QAOS.com | 사례분석을 통해 배우는 스파웨어 판정 II

사례분석을 통해 배우는 스파웨어 판정 II
게시일: 2005/09/23 | 글쓴이: doa | 10404 번 | 프린트 | 메일

사실 요즘 컴퓨팅 환경에 바이러스보다 더 위협적인 존재는 스파이웨어와 애드웨어이다. 물론 이런 현상의 근간에는 ActiveX라는 마물이 존재하지만 아무튼 스파이웨어와 애드웨어는 이미 공공의적으로 떠오른지 오래이다.

이세상 최고의 spyware 관련 유틸리티는?라는 글에대한 폭팔적 반응이나 최고의 스파이웨어 제거 프로그램에대한 높은 조회수는 이러한 사일을 잘 반영해준다.

어제 올린 사례분석을 통해 배우는 스파웨어 판정이라는 글 역시 스파이웨어에 관한 글이라 올린지 채 하루도 되지 않았지만 조회수가 200회에 달할 정도로 높은 관심을 불러 일으키고 있다. 특히 myblade님의 기립 박수와 옆구리를 찔러서 받은 것이긴 하지만 bjs4164님의 기립 박수, 오타를 의도로까지 해석을 해주며 기립 박수를 처주신 yoonsangfan님에 힘입어 이번에는 PCDo4

의 상용 버전인 AV-Scan

에대한 사례분석을 해보도록 하겠다.

아울러 PCDo4, AV-Scan와 국내산 앤티 스파이이웨어 프로그램 중 가장 우수한 성능을 보이고 있는 SpyZero

를 간단히 비교 분석하겠다.

I. PCDo4, AV-Scan, SpyZero의 비교분석 사실 AV-Scan은 PCDo4에대한 좋은 이미지때문에 상당히 기대한 프로그램이었다. 그러나 사례분석을 해본 결과 DB는 확실히 확충됐지만 오진율이 높은 프로그램이라는 것을 알 수 있었다. 이 사례분석 덕에 그동안 좋았던 PCDo4의 이미지 역시 나빠지는 결과를 초래했다^주1.

PCDo4, AV-Scan, SpyZero의 비교분석 결과는 다음과 같다.

	PCDo4	AV-Scan	SpyZero






검색 조건	일반/파워	일반/정밀	기본/고급

검색 대상	C:, D:, E:	C:, D:, E:	C:, D:, E:

검색 결과	패턴 5개/감염 6개	패턴 11개/감염 22개	패턴 3개/감염 4개

분석 결과	오진 4개/의심 1개	오진 11개	오진 1개/의심 1개/치료 1개

세부사항	Adware.ClockSync fdm(오진) AV-Scan의 동일 항목 참조 Trojan.Policies hijack.K(오진) AV-Scan의 동일 항목 참조 Adware.IEPageHelper.K(오진) AV-Scan의 동일 항목 참조 Adware.Bargain(오진) AV-Scan의 Adware.BargainBuddy 참조 Adware.Suspicious.GB(의심) *표 하단의 참조** 무해한 키이지만 스파이웨어가 아니라고 단정할 근거가 없으므로 의심으로 분류	보다 자세한 사항은 기사 본문 참조	Win-Clicker/Spywad(오진) AV-Scan의 Adware.Spywad.gen를 참조 Possible Policies Hijack(의심) AV-Scan의 Trojan.Policies hijack.K 참조 AV-Scan과는 달리 처음부터 스파이웨어 의심으로 분류 Suspicious BHO(치료) 표 하단의 참조** 확인 결과 필자도 알 수 없는 빈 BHO가 등록되어 있음. 빈 BHO이기 때문에 무해하지만 삭제함

* 키: HKLM\SOFTWARE\Microsoft \Windows\CurrentVersion\Internet Settings \User Agent\Post Platform 값: SV1

** HKCU\Software\Stilesoft\NetCaptor\CurrentVersion\Browser Helper Objects \{A5366673-E8CA-11D3-9CD9-0090271D075B}

II. 파일만 잡아내는 경우

실행 파일을 잡아내는 경우
Adware.BargainBuddy(Adware) 오진
```
C:\windows\system32\instsrv.Exe
```
PCFree에서 언급했듯 상당히 많은 프로그램들이 이 파일을 스파이웨어로 검출한다. 그러나 이 파일은 NT Resource Kit에 포함된 임의의 프로그램을 서비스로 기동해주는 프로그램일 뿐 스파이웨어와는 무관하다.

