VirusTotal 보고서 이해

Xabache

VirusTotal에서 파일을 테스트했는데 피드백의 10 %가 불량이라고 말합니다. 내 질문은 왜 모두가 나쁜 파일이라고 말하지 않았습니까? 내가 인식하고 신뢰하는 회사가 왜 그것이 나쁘다고 말하지 않았습니까? 아래와 같은 보고서가 어떻게 해석 될 수 있는지에 대한 의견을 얻을 수 있습니까? 10 %가 단순히 틀렸습니까? 반대로 90 %가 틀렸나 요?

https://www.virustotal.com/#/file/c6bf8ec7f158734b5201e080bebcd37bc2553cc6588dda0d6f0bc2fbda07bf08/detection

투감

참조한 웹 페이지의 데이터로 시작하겠습니다. (열에 레이블이 지정되지 않았으므로 참조한 것처럼 보이는 것에 따라 의미를 삽입했습니다.)

안티 바이러스 공급 업체 : CAT-QuickHeal
Trojan.IGENERIC
안티 바이러스 소프트웨어 : Cyren
W32 / GenBl.DEAF24C0! Olympus

안티 바이러스 공급 업체 : GData
Win32.Trojan.Agent.2OV2PC
안티 바이러스 소프트웨어 : Ikarus
Trojan.Win32.Agent

안티 바이러스 공급 업체 : Rising
Malware.Undefined! 8.C (CLOUD)
안티 바이러스 소프트웨어 : TrendMicro-HouseCall
Suspicious_GEN.F47V0716

플래그가 지정된 것을 찾으면 다음으로 확인할 가치가있는 것은 "왜 플래그가 지정 되었습니까?"입니다. 그러니 각자에게 물어보세요.

CAT-QuickHeal의 경우 소프트 어를 트로이 목마 (유명한 트랩의 이름을 따서 명명 한 "트로이 목마"의 줄임말이며 컴퓨터 보안 업계에서 한 가지를 수행하는 것처럼 작동하지만 매우 사악한 목적). 그리고 어떤 트로이 목마 계열에 속합니까? IGeneric. 내가 인터넷의 약자일까요?

W32 / GenBl.DEAF24C0! Olympus는 더 구체적으로 보이므로 검색 문자열로 사용했습니다.

또 다른 일반 사이트 (단지 한 공급 업체와 밀접하게 연결되어 있지 않음), CVEDetails, CAT-QuickHeal의 Ultimate Security Vulnerability Datasource로 이동 한 후 W32 / GenBl.DEAF24C0! Olympus 또는 기타 변형을 검색했지만 아무런 정보도 찾지 못했습니다.

"DEAF24C0"은 완전히 16 진수로 구성됩니다. 처음에는 그것이 의미있는 단어라고 생각했지만 잠시 후 나는 그것이 단지 16 진수 (영어 단어 "Deaf"로 시작되는)라고 생각하기 시작했습니다. 저는 VirusTotal의 "Details"탭에 deaf24c0로 시작하는 MD5가 표시되는 것을 발견했을 때 훨씬 더 믿기 시작했습니다. 따라서 deaf24c0은 MD5 해시의 처음 8 개 "숫자"입니다.

반면 에 GenBL Olympus에 대한 Google 검색은 몇 가지 변형을 보여주는 것처럼 보였고 아무도 정확히 무엇을하는지 아는 것 같지 않았습니다.

계속해서 GData는이를 Win32 (Microsoft Windows 32 비트 호환 플랫폼) 트로이 목마 (가짜 의도가있는 프로그램) 에이전트 (백그라운드에서 실행되는 소프트웨어)로 간주합니다. 그것은 많은 일반적으로 들리는 문구입니다. 가장 구체적인 2OV2PC는 검색 결과를 표시하지 않았습니다.

TrendMicro의 Threat Encyclopedia는 F47V0716에 대해 아무것도 표시하지 않습니다.

