지난 11월 19일, 외국에서 널리 사용되는 무료 백신 중의 하나인 ClamAV에서 윈도우 파일을 오진하는 사태가 발생했습니다.


이 사건으로 인해 약 25천여개 이상의 윈도우 파일들이 격리보관(Quarantined)되는 바람에 윈도우가 부팅되지 않는 등의 심각한 문제가 발생한 것으로 알려지고 있습니다.

Clam AV 개발자가 이 문제의 해결책으로 배치파일을 제시했지만, 사실상 복구가 불가능하다고 판단되고 있습니다. 해결책은 Clam AV에서 격리보관할 때 기록하는 로그 파일을 통해 원래의 위치를 찾아 되돌리도록 하는 것이었지만, 문제는 이 로그의 크기가 1MB밖에 되지 않아 25천 여개의 파일에 대한 정보는 극히 일부분만 포함하고 있기 때문입니다.

Win7 and Vista: C:\Users\All Users\.clamwin\log\ClamScanLog.txt
XP: C:\Documents and Settings\All Users\.clamwin\log\ClamScanLog.txt

따라서, 대부분 피해를 입은 사용자들은 윈도우의 덮어쓰기 또는 재설치해야 할 것을 예상됩니다.

이와 같이 거의 매년 유명한 안티바이러스 제품의 윈도우 파일 오진 사태가 꾸준히 발생하고 있습니다. 이 문제의 해결을 위해서는 화이트리스트 방식이 널리 사용되고 있지만, Clam AV에서 사용되고 있는지 여부는 모르겠습니다(!)

출처: http://www.h-online.com/security/news/item/Free-ClamWin-virus-scanner-moves-most-of-Windows-into-quarantine-1139430.html

감사합니다


reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus
    백신(안티바이러스) 제품은 보통 1-2년마다 오진이라든지 다양한 문제로 인해 사용자에게 불편을 주는 '병 주고 약 주는' 소프트웨어입니다. ESET이 개발하여 판매하는 NOD32 안티바이러스 제품에서 최신 업데이트를 설치한 이후에 치명적인 문제점이 발생하는 경우가 있어 간단히 소개합니다.

    최신 업데이트 중에서 5418 버전(2010년 9월 2일 오전 6:00, PST 기준)을 설치한 윈도우 XP SP3, 윈도우 서버 2003/2008 R2 버전의 사용자들에게서 "ekrn.exe" 문제가 발생하고 있으며, 윈도우 7에서는 문제가 나타나지 않고 있습니다. 특히, 현재 문제점이 완벽하게 해결되지 않은 상태라고 합니다.

    < 패치 설치 후에 발생하는 오류 메시지>

    문제점은 안티바이러스 제품이 탐색기(explorer)를 잠가버리는 현상으로 알려져 있으며, 기존에 실행하던 작업이 있는 경우에는 작업 관리자(taskmgr)에서 수동으로 프로그램을 옮겨가면서 작업을 마무리하고, 컴퓨터를 완전히 껐다가 켜야(cold boot) 한다고 합니다.

    더욱이 문제가 되는 부분은 바로 서버 운영체제입니다. 이 문제로 인해 서버를 관리자가 수동으로 꺼야하는데, 대부분의 서버들은 IDC와 같이 물리적으로 멀리 떨어져 있는 곳에 있는 경우가 많기 때문입니다.

    조속히 문제점을 해결하는 패치가 나와야 하며, 특히 서버쪽에서는 담당자가 운영하는 서비스가 제대로 동작하고 있는지 파악해야 합니다.

    감사합니다.

    회사 공식 답변: http://kb.eset.com/esetkb/index?page=content&id=NEWS99
    출처: http://www.thinq.co.uk/2010/9/2/eset-nod32-antivirus-pains/
    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus
      최근 안티바이러스 제품의 오진이 화두가 되고 있는 가운데, 시만텍에서 또다시 오진 사태가 발생했다는 소식입니다.

      이 번에는 Wow(World of Warcraft)라는 블리자드에서 개발한 온라인 게임으로 특정 파일을 악성 코드로 간주하는 문제라고 합니다.

      국내에서는 시만텍 제품이 개인용으로 많이 퍼져 있지 않아 문제의 소지가 적습니다만, 외국에서는 뉴스화될 정도입니다.

      유럽쪽 Wow 포럼에서 올라온 글 중에서 오진에 관한 사항은 아래와 같습니다.

      Severity = High
      Activity = Auto-Protect has detected Infostealer
      Date & Time = 15/05/2010 (various times from 9:00 to now)
      Status = Blocked
      Recomended Action = Resolved no action

      Risk Catagory = Virus
      Definitions Version 2010.05.14.048
      Severity = High
      Component = Auto-Protect
      Status = Blocked
      File Name = c:\users\public\world of warcraft\scan.dll.new

      출처: http://www.theregister.co.uk/2010/05/17/symantec_wow_false_alarm/


      reTweet
      Posted by 문스랩닷컴
      blog comments powered by Disqus
        AVG 안티바이러스 제품의 기능 중에서,

        웹 필터링을 담당하는 링크 스캐너 에서,

        특정 사이트를 오진하는 문제점이 발생했다는 소식이 외국에 나왔습니다.

