QAOS.com | 사례분석을 통해 배우는 스파이웨어 판정 IV, PCZiggy

사례분석을 통해 배우는 스파이웨어 판정 IV, PCZiggy
게시일: 2006/09/23 | 글쓴이: doa | 17651 번 | 프린트 | 메일

이 있었다(관련 고리: I, II

). 사건의 내막은 BeFast라는 악성 소프트웨어 제거 프로그램을 설치, 실행하면 BeFast가 악성 코드를 심고 치료를 유도하는 방식으로 돈벌이를 했다는 점이다.

사실 이런 사건이 발생하는 이유는 간단하다. 악성 소프트웨어가 컴퓨터의 흑사병처럼 번지고 있으며, 따라서 이를 치료하는 프로그램이 돈이 되기 때문이다. 그런데 문제는 사실 악성 소프트웨어 제거 프로그램을 위장한 악성 소프트웨어 제거 프로그램도 많고 악성 소프트웨어 제거 프로그램이라고 해도 다X아처럼 전혀 믿을 수 없는 제거 프로그램도 많기 때문이다.

요즘은 각종 포털을 비롯한 여러 곳에서 무료 백신과 악성 소프트웨어 제거 도구를 제공하고 있지만 실제 성능을 검증해보면 전혀 엉뚱한 프로그램과 레지스트리를 악성 코드라고 우기는 경우가 대부분이었다. 따라서 필자는 이러한 혼란을 제거하기 위해 악성 소프트웨어 제거 도구에 대한 상당히 여러 개의 팁을 썻다.

이번 팁에서는 사례분석을 통해 배우는 스파이웨어 판정의 네 번째로 비전파워

에서 개발한 PCZiggy를 알아보도록 하겠다. PCZiggy를 직접 이용하면 좋겠지만 PCZiggy가 상용이라 PCZiggy의 OEM 버전인 메가닥터를 이용해서 성능을 검증해 보도록 하겠다.

메가패스 사용자에게 무료로 제공되는 메가탁터는 PCZiggy의 OEM 버전이다. PCZiggy는 악성 소프트웨어 검사와 바이러스 검사를 함께 수행할 수 있는 프로그램이다. PCZiggy에서 사용하는 악성 소프트웨어 제거도구는 자체 엔진을 사용하며, 바이러스 검사는 요즘 들어 상당한 인기를 누리고 있는 VirusChaser

엔진을 사용한다. VIrusChaser는 이미 알고 있는 것처럼 상당히 정확한 바이러스 검색 프로그램인 Dr. Web

의 엔진을 사용하고 있다.

다음은 메가닥터(PCZiggy OEM)로 필자의 C:, D:, E: 드라이브를 검색한 결과이다. 검색결과가 상당히 많은데 그 이유는 악성 소프트웨어만 검사한 것이 아니고 바이러스까지 검사했으며, 필자의 컴퓨터에는 필자가 키우고 있는 바이러스가 꽤 있기 때문이다.

트로이 목마 해킹 도구

Program.SmpRemote
```
c:\Program Files\Utilities\Wincmd\PlugIns\WFX\Services\app2srv.exe
e:\Down\Imsi\XPE2\plugin\total commander\files\PlugIns\WFX\Services\app2srv.exe
e:\Warez\Backup\C Driver\Program Files\Utilities\Wincmd\PlugIns\WFX\Services\app2srv.exe
e:\Warez\Backup\C Driver\WINDOWS\system32\instsrv.exe
e:\Warez\Backup\C Driver\WINDOWS\system32\srvany.exe
```
모두 일반 프로그램을 서비스로 등록할 수 있도록 하는 프로그램을 악성 코드로 잡아내고 있다. 사실 app2srv.exe와 instsrv.exe를 악성 코드로 분류하는 프로그램이 상당히 많은데 그 이유는 이들 프로그램이 실제 악성 코드와 함께 배포되었기 때문이다. 그러나 이전 글(I, II, III)에서 설명했듯 설사 악성 프로그램이라고 해도 이 프로그램을 실행하는 실행 코드가 없으면 시스템 사용에는 아무런 문제가 없다. 따라서 이런 프로그램은 악성 코드로 분류할 것이 아니라 의심 프로그램으로 분류하는 것이 옳으며 반드시 패턴 검사를 수행해야 한다. 결과에서 알 수 있듯이 분명한 오진이다.
Trojan.DownLoader.3468
```
D:\Warez\Utlz\System\Commander\Total Commander 6.55\Key\UniCrack\tc6Uni_crk.exe
```
꽤 오래전부터 사용해온 크랙 프로그램을 악성 코드로 잡아냈다. 물론 같은 이름의 악성 코드가 있었을 것으로 보인다. 그러나 단순히 파일 이름만 같다고 해서 악성 프로그램으로 볼 수는 없다. 따라서 PCZiggy 역시 패턴에 의한 검색 보다는 파일 이름에 의한 검색을 수행하는 것으로 보인다.