판단 기준
일반적으로 스파이웨어에 관련된 파일이 하드 디스크에 존재한다고 해서 위험할 것은 없다. 이런 파일들이 위험한 것은 이들 파일이 레지스트리(또는 파일)를 통해 사용자 몰래 실행되는 경우이다. 따라서 실행 파일을 스파이웨어로 검출했다면 해당 실행 파일을 실행 시킬 수 있는 실행 코드(레지스트리나 기타 파일)가 함께 존재해야 한다.
실행 파일 이외의 파일을 잡아내는 경우
Adware.BargainBuddy S(Adware) 오진
C:\windows\downloaded Program Files\setup.Inf
PCFree의 경우 Adware/CrackedEarth로 잡아낸 파일이다. 그러나 PCFree에서 언급했듯 이 파일은 이니텍의 보안 메일 뷰어 설치 파일에 불과하다.

Trojan.Spbot.SAFEMODE(Trojan) 오진
```
E:\documents and settings\artech\Application Data\Free Download Manager
E:\Documents and Settings\artech\Application Data\Free Download Manager\downloads.Del.Sav
E:\Documents and Settings\artech\Application Data\Free Download Manager\downloads.His.Sav
E:\Documents and Settings\artech\Application Data\Free Download Manager\downloads.Sav
E:\Documents and Settings\artech\Application Data\Free Download Manager\history.Sav
E:\Documents and Settings\artech\Application Data\Free Download Manager\schedules.Sav
E:\Documents and Settings\artech\Application Data\Free Download Manager\sites.Sav
E:\Documents and Settings\artech\Application Data\Free Download Manager\spider.Sav
```
실행 파일도 아닌 파일들을 트로이 목마로 분리하면 무척 황당해진다. 물론 이 파일들이 .EXE로 변경되어 실행되거나 RunDLL32를 통해 실행될 수 있으며, 트로이 목마가 제거된 후 남겨놓은 찌꺼기일 수 있다. 만약 그렇다면 .EXE로 변경하는 프로그램과 RunDLL32를 이용해서 실행하는 코드가 존재해야 한다. 그러나 파일은 잡아내도 그러한 코드는 잡아내지 못한다. 아울러 폴더의 경로를 보면 Free Download Manager 라는 프로그램이 정상적으로 생성한 폴더라는 것을 쉽게 알 수 있다. 트로이 목마라면 쉽게 발견될 수 있는 데이타 폴더에 숨기는 경우는 많지 않다. 아울러 실제 확인해보면 100바이트 미만의 텍스트 파일들이다.

판단 기준
일단 확장자와 파일 내용이 일치하는지 확인(예: .INF의 경우 텍스트 파일)한 후 삭제하거나 무시하면된다. 해당 파일이 스파이웨어가 설치한 파일이라고 해도 무해한 파일이다. 사용자가 실수로 .INF 파일을 클릭해서 설치할 수도 있지만 스파이웨어 프로그램이 검진했을 때 내용만 확인해보면 된다.

III. 레지스트리만 잡아내는 경우

중요한 레지스트리를 잡아내는 경우
Trojan.Policies hijack.K(Troyjan) 오진
```
HKCU\Software\Microsoft\Windows\CurrentVersion\policies\system
```
사용자의 정책을 저장하는 Policies\System 키를 Policies Hijack.K라는 트로이 목마로 분류하고 있다. 실제 System 키를 확인해보면 관리 도구를 제한하기위해 필자가 직접 입력한 DisableRegistryTools, DisableTaskMgr, NoDispCPL값이 포함되어 있으며, 모두 0으로 설정되어 있었다. PCFree에서 언급한 것처럼 이러한 값들은 데이타 값을 확인해야하며, 아울러 악성 스크립트가 아니라 악성 스크립트일 가능성이 있는 것으로 분류하는 것이 옳다.