        다행히 국내 사용자가 자주 방문하는 사이트는 아닐 것으로 예상됩니다.


        "Infection found.
        _________________________________________________
        Scan name: Online Shield findings
        Infection type: Infection
        Infection name: Exploit
        Object name: a.total-media.net/js.ng/s=ynt&ynch=8.Central&ynct=home&yngo=1&tmgn=99&tmin=15,29&ynpc=8.Central&dayom=23&affiliate=ynt&cw=1276&sw=1280&yntt=prmm&ft=745x162&params.styles=yn.homepage.premium&pos=2&adID=ads.primium&tile=1117329576284
        Object state: Object was blocked "

        현재 패치가 나와 있지 않은 상태이므로, 링크 스캐너의 기능을 일시적으로 중지하는 대안만이 제시된 상태입니다.

        reTweet
        Posted by 문스랩닷컴
        blog comments powered by Disqus

          지난 토요일, 비트 디펜더를 설치해 사용중인 사용자 중 64비트 윈도우에서 Trojan.FakeAlert.5 바이러스로 오진하여 문제가 발생하고 있습니다.

          오진하는 파일은 윈도우 탐색기와 같이 윈도우 운영체제에 관련된 파일과 비트 디펜더 제품 자체의 파일도 포함되고 있어, 문제점이 심각합니다.

          이에 대해 비트디펜더 측에서는 안내문을 인터넷 상에 게시하고, 대체할 수 있는 방법도 알려주고 있습니다.


          문제점을 해결하는 방법은 다음과 같습니다.

          1. 비트 디펜더를 실행하고 Expert Mode로 전환합니다.

          2. Antivirus 탭에서 Realtime Protection을 중지합니다.(일시 중지가 아니라 완전한 중지)

          3. Quarantine 탭에서 Trojan.FakeAlert.5로 진단하여 격리한 모든 파일을 원래대로 복원합니다.

          4. 컴퓨터를 다시 시작합니다.

          5. 비트 디펜더를 실행하고 Expert Mode로 전환합니다.

          6. 바이러스 데이터베이스를 업데이트하고, 2번에서 중지한 실시간 감시를 다시 켭니다.


          만약 윈도우가 정상적으로 시작하지 않는 경우에는 다음과 같이 두가지 방법을 사용할 수 있습니다.

          * 마지막으로 성공한 구성으로 로그온

          1) 컴퓨터를 켜면서 F8키를 이따금씩 눌러 줍니다.

          2) 안전 모드를 선택하는 화면에서 '마지막으로 성공한 구성으로 로그온'을 선택하고 엔터키를 누릅니다.

          * 시스템 복원

          만약 위의 방법으로도 해결할 수 없는 경우에는 보통 윈도우를 재설치해야 하는 경우가 많습니다.


          감사합니다.
          reTweet
          Posted by 문스랩닷컴
          blog comments powered by Disqus
            강력한 안티스팸 기능으로 중무장한 지메일(Gmail)에서 자사의 애드센스(AdSense) 광고 메일을 스팸으로 분류하는 아주 어이없는 일이 발생하네요.

            보통 스팸 편지함을 그냥 지워버리는데, 우연찮게 발견했네요.




            reTweet
            Posted by 문스랩닷컴
            blog comments powered by Disqus
              국내에서는 그리 큰 영향력이 없지만, 외국에서 AVG는 나름대로의 시장 점유율을 가지고 있는 업체입니다.

              최근 AVG 안티바이러스에서 iTunes의 특정 파일을 악성코드로 진단하는 오진 사례가 발생하였습니다. 이 문제는 매킨토시에서 윈도우를 설치하는 환경에서 발생하는 것으로 알려졌습니다.

              iTunes 프로그램에 포함된 파일 중 iTunes.dll과 iTunesRegistry.dll 파일이 "Troyan horse Small.BOG" 트로이 목마에 감염되었다고 진단합니다. 일부 사용자는 실제 바이러스가 걸린 것으로 생각하고 iTunes을 재설치하였지만 동일한 진단을 하였다고 합니다.

              재미있는 사실은 AVG 웹 사이트에서 Small.BOG라는 이름을 가진 악성 코드가 없다는 점입니다.

              아직까지 이에 대한 패치가 나오지 않았으며, 다음과 같이 실시간 감시 기능에서 해당 폴더를 제외하게 하여 임시로 사용할 수 있습니다.
              • Resident Shield -> Manage Exceptions -> Add Path에서 "C:\Program Files (x86)\ipod" 폴더를 추가합니다.
              아래는 AVG의 오진 사태를 토론하는 매킨토시 포럼의 URL입니다.

              http://discussions.apple.com/thread.jspa?threadID=2092831&start=0&tstart=0

              reTweet
              Posted by 문스랩닷컴
              blog comments powered by Disqus
                요즘 안티바이러스 업계의 굴욕(!)이 계속되고 있습니다. 어제 그제에는 무료백신으로 유명한 어베스트!에서 엑셀 파일에 관련된 오진(오탐)이 나오기도 했습니다. 아래 자료를 참고하세요.

                http://avast.co.kr/409

                다만 엑셀 파일에 대한 것이어서 일반적인 피해는 적은 편입니다만, 이번에는 카스퍼스키 제품에서 윈도우의 핵심 파일을 오진하는 사태가 발생한 적이 있습니다. 이에 대한 소식을 전해 드립니다.