Trojan.PWS.Silk

D:\Warez\Utlz\System\Task Manager\TaskInfo 2003 v6.2.0.172\KeyGen\ECLTI104.exe
D:\Warez\Utlz\System\Task Manager\TaskInfo 2003 v6.2.0.172\KeyGen\ecltski6.exe

필자가 팁으로 소개한 Taskinfo의 KeyGen을 모두 트로이 목마로 분류했다. 역시 오진이었다.

애드웨어

A.ADV.xxxpsasw
```
E:\My Documents\My Works\ShoTech\WndPos.dll
E:\My Documents\My Works\ShoTech\WndPosSch.dll
```
두 개의 파일 모두 아주 악성 애드웨어이다. 한때 삼성몰에서 배포되 많은 사용자의 컴퓨터를 포맷하게 하였던 악명이 자자한 악성 애드웨어로 제거 방법을 올리기 위해 받아 놓은 파일이다. 정확히 악성 프로그램을 찾아냈지만 이 역시 패턴에 의한 검색이 아니라 파일 이름으로 찾아낸 것으로 보인다. 참고로 이 악성 애드웨어를 만든 회사에서 악성 소프트웨어 못지않게 사용자를 괴롭히는 MyLinker도 개발했다.

재미있는 것은 사례분석에서 테스트한 프로그램 중 이 프로그램을 찾아낸 프로그램은 없었다는 점이다.
A.TBR.CamGirlLive
```
E:\Warez\Backup\C Driver\WINDOWS\Downloaded Program Files\setup.inf
```
국내에서 개발된 악성 코드 제거 프로그램의 대부분이 패턴 기반이 아니라 파일 이름을 기초로 악성 코드를 잡아낸다는 단적인 증거이다. .inf 라는 텍스트 파일 하나만 가지고 애드웨어로 분류하는 기준을 모르겠다. Downloaded Program Files 폴더의 setup.inf 파일은 그 내용이 무엇이든 간에 무조건 악성 코드로 잡아낸다. 역시 오진이다.
Trojan.StartPage.1272
```
E:\Down\Imsi\Crack.exe
```
악성 코드는 맞다. 그러나 문제는 트로이 목마는 맞지만 시작 페이지를 바꾸는 트로이 목마는 아니라는 점이다. 그러나 컴퓨터에 Crack.exe라는 이름의 파일이 많은데도 불구하고 이 파일만 트로이 목마로 잡아내는 것을 보면 일부 유명한 파일 이름(예: 시스템 파일, Crack.exe처럼 자주 사용되는 파일)은 패턴 검사를 하는 것으로 보인다.

위의 예에서 알 수 있듯이 파일만 잡아내는 경우는 대부분 오진이었다. 딱 하나를 정확하게 잡아냈지만 이것은 같은 파일 이름을 사용하는 애드웨어가 없기 때문에 발생한 현상으로 보인다. 아울러 패턴 분석에 의해 악성 코드를 잡아내는 경우도 있지만 오진이었다.