Adware.Spywad.gen(Adware) 오진
```
키: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
값: NoViewContextmenu
```
이 항목은 AV-Scan뿐만 아니라 SpyZero도 스파이웨어로 검출하고 있다. 실제 이 값을 확인해보면 데이타 값이 0으로 설정되어 있기때문에 있으나 없으나 마찬가지이다. 아울러 이 값은 필자가 Windows 탐색기의 마우스 우측 메뉴가 나타나지 않는 경우라는 팁을 작성하면서 직접 입력한 값이다. 따라서 이 경우에도 마찬가지로 스파이웨어가 아니라 스파이웨어 의심 값으로 분류하는 것이 옳다.

판단 기준
중요한 레지스트리이기 때문에 조금 신중한 판단이 필요하다. 첫번째로는 이런 레지스트리 항목을 직접 설정했는지 확인해야한다. 두번째로 이 레지스트리와 연관된 파일이 존재하는지 확인해야 한다. 본인이 직접 입력한 레지스트리라면 위의 결과는 무시해도 되며, 본인이 설치했는지 모르지만 해당 레지스트리에대한 연관 파일이 제공된다면 삭제하는 것이 좋다. 그러나 본인이 설치했는지 모르지만 레지스트리만 존재한다면 해당 레지스트리를 반드시 백업 후 삭제해야 한다.
불필요한 레지스트리를 잡아내는 경우
Adware.IEPageHelper.K(Adware) 오진
```
HKCR\appid\bho.Dll
```
최고의 스파이웨어 제거 프로그램에서 얘기한 것처럼 SpyZero 역시 동일한 스파이웨어로 검출했다(현재는 수정됨). 그러나 이 키는 SnagIt이라는 프로그램(필자가 주로 사용하는 화면 갈무리 프로그램)을 설치하면 생성되는 키이다. 따라서 이 키는 7월 6일 업데이트된 SpyZero처럼 실제 파일이 존재하는 경우에만 레지스트리가 검출되어야 한다.

Adware.ClockSync fdm(Spyware) 오진
```
HKCU\Software\Vicman Software\Free Download Manager
```
Free Download Manager가 생성한 파일과 Free Download Manager가 생성한 레지스트리를 서로 다른 악성 프로그램으로 간주하고 있다. Free Download Manager가 생성한 파일들은 트로이 목마인데, 그 프로그램이 생성한 키는 스파이웨어로 판정하는 것을 보면 역시 오진일 수 밖에 없다.

Spyware.VNCSoftware(Spyware) 오진
```
HKCR\vncviewer.Config
```
얼마전 UltraVNC를 한글화하기위해 UltraVNC를 설치했었는데 그때 생성된 키이다. 그러나 항상 얘기하지만 저런 키는 레지스트리를 조금 차지하고 있는 것일뿐 컴퓨터 시스템에 악영향을 끼치지 않는다. 아울러 문제는 키는 스파이웨어로 검출하면서 실행 파일은 검출하지 못하고 있다.

Adware.FlashGet(Adware) 오진
```
HKCR\.Jcd
HKCR\flashget.Document
HKCU\software\jetcar
```
FlashGet 역시 상당히 많은 스파이웨어 검출 프로그램에서 애드웨어로 분류하고 있는 프로그램이다. FlashGet의 무료 버전은 애드웨어가 맞다. 그러나 등록 버전은 애드웨어가 아니며, 프로그램을 등록하는 경우 애드웨어를 제거하는 방법까지 제시하고 있다. 따라서 FlashGet의 경우 무턱대고 스파이웨어로 검출하는 것보다는 FlashGet에 내장된 애드웨어 모듈의 존재여부를 확인하고 이 모듈이 있는 경우에만 애드웨어로 검출하는 것이 옳다.
Adware.UltraVNC(Adware) 오진
```
HKLM\Software\UltraVNC
```
UltraVNC가 왜 애드웨어인지 모르겠다. 과거에 광고를 삽입했었는지, 아니면 동일한 이름의 애드웨어가 있었는지 모르겠다. 그러나 이 것 역시 오진이다. 그 이유는 분명하다. HKLM\Software\UltraVNC라는 키는 VNC만 실행하면 다시 생성되는 무해한 키이다. 만약 UltraVNC가 애드웨어가 맞다면 UltraVNC의 실행 파일과 사용자 몰래 UltraVNC의 애드웨어 모듈을 실행하는 실행 코드가 함께 검출되어야 한다. 그러나 정밀 검사를 시스템의 모든 하드 디스크(C:, D:, E:)에 대해 실행했지만 실행 파일 조차 잡아내지 못하고 있다.