VirtusTotal에서 다른 세부 정보도 확인할 수 있습니다.

이 파일Behavior 탭 은 일부 임시 파일을 만들고, 파일 이름이 .tmp로 끝나는 파일에서 코드를 실행 (일명, 프로그램 시작)하고 ( "Processes Created"섹션 참조) 번들로 제공된 innocallback.dll을 사용함을 보여줍니다.

innocallback.dll은 설치 프로그램을 만드는 프로그램 인 InnoSetup의 사용법을 제안합니다. 이것은 또한 이 검색세부 정보 탭 으로 이동하여 "Inno Setup installer"의 76.6 % 참여를 확인 함으로써 강화됩니다 . dDetails 탭에는 "이 설치는 Inno Setup으로 빌드되었습니다."라는 주석이 표시됩니다.

따라서 위의 모든 내용을 바탕으로이 소프트웨어가 "안전"표준에 따라 "안전"한 것처럼 보인다는 최종 결론에 도달했습니다. 일부 안티 바이러스 소프트웨어는 이것이 "애드웨어"처럼 보인다고 생각할 수 있지만 광고를 보게 되더라도 특별히 걱정하지 않습니다. 설치 프로그램이 파일을 남겨두고 DLL 파일을 등록하거나 관리자 권한이 필요한 다른 작업을 등록하는 경향이 있기 때문에 이것은 설치 프로그램이 실행될 때 우려되는 일부 소프트웨어 일 수 있습니다.

그러나 나는 계속해서이 프로그램을 신뢰하지 않는 이유를 설명하는 몇 가지 세부 사항을 발견했습니다. 이러한 세부 정보는 모두이 검색세부 정보 탭에서 찾을 수 있습니다. 가장 흥미로 웠던 세부 사항을 제공하는 것으로 시작하겠습니다.

  • 파일 크기 3.92 MB
  • 생성 시간 2012-10-02 05:04:04
  • 야생에서 처음 본 2010-11-20 23:29:33
  • 패커 : F-PROT INNO, 추가
  • 저작권 FitGirl
  • 설명 Wolfenstein II 설정
  • 포함 된 리소스 : 9 중립, 5 중국어 간체, 3 미국 영어

좋아요, 여기에 제가 이것에 문제가있는 측면을 보는 이유가 있습니다.

  1. 우선, 프로그램이 2010 년에 나타 났지만 2012 년의 생성시기를보고하는 이유는 무엇입니까?

  2. 설명이없는 한 일부 중국 구성 요소가있는 것처럼 보인다는 사실은 의심스러워 보입니다. 이 소프트웨어가 중국과 관련된 일종의 국제 상거래와 관련이 있다면 말이 될 것입니다. 이것이 인터넷에서 방금 다운로드 한 프로그램이라면 훨씬 더 조심할 것입니다. 저는 전 세계 사람들에게 공정하게 기회를주고 싶을만큼 개방적이며 개인적으로 중국 사업을 제공하는 것을 선호하므로 그들과 우호적 인 관계를 유지할 수있는 강력한 이유가 있으며 제가 사용하는 많은 제품이 제조되었음을 알고 있습니다. 중국에서. 그러나 그 모든 것에도 불구하고, 중국이 인터넷에 관여하는 것을 보았을 때, 그것이 일종의 사이버 공격, 사기 또는 기타 매우 바람직하지 않은 일과 관련이 있다는 것을 자주 발견했습니다.