                지난 12월 19일, 카스퍼스키 안티 바이러스 제품의 제작사인 카스퍼스키 랩에서는 잘못된 시그내처 업데이트로 인해 윈도우 탐색기(explorer.exe) 파일을 Huhk-C 바이러스에 감염되었다는 오진을 하게 했습니다.
                사용자 삽입 이미지
                이로 인해 탐색기 파일을 격리 보관하거나 삭제하는 경우에는 윈도우가 정상적으로 실행되지 않는 사태가 발생하였습니다.

                이러한 사실은 카스퍼스키 포럼에서 Carl이라는 사용자가 올린 글을 통해 알려졌으며 수많은 사람들이 이에 대한 댓글을 통해 오진인지 여부에 대한 이야깃거리가 난무했습니다. 오진으로 인해 'explorer 파일을 삭제하는 경우'에 가장 최악의 사태가 발생하는데 이 사용자는 회사에서 네트워크 검사를 통해 삭제하는 바람에 근무 외시간까지 일을 해서 새벽 5시경에 정리할 수 있었다고 합니다.

                한편 카스퍼스키 영국(UK) 관계자에 따르면 영국 고객 중에서 이러한 오탐으로 인해 문제가 발생한 경우는 한 회사와 3명의 사용자뿐이었다고 합니다. 또한, 이러한 사태가 앞으로 발생하지 않도록 하기 위해 내부적으로 테스트 시스템을 더욱 향상시킬 것이라고 합니다.
                reTweet
                Posted by 문스랩닷컴
                blog comments powered by Disqus

                  중국에서 유명한 안티 바이러스 업체로 Rising Antivirus의 제작사인 Rising Tech 社는 경쟁 제품인 카스퍼스키가 자사의 프로그램을 바이러스로 오진하는 중대한 6개의 실수를 했다고 주장했다.

                  이러한 방해로 인해 두 회사 간에 분쟁이 발생해 왔으며 최근 5월달에 카스퍼스키 안티바이러스 제품의 업데이트 이후에 Rising Tech 소프트웨어를 잠재적인 악성 프로그램을 분류해 오면서 시작되었다고 합니다.

                  이러한 문제점은 카스퍼스키의 바이러스 자동 진단 또는 휴리스틱 진단에서 주로 발생하였으며 이러한 문제가 발생할 때마다 재빨리 문제를 해결했다고 합니다. 하지만, 사실적으로 이러한 문제로 인해 Rsing Tech 소프트웨어가 영향을 받는 것을 자명한 사실일 것입니다. 특히, 두 제품을 모두 설치하여 사용하는 사용자에게는 어느 한 제품에서 이러한 문제가 발생하는 경우에는 Rising Tech 제품이 업데이트를 진행하지 못하는 사태에 이르게 한다고 합니다.

                  특히, Rising Tech는 지난 6개월간 이러한 문제점이 모두 22건이나 발생하였으며 5월 30일 경 카스퍼스키 북경 지사를 고소할 계획이라고 밝혔습니다.

                  이러한 안티 바이러스 프로그램끼리의 오진은 과거에는 자주 있었지만 최근에는 그리 자주 나타나는 문제는 아닙니다.

                  참고: 중국 인터넷침해사고 대응센터의 자료

                  reTweet
                  Posted by 문스랩닷컴
                  blog comments powered by Disqus
                    NOD32의 바이러스 시그너처(빌드 2365)에서 웹 페이지를 방문할 때에 바이러스가 감염되었다고 혼동을 주고 있다고 한다. serving-sys.com 사이트의 eBannerMain_62_36.js 스크립트에 Tivso.14a.gen 트로이 목마가 있다고 경고한다. 또한, Pc World, 야후, heise.de 등 다른 많은 웹페이지에서도 동일한 문제가 나타난다고 한다. 문제가 되고 있는 이 스크립트는 NOD32 바이러스 스캐너가 위험하다고 분류하기 때문인데 이는 몇몇 새로운 항목을 포함하기 때문이라고 합니다.

                    NOD32는 새로운 시그너쳐인 2366을 업데이트하였으며 이러한 오류의 원인은 배너 광고 서버에서 사용된 일반적인 시그내처를 잘못 진단한 것이라고 밝혔다.
                    사용자 삽입 이미지

                    기존 빌드 사용자는 가급적 최신 빌드로 업데이트하시기 바랍니다.
                    reTweet
                    Posted by 문스랩닷컴
                    blog comments powered by Disqus


                      Web Analytics Blogs Directory