Kaspersky의 오진 - Bifrose 트로이목마

Summary: Kaspersky 에서 Rhino 4.0 SR4 와 Rhino 4.0 평가판을 오진하는 현상에 대한 안내입니다.

개요

다음의 바이러스 백신 소프트웨어를 사용하는 분들께서 Backdoor.Win32.Bifrose.zwe Trojan Horse) 가 감지되었다는 보고를 해 주셨습니다.

영향을 받는 파일

현재 상태

9/5/2008 1:30pm: 새롭게 빌드된 Rhino 4.0 SR4 와 Rhino 4.0 평가판에서는 Kaspersky Antivirus 에서의 오진 문제가 발생하지 않습니다. 원래의 파일들도 완벽하게 안전한 파일이었다고 확신하고 있으나, 안전성에 대해 설명해야 하는 번거로움을 없애기 위해 새롭게 빌드된 파일로 교체하였습니다.

9/3/2008 10:54am: 영향을 받는 파일의 새로운 빌드는 Kaspersky 에서 감지되지 않습니다. 현재 새로운 빌드를 시험 중이며, 오늘 중으로 업로드할 예정입니다.

9/3/2008 8:15am: 당사에서는 오진이라고 믿고 있으며, 바이러스 백신 공급업체측의 바이러스 정의가 업데이트되도록 현재 처리 중입니다.

영향을 받는 파일을 설치한 후, Bifrose 트로이목마가 감염되지 않았으며, 사용자로부터의 감염 보고도 없었습니다.

배경

저희 McNeel 에서는 맬웨어(malware) 전파에 대한 보고를 매우 중대한 사항으로 생각하고 있습니다. 당사의 모든 파일은 깨끗하며, 감염되지 않았음을 확신합니다. 이 문제를 진단하기 위해 저희가 실행한 처리 과정은 다음과 같습니다:

2008년 8월 29일, Rhino 4.0 SR4 패치와 Rhino 4.0 평가판이 Bifrose 트로이목마에 감염되었다는 보고서를 받기 시작했습니다.

2008년 9월 2일, 이러한 보고서들이 하루에 10 건 정도로 보고되었습니다.

서버를 테스트하기 위해 의심가는 파일을 다운로드하고 다음에 언급된 바이러스 백신 제품으로 스캔하여 이 문제에 대해 알아 보았습니다:

당사의 테스트 결과 상기 파일들이 Bifrose에 감염되었다고 인식하는 바이러스 백신 제품은 오직 Kaspersky Antivirus 9 뿐이었습니다.

위에 언급된 백신 제품들을 설치한 후, 시스템에 새로운 감염 여부를 확인하기 위해 바이러스 스캔을 실행하였습니다. 스캔 결과, 바이러스가 발견되지 않았습니다. Wikipedia 항목) 에 안내된 방법을 기준으로, 수동으로 직접 Bifrose trojan horse 바이러스가 있는지 검사하여 감염되지 않았음을 확인하였습니다.

2008년 9월 2일 저녁에 당사 담당 직원인 Brian Gillespie 가 Kaspersky 측에 잘못된 진단에 대한 확인을 요청하였습니다.

2008년 9월 3일 10:30am 현재, 아직 Kaspersky 측의 답변이 없습니다.

이러한 모든 제품에서 문제가 발생하지 않도록, 현재 설치 파일을 다시 빌드하는 중이며, 해당 파일의 시그니처를 조금 변경한 새 빌드에서는 오진 문제가 해결되리라고 봅니다.

이와 관련한 질문 사항은 Brian Gillespie: brian@mcneel.com 앞으로 이메일을 보내시거나 +1-206-634-4592 로 전화 문의하시기 바랍니다.