  3. 아마도 가장 비난 할 수있는 것은 "Wolfenstein II Setup"이라는 것입니다. 이제 저는 Castle Wolfenstein이 매각되었을 때 게이머였습니다. 1984 년에 출시 된 속편 인 Beyond Castle Wolfenstein은 약 52KB-55KB로 다운로드 할 수 있습니다. 그렇다면이 파일이 4,000KB에 가까운 이유는 무엇입니까? 또는 이것은 약 36,000KB의 성 울펜 슈타인으로의 귀환을 의미했을 것입니다. 또는 perahps는 2017 년에 출시 된 새로운 Wolfenstein II : The New Colossus를 의미하며, 2700 만 KB의 여유 공간이 필요합니다 ( NintendoLife : Wolfenstein 2 ). 에뮬레이터 또는 다운로더를 포함하지 않는 한 이러한 경우 3.92MB의 파일 크기는 의미가 없습니다. 그런 경우에는 유용한 파일을 직접 다운로드하는 것이 훨씬 편합니다.

또한이 설치 프로그램이 MUSE 소프트웨어, "id Software", Bethesda 또는 Activision 대신 "FitGirl"에 의해 배포되는 이유는 무엇입니까? 이것은 원래 Wolfenstein 소프트웨어에 관련된 소프트웨어 배포 자나 Wolfenstein 이름과 관련된 현재 주요 소프트웨어 회사처럼 들리지 않습니다.

최상의 시나리오는 저작권을 침해하는 파일을보고있는 것 같습니다. 특히이 파일이 업무용으로 의도 된 경우, 이는 심각한 금지 금지로 간주됩니다 (엔터테인먼트 소프트웨어가 많은 기업에 부적절하다고 간주 될 수 있다는 생각을 무시하더라도). 이것이 최고의 시나리오입니다. 우리가 최선의 시나리오를 다루지 않는다면, 우리는 아마도 누군가를 오도하는 일을하고있는 것입니다. 어쨌든, 이것이 좋은 / 안전 / 권장되는 것 같지 않습니다.

이제 다른 것을보고하는 다른 바이러스 소프트웨어에 대한 질문에 답하기 위해 이것은 간단히 알려져 있습니다. 맬웨어 탐지 중에 수행되는 많은 작업은 이전에 식별되고 알려진 문제 또는 소프트웨어 동작을 기반으로 한 최상의 추측을 기반으로합니다.

시만텍의 보안 전문가는 안티 바이러스 소프트웨어가 죽었다고 말합니다 . "노턴 개발자의 정보 책임자는 일반적으로 소프트웨어가 공격의 55 %를 놓친다고 말합니다."

Wired.com : 왜 안티 바이러스 회사처럼 내 화염과 스턱 스넷은 캐치하지 못했습니다 : (시큐어 F의) 미코 히포 넨 언급

이것이 의미하는 바는 우리 모두가이 맬웨어를 2 년 이상 감지하지 못했다는 것입니다. 이는 우리 회사와 일반적으로 바이러스 백신 업계에 엄청난 실패입니다.”

“이것도 처음이 아니 었습니다. Stuxnet은 야생에서 공개 된 지 1 년 넘게 탐지되지 않았으며 벨로루시의 바이러스 백신 회사가이란의 컴퓨터를 조사하도록 요청받은 후에야 발견되었습니다. "

“이 이야기는 Flame으로 끝나지 않습니다. 우리가 아직 감지하지 못한 다른 유사한 공격이 이미 진행 중일 가능성이 높습니다. 간단히 말해, 이러한 공격은 효과가 있습니다.”

“화염은 바이러스 백신 업계의 실패였습니다. 우리는 정말로 더 잘할 수 있었어야했습니다. 그러나 우리는 그렇지 않았습니다. 우리는 우리 자신의 게임에서 우리 리그를 벗어났습니다.”

따라서 이러한 소프트웨어 제품이 마음의 평화를 제공하려고하지만 현실은 완벽하지 않다는 점을 이해하십시오.

이 기사는 인터넷에서 수집됩니다. 재 인쇄 할 때 출처를 알려주십시오.

침해가 발생한 경우 연락 주시기 바랍니다[email protected] 삭제

에서 수정
0

몇 마디 만하겠습니다

0리뷰
로그인참여 후 검토

관련 기사

Related 관련 기사

뜨겁다태그

보관