압축 파일

A.ADV.xxxpsasw
```
E:\My Documents\My Works\ShoTech\psasw.cab\aderaser.exe
```
애드웨어에서 설명했던 악성 소프트웨어의 캐비넷 파일이다.
S.SPH.tomang
```
E:\My Documents\My Backups\HomePage\Programs.zip\Programs\Virus\Services.exe
E:\My Documents\My Backups\HomePage\Programs.zip\Programs\Virus\Svchost.exe
```
예전에 키젠 프로그램으로 알고 실행했다 걸린 트로이 목마이다. 이러한 트로이 목마를 제거하는 방법을 팁으로 쓰기위해 보관하고 있는 파일이다.
K.EXP.award
```
D:\Warez\MyCom\Bios\bnobtcv5.rar\bnobtcv5\Award_Software_International_related
	\aw\AW.COM
```
각종 BIOS 유틸리티 모음에서 소개한 CD에 포함되어 있는 파일이다. 필자 역시 사용해 보지 않아 바이러스인지 아닌지는 확인하지 못했다.

Program.SmpRemote

e:\down\imsi\Home\downloads\tips\srvany.zip\instsrv.exe
e:\down\imsi\Home\downloads\tips\srvany.zip\srvany.exe
e:\down\imsi\w.zip\Wincmd\PlugIns\WFX\Services\app2srv.exe

역시 일반 프로그램을 서버로 실행시켜주는 프로그램은 모두 악성 소프트웨어로 잡아냈다.

K.KLG.Clickv22

D:\Warez\Utlz\Hacking\Hacking Tools\ntfsdos.zip\ntfsdos\UHANFO.EXE

NRLG.Generator

D:\Warez\Utlz\Hacking\Hacking Tools\nrlg.zip\nrlg\NRLG.EXE

THCK.Generator.20

D:\Warez\Utlz\Hacking\Hacking Tools\ttrhck.zip\ttrhck\THCK-FP.EXE
D:\Warez\Utlz\Hacking\Hacking Tools\ttrhck.zip\ttrhck\THCK-TC.EXE

Trojan.Decoter.6818
```
D:\Warez\Utlz\Hacking\Hacking Tools\mktrj1.zip\mktrj1\TROJAN.EXE
```
폴더 이름에서 알 수 있듯 필자가 각종 팁을 쓰기위해 보관하고 있는 바이러스들이다. 이 외에도 수백 종이 더 있지만 잡아내지 못했다. 그 이유는 Dr. Web 엔진의 문제가 아니라 지난 하드가 나가면서 압축 파일이 손상되었기 때문에 발생한 현상으로 보인다.
Trojan.DownLoder.8739
```
D:\Warez\Utlz\System\Commander\Total Commander 6.55\Tools\FTP
	\tc_ftp_password_ripper.zip\Windows_Commander_FTP_Password_RIPPER.exe
```
이 프로그램은 필자도 확인하지 못한 부분이다. 그러나 일단 바이러스일 가능성이 많은 프로그램이다.
Trojan.PWS.Banker.3943
```
D:\Warez\Utlz\System\Tweak\NTRegOpt\ntregopt.zip\NTREGOPT.EXE 
```
공개 레지스트리 최적화 유틸리티, NTREGOPT에서 소개한 레지스트리 정리 프로그램이다. 다소 의외의 결과라서 저작자의 홈페이지에서 원본 파일을 내려받아 바이러스에 걸린 파일과 함께 비교해봤다. 파일 크기는 같지만 전혀 다른 프로그램이었다. 따라서 바이러스일 가능성이 컸다.

위의 결과에서 알 수 있듯이 바이러스는 비교적 정확하게 찾아냈다. 그 이유는 PCZiggy에 포함된 바이러스 엔진은 VirusChser를 사용하며, VirusChaser는 비교적 정확히 바이러스를 검색하는 것으로 알려진 Dr. Web 엔진을 사용하기 때문이다. 그러나 악성 소프트웨어는 대부분 오진한 것을 알 수 있다.

이렇게 보면 PCZiggy를 사용할 이유가 없어 보인다. 그러나 위의 결과는 필자의 컴퓨터에서 실행했기 때문에 나온 결과이며, 다른 PC에서 검사를 수행해보면 악성 소프트웨어 역시 상당히 잘 잡아냈다. PCZiggy가 다른 프로그램보다는 나은 점은 다음과 같다.

단순한 레지스트리를 악성 소프트웨어로 분류하지 않는다.
실제 악성 소프트웨어 감염된 컴퓨터에서 실행시켜보면 실행 코드와 실행 파일을 비교적 정확하게 잡아내며 깔끔하게 치료한다.
다른 프로그램은 찾아내지 못한 악성 소프트웨어까지 찾아낸다.

