 하나의 파일을 오진하면 다른 업체들이 따라서 악성코드로 추가하는 경우이다.

물론 다운로드(시도)되는 파일이 어떠한 것이냐에 따라 그 결과가 최종 결정된다.

단순히 정상 프로그램을 다운로드 하는 것을 다운로더형 트로이목마로 단정짓는 것은 잘못된 판단이므로 지금 최종 다운로드되는 파일을 확인해 보는 것이 중요하다.

현재 다운로드 되는 순서는 아래와 같고, 일부 백신에서 진단되는 파일은 GaruYacUpdate.exe 이다.

http://www.garuyac.comcounter/run_update.html
http://www.garuyac.com/
http://www.garuyac.comupdate/update.php
http://www.garuyac.com/file/update_check.exe

최종적으로 다운로드 되는 update_check.exe 를 확인해 보았다.

NSIS로 제작되어 있으며, 설치한 자기 자신을 지우는 모듈(SelfDelete.dll)과 DLLWaitForKillProgram.dll, InstallOptions.dll, KillProcDLL.dll 등 특별히 다른 파일에 영향을 끼치는 모듈은 확인되지 않았다.

대부분 자신의 모듈을 삭제하거나 프로세스를 종료하는 기능이다.
이것으로 보아 업데이트용 모듈로 볼 수 있고, 악성코드로 보기에는 무리가 있을 것 같다.

기회가 되면 Kaspersky Lab 에 알려주어야 겠다. ^^
Posted by viruslab
TAG