노무현 대통령 배너

WinRAR 자동풀림(SFX)에 바이러스?

|


며칠 전 어떤 분에게 보낸 WinRAR 자동 압축 풀림 파일에서
트로이 코드가 검출되었다는 말이 있던 중
비슷한 요지의 글이 있어 가져와 봤습니다
참고로 전 kis 2012를 사용하고 있습니다

아래는 네이버 "바이러스 제로 시즌2" 까페의 예하 님께서 3월 14일 작성하신 내용입니다

---------------------------


여러분, 최신 버전의 WinRAR부터 과거 버전까지 여러 버전의 WinRAR을 사용 중이실 겁니다
O byte txt 파일부터 정상 실행 파일, DLL 파일 등 여러 파일로 자동풀림(SFX) 파일을 만든 후
https://www.virustotal.com 에서 실험 한 번 해보세요
아마도 1개에서 4개 정도의 백신이 진단을 할 겁니다

진단이 나오면 WinRAR.exe 부터 WinRAR이 설치된 폴더 안의 파일을 하나씩 테스트 하여 보세요
WinRAR이 설치된 폴더를 통째로 압축하여 테스트도 해보세요. 압축 패스워드도 넣어 보십시오
RAR 포맷과 ZIP 포맷 2종으로 자동풀림(SFX) 파일을 만들어 테스트도 하여 보세요
테스트한 샘플을 가지고 있다가 며칠 후 https://www.virustotal.com 에서 다시 진단을 하여 보세요
다양한 결과가 나올 겁니다

1~2개 백신이 진단을 하면 정확한 분석과 확인없이 너도 나도 경쟁하듯 엔진 DB에 추가하는 듯 보입니다
백신들이 이렇다 보니 OS의 정상 파일을 오진하는 일도 종종 생기고 백신 때문에 윈도우를 다시 설치하는 일도 벌어집니다
도스 시절의 백신은 바이러스를 치료했는데 언제부터인가 백신이 치료는 하지 않고 파일을 삭제하는 프로그램이 되었습니다
그저 엔진 DB 리스트만 갱신해서 의심가는 파일은 죄다 삭제하고 보는 기능을 하는 것이 백신일까요
사람을 위한 백신이라고 하면 감염이 의심되는 사람은 모두 죽이는 것과 다를 게 없습니다

※ 오진 사례 (극히 일부)
● 안철수연구소, V3 엔진 장애로 또 한차례 오진 문제 - http://bit.ly/wRaEie
● 알약, 자신의 업데이트파일을 악성코드로 오진 - http://bit.ly/xGHcn1
● 해외 유명 무료백신, 오진 사건 발생해 (AVG) - http://bit.ly/AeE0cE
● "악성코드 확실해?", 동유럽 PC 백신, 오진 잇달아 - http://bit.ly/xtcDXa
● 아비라 오진 사고, 자신의 DLL을 악성코드로 감지해 - http://bit.ly/x1u5jg
● 무료 백신 어베스트, 무더기 오진 사태 "멀쩡한 프로그램 다 지워" - http://bit.ly/xtjaGQ
● 정상파일 잡는 돌팔이 백신 사례 - http://bit.ly/ysf25e

검진률이 높다는 것은 그에 비례하여 오진률도 높다는 의미로 볼 수 있으며
수많은 파일들과 해당 파일을 만든 사람들이 오해받고 있다는 생각이 드는 것도 무리가 아닙니다
우리가 신고하거나 호기심에 테스트 하는 파일들이 100% 악성이며 바이러스라고 확신할 수 있을까요
또 보안 업체들은 그것을 하나 하나 명확히 분석하고 확진 후 엔진 DB에 추가하는 것일까요
검진률 (더불어 오진률도 비례하여 증가) 높은 백신이 정말 명백신인지는 다시 고민해 봐야 하지 않나 싶습니다
검진률 뿐만 아니라 오진률도 함께 공개하여야만 어느 백신이 좋은 백신인지 제대로 판별이 가능할 것인데
오진률을 테스트하여 공개를 하는 기관이나 단체는 없는 걸로 알고 있습니다
뒷면을 보지 못한채 앞면만 보고 이게 좋네 저게 좋네
반쪽짜리 평가를 하고 있는 것은 아닌지도 생각해 봐야 할 것 같습니다









And