PCZiggy의 OEM 버전인 메가닥터는 메가패스 사용자는 무료로 사용할 수 있다. 따라서 메가패스 사용자라면 인터넷에서 구한 성능도 알 수 없는 프로그램을 사용하기보다는 메가닥터를 사용할 것을 권고한다. 그 이유는 메가닥터에는 바이러스 검색에 탁월한 성능을 제공하는 VirusChaser와 악성 소프트웨어를 비교적 정확히 찾아내는 PCZiggy를 탑재했기 때문이다.

여담: 얼마 전 일이다. 매형이 운영하고 있는 책이 있는 글터 분점(제일고시)에서 연락이 왔다. 글터와 전산 통합으로 글터의 도서 관리 프로그램을 사용하고 있는데 자꾸 연결이 끊어진다는 것이었다.

확인해보니 정말 속도도 느리고 자주 끊기는 것이었다. 특히 내려받기 속도는 어느 정도 나오지만 올리기 속도가 너무 불안정했다. 그래서 ADSL 기사를 불러서 AS 받도록 조치하고 다시 사무실로 왔다.

잠시 뒤 AS 기사로부터 연락이 왔다. KT 장비로 측정하면 회선이 끊김 없이 잘된다는 것이었다. 랜카드의 이상이 아닌가 싶어서 사무실에 있는 랜카드로 교체하기 위해 랜카드를 가지고 다시 제일 고시를 방문했다. ADSL을 VDSL로 포트를 바꿔 테스트해도 증상이 비슷하자 메가패스에 접속해서 웬 프로그램을 내려받아 설치하는 것이었다.

이 프로그램이 메가패스에서 자사의 서비스를 사용하는 사용자를 위해 배포하는 프로그램이라는 것이었다. 아울러 메가패스 사용자는 무료로 사용할 수 있으므로 꼭 내려받아 사용하라는 것이었다.

메가닥터를 돌리고 그 결과를 보니 예상외로 많은 악성 소프트웨어가 설치되어 있었다. 그런데 더 놀란 것은 별것 아닐 것으로 생각했는데 의외로 악성 소프트웨어를 아주 정확하게 잡아내는 것이었다. 물론 검출된 결과가 워낙 많아서 모두 확인은 해보지 못했지만 국내에서 개발, 배포되고 있는 프로그램 중에는 정확도가 상당히 뛰어난 것 같았다.

프로그램을 설치하는 도중 Drweb32.dll라는 파일을 복사한 것이 생각났다. Dr. Web이라는 프로그램의 엔진을 사용하고 있을 것으로 추측하고 인터넷을 뒤져 Dr. Web이라는 프로그램을 내려받았다. 그런데 의외로 Dr. Web은 바이러스를 검사하는 프로그램으로 악성 프로그램을 잡아내지 못하는 것이었다.

그래서 다시 메가닥터를 내려받아 확인해보니 PCZiggy의 OEM 버전이었다. PCZiggy는 자체에서 개발한 악성 소프트웨어 제거 도구에 VirusChaser를 통합해서 만든 프로그램이었다. VirusChaser 역시 바이러스 검색을 위해 Dr. Web의 엔진을 사용하기 때문에 PCZiggy의 OEM 버전인 메가닥터 역시 Dr. Web의 엔진을 내려받았던 것이었다.

MSN 8.0의 내 공유 폴더 제거하기 MSN 8.0으로 판올림되면서 추가된 특징 중 하나가 내... (7570)	2006-09-25

셀 대치/가벼운 셀 프로그램, GeoShell 쉘 대치/XP에서 사용할 수 있는 쉘에서 알 수 ... (7094)	2006-09-22

QAOS.com에 게시된지 1년 이상된 자료와 관리자가 공개한 자료는 누구나 제한없이 읽을 수 있습니다.
그러나 QAOS.com의 자료를 퍼가는 것은 금지하고 있습니다.

이 정보가 유용하다고 생각되시면 QAOS.com과 많은 다른 사람들을 위해 퍼가기 보다는 링크로 알려주시기 바랍니다.

세상사는 이야기