판단 기준
사실 레지스트리만으로는 시스템에 아무런 위험을 끼치지 않는다. 이런 레지스트리가 문제가 되는 것은 이 레지스트리를 통해 특정 파일이 실행되는 경우이다. 위에서 언급한 레지스트리 모두 DLL이나 EXE를 실행하는 것과는 무관한 레지스트리들이다.

일부 스파이웨어가 이러한 키들를 사용할 수는 있다. 그러나 그렇다고 해서 이 키가 스파웨어가 되는 것은 아니다. 일반적으로 이러한 키를 스파이웨어로 잡아낸다면 보통 무시해도된다.

IV. 레지스트리와 파일을 잡아내는 경우 사실 스파이웨어일 가능성이 가장 큰 경우는 레지스트리와 파일이 함께 검출되는 경우이다. 스파이웨어가 스파이웨어로서 역할을 하기위해서는 실행 파일과 이 실행 파일을 실행시켜주는 실행 코드가 있어야 하기때문이다.

실행 코드를 잡아내지 못하는 경우
Adware.FWNToolbar(Adware) 오진
```
레지스트리
HKLM\Software\Microsoft\Windows\CurrentVersion\Moduleusage
	"C:/Windows/System32/Vic32.Dll"
HKLM\Software\Microsoft\Windows\CurrentVersion\Shareddlls
	"C:\windows\system32\vic32.Dll"



파일/폴더
C:\windows\system32\vic32.Dll
```
PCFree의 경우 Adware/Ventures, Adware/TopRebates라는 두개의 악성 스크립트로 잡아낸 파일을 FWNToolbar라는 Adware로 검출하고 있다. Vic32.Dll라는 파일을 직접 확인해보면 Catenary Systems 시스템에서 개발한 이미지 처리 라이브러리에 불과하다는 것을 알 수 있다. PCFree와는 달리 파일외에 두개의 레지스트리를 검출하고 있지만 실제 DLL 실행과는 무관한 DLL의 위치를 알려주는 레지스트리를 검출하고 있다. 아울러 FWNToolbar라는 이름에서 알 수 있듯이 만약 이 파일이 Adware라면 Toolbar와 관련된 레지스트리 키(BHO 키)가 검출되어야 한다.

참고로 Vic32.Dll 파일은 필자가 가끔 사용하는 인터넷 현상소, iPhotal.com 에서 배포하는 이미지 모듈(iphotal.dll)에서 참조하는 파일이다.

판단 기준
초보자들이 판단하기에는 조금 어렵다. 일단 검출된 레지스트리를 통해 어떤 방법으로든 해당 파일이 실행될 수 있는지를 판단해야 한다. 아울러 해당 실행 파일의 내부 구조를 확인해봐야 한다. 정상적으로 배포된 파일의 경우 해당 파일에 대한 정보가 포함되는 경우가 많지만 스파이웨어의 경우 이러한 정보가 없다는 점에 착안해서 조사하는 것도 좋다.

V. 쿠키 외산 프로그램의 경우 트래킹 쿠키(정보 추적용 쿠키) 역시 심각한 스파이웨어로 분류하지만 국산 프로그램의 경우 대부분 트래킹 쿠키는 무시하는 경우가 많다. PCFree, PCDo4, AV-Scan, SpyZero 모두 비슷하다. 사실 이런 쿠키의 대부분은 클릭율, 사용자가 사용하는 브로우저, OS등 그리 치명적이지 않은 정보를 전송하는 경우가 많다.

따라서 이러한 트래킹 쿠기가 싫다면 인터넷 옵션/임시 인터넷 파일/쿠키 삭제 버튼을 이용해서 주기적으로 지워주면 된다.

