달력

82022  이전 다음

  •  
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31
  •  
  •  
  •  
http://newvirus.tistory.com/99 [정상프로그램도 악성코드가 될 수 있다?]
이글을 보고 문득 포스팅 해봐야 겠다는 생각이 들었다.
치료가 아닌 삭제여서 업무를 할 수 없는 상태였다.

얼마전 갑자기 묶어내놓았던 셋업에서 바이러스가 있다는 소식을 접했다.
얼른 백신프로그램으로 점검을 하였다. 그러나 바이러스가 검출되지 않았다.
바이러스가 없는데 무슨 이야기냐고 이야기 하였다.

이리저리 확인한 결과 nprotect 를 통해서 점검을 했다는 이야기를 접했다.
K은행에서 nprotect로 점검을 하였다는 이야기를 들었고 K은행 사이트에 접근하여
점검을 하였다. 그런데, 정말 바이러스로 검출이 되었다.

설마하고, 치료를 하고 다시 혹시 몰라 정품CD를 통해서 설치를 했다.
그런데, 이게 웬일인지 다시 바이러스에 떠오는게 아닌가.
이상하다 생각해서 바이러스의 정보를 확인 하였다.
그랬더니 특정사이트에 접근하여 파일을 받아와서 감영시키는 바이러스 라고 되어 있었다.

이 프로그램을 이용해서 셋업파일을 2개를 만들어 낸다.
그러나, 하나의 파일은 바이러스로 검출이 되고, 하나는 바이러스로 검출이 되지 않는다.
특이한 사항은 하나는 모든 내용을 포함하고 있는 것이며, 하나는 몇가지만 간추리는 버전인데,
간추린 버전만 바이러스로 검출이 된다.

과연 정말 바이러스일까? 라는 의문이 들기 시작했다.

사내에서 사용하는 WISE 8.12 라는 인스톨프로그램을 사용하는데 이프로그램이 바이러스로 잡히는 거였다.
아무리봐도 버전이 오래 되어서 이지 않을까 싶다.
WiseCrystalClient.exe 바이러스라고 추정하는 프로그램이다.
이 프로그램이 2000년도쯤에 제작된 프로그램인듯하다.
WISE 프로그램은 상당기간 오랬동안 사용한 프로그램인데.. 라는 생각이 들었다.

그래서 nprotect 사이트에 가니 바이러스의심되는 파일을 보내는곳이 있어서 메일을 보냈다.
그러나, 몇일동안 답변또한 없다.

결론은 일단 그냥 사용하자로 결론이 났다.
빠른 시일내에 처리해야 하는 상황이므로 일단 작업을 진행하였다.

과연 어느것이 진실일까?
너무 쫍혀서 검사하는 것일까?
정상프로그램인데 바이러스로 검출한건 아닐까?

Posted by 곰아리

댓글을 달아 주세요

  1. Favicon of http://blog.naver.com/bluestarmail BlogIcon Ken  댓글주소 수정/삭제 댓글쓰기 2007.08.20 18:24

    안녕하세요 ^^
    nProtect제품을 제공하는 잉카인터넷에서 바이러스 분석을 담당하고 있는 분석가입니다.
    답변이 없다는 곰아리님의 말에 확인을 해 본 결과 신고메일이 전달되지
    않는 문제가 발생하여 제가 직접 답변을 드리고자합니다.
    Ken@inca.co.kr 로 해당 샘플을 보내주시면 분석후 답변을 드리겠습니다.
    오늘도 좋은 하루 되십시오. 감사합니다 ^^

    • Favicon of https://lovesage.tistory.com BlogIcon 곰아리  댓글주소 수정/삭제 2007.08.20 19:20 신고

      메일 내용입니다.^^
      안녕하세요
      즐거운 하루를 보내고 계신지 모르겠습니다.

      블로그를 돌아 다니다가 트래백에 보시면 아시겠지만 이와 관련된 글을 보고 문득 생각이 들어서
      블로그에 정리를 해봤습니다.
      악의를 가지고 글을 올린건 아니라는걸 알아주셨으면 좋겠습니다.

      첨부로 보내드릴수 없어서 경로로 보내드리도록 하겠습니다.

      http://XXX.XXX.XXX.XXX/Setup.zip

      확인좀 부탁드립니다.

      XXXX 의 경우에는 검색되지 않았습니다.

      프로그램이 오래되서 그럴수 있다고 생각하고 있습니다.
      기존부터 꾸준히 사용해오던 프로그램인데 느닷없이 바이러스가 있다고 이야기가 들어와서
      확인한 결과 였습니다.

      바이러스 정보를 확인한 결과는 특정 사이트에 접속해서 바이러스를 다운받아 실행하는 코드가
      포함되어 있다는 정보 였습니다.

      파일이 커서 어떨지 모르겠습니다.
      확인 부탁 드립니다.

      즐거운 하루 되세요...

  2. Favicon of https://lovesage.tistory.com BlogIcon 곰아리  댓글주소 수정/삭제 댓글쓰기 2007.08.24 16:40 신고

    안녕하십니까. 시큐리티 대응센터 XXX입니다.

    보내주신 샘플을 확인한 결과 특별히 의심되는 부분은 발견되지 않았습니다.

    첨부한 그림파일과 같이 현재는 국민은행을 비롯한 자사의 스캐너에서
    진단이 되고 있지 않습니다.

    진단을 해보셨을 당시 문의하신 파일의 인스톨 쉴드(PEncrypt 4.0)와 자사에서 추가된
    악성코드가 유사한 코드가 발견되었거나 57메가의 파일안에 악성코드와 유사한 부분이
    발견되어 진단된것으로 보입니다.

    자사의 진단으로 심려를 끼쳐드린 점이 있다면 죄송합니다.

    문의하신 파일은 정상파일이므로 사용하셔도 좋습니다.

    오늘도 좋은 하루 되십시오. 감사합니다.

    ------------------------------------------------------
    답변을 받았습니다.^^
    이후 검사 해보았으나 검출 되지 않았습니다.

    관심 가져주셔서 감사합니다.