VI. Internet Shutcut 외산 프로그램의 경우 인터넷 바로가기도 스파이웨어나 하이재킹의 가능성이 있는 것으로 검출하는 경우가 많다. 이 경우 대부분 인터넷 바로가기 파일(.URL 파일)에 사이트의 URL외에 다른 정보가 포함된 경우가 많다. 대부분은 무시하고 사용해도 되지만 만약 불안하다면 사이트 URL을 제외한 정보를 모두 제거하고 사용하면 된다.

VII. 맺음말 필자가 처음은 작성한 스파이웨어에 관한 글은 SpyWare 제거하기이다. 1997년 경에 쓴 것으로 기억^주2하는데 이글을 작성할 때까지만 해도 스파이웨어는 통계를 위해 사용자 정보의 일부를 빼가는 것에 불과했다. 이런 스파이웨어/애드웨어에 악성이라는 이름을 붙여준 것은 웹 브로우저의 시작 홈페이지를 자사의 홈페이지로 변경하는 GoHip이라는 프로그램이었다.

GoHip이라는 악성 애드웨어에 질린 선배형때문에 1997년경 GoHip 제거하기라는 글을 작성하면서도 스파이웨어나 애드웨어가 이렇게 심각한 지경에 이를 것으로는 상상하지 못했다.

한가지가 인기를 끌면 유사한 업종이 들불 번지듯 생겨나듯 이러한 악성 스파이웨어나 애드웨어가 증가하면 마찬가지로 안티 스프이웨어를 개발하는 회사가 늘어났다. 몇년전까지 다간다, 다잡아, AD-Free 정도이던 안티 스파이웨어 시장은 최고의 스파이웨어 제거 프로그램에서 알 수 있듯이 국내 개발사만 10여개가 넘을 정도로 증가했다.

아울러 공개 프로그램 역시 계속 유료화되고 있으며, 엇비슷한 성능임에도 불구하고 보다 많은 검색 결과를 보여 줌으로서 나은 프로그램인 것처럼 포장해서 내놓는 사태까지 벌어지고 있으며, 동일한 제품을 다른 제품인양 팔고 있는 경우도 있다^주3.

따라서 필자는 이러한 사용환경 변환에 사용자가 보다 적극적으로 대응할 수 있도록 필자 시스템에서 이러한 프로그램에대한 간단한 벤치(최고의 스파이웨어 제거 프로그램)를 제공했고, 이 후에 추가된 프로그램에대한 벤치를 사례분석을 통해 배우는 스파웨어 판정라는 글을 통해 제공했다.

앞으로 이런 사례분석 글을 얼마나 더 쓸 수 있을지 모르지만 사람들에게 인기가 있는 프로그램의 경우 사례분석을 통한 해당 프로그램의 리뷰를 추가할 예정이며 최고의 스파이웨어 제거 프로그램에 계속 업데이트할 예정이다.

주1: 동일한 엔진에 DB가 확충된 것이 AV-Scan이라고 한다. 따라서 AV-Scan이 보다 많은 스파이웨어를 검출(DB) 했지만 모두 오진(엔진)이었다는 얘기는 PCDo4 역시 오진율이 높은 프로그램이지만 DB가 작아 검진을 하지 못했다는 얘기가 된다.

주2: 기사의 게시일자가 2002년 1~2월로되어 있는 글은 모두 1996년부터 2001년 8월 사이에 작성된 글이다.

주3: 최고의 스파이웨어 제거 프로그램를 읽어보면 알 수 있지만 스파이웨어 검출이라는 측면에서 보면 SpyDoctor, DrVirus는 모두 다간다의 엔진을 사용하는 같은 프로그램이다.

2003/Cinepack 코덱 수동 설치하기 삼국지 3 Remake에 포함된 동영상은 Cinepak Codec... (7482)	2005-09-24

Beta 2(5219)에서 사이드바 사용하기 이달 중순경 Windows Vista Beta 2(5129)가 유출... (7963)	2005-09-22

QAOS.com에 게시된지 1년 이상된 자료와 관리자가 공개한 자료는 누구나 제한없이 읽을 수 있습니다.
그러나 QAOS.com의 자료를 퍼가는 것은 금지하고 있습니다.

이 정보가 유용하다고 생각되시면 QAOS.com과 많은 다른 사람들을 위해 퍼가기 보다는 링크로 알려주시기 바랍니다.

세상사는 이야기