모두의공원

구라제거기에 채굴기가 포함되었다는 오해를 받는 이유.. 25

41
2018-01-16 16:30:56 수정일 : 2018-01-16 16:41:39 175.♡.74.100
깁뿔


* 구라 제거기 홈페이지: http://teus.me/427



# 구라제거기라는 프로그램에 채굴기가 포함되었다는 소문(?)이 조금 이슈가 된적이 있는데, 

그 이유는 virustotal.com 이라는 사이트에 해당 프로그램을 올려서 검사해 보면 이런식으로 BitCoinMiner 라고 표시되고, 이를 본 사용자가 댓글로 이에 대해서 물어봤기 때문입니다.



https://www.virustotal.com/#/file/a448109f658c3da3ee2457601406db356072917a6a8b5a6539bc12530f2ac0e0/detection




https://www.virustotal.com/#/file/a448109f658c3da3ee2457601406db356072917a6a8b5a6539bc12530f2ac0e0/details



이런식의 오진은 매우 흔한데, 구라제거기는 코드사인이 안되어 있을 뿐만 아니라, UPX 로 압축되어 있기 때문에, UPX 압축을 풀지 못하는, 일부 마이너한 AV 프로그램들이 UPX 로 압축된 악성코드의 헤더와 정상적인 프로그램의 헤더를 제대로 구분하지 못해서 발생하는 현상입니다.

(몇년전 모 프로그램이 델파이로 짠 프로그램을 전부 악성프로그램으로 오진한것도 같은 이유때문이라고 생각합니다. 델파이 EXE 에서 나타나는 패턴을 특정 악성코드에서만 나타나는걸로 잘못 판단한거죠.)



그 증거로 해당 exe 를 "upx -d" 명령어로 압축을 풀고 virus total 에서 다시 돌려보면 깔끔하게 통과합니다.





https://www.virustotal.com/#/file/ebbb4bb8409b6dc3810c74e46995e33dd43a37423a2c945a92d96ae7914e4a72/detection





사실 AV 프로그램의 오진은 매우 피곤합니다. 코드사인을 하면 많이 줄기는 하지만, 단순히 네트웍 접근 API를 썼다는 이유만으로 오진 받는 경우도 허다하고, NSIS 에서 사용하는 기본 DLL 이 GetProcAddress() 를 사용한다는 이유만으로 NSIS 패키징한 프로그램은 전부 의심하는 경우도 있으니까요.

UPX 나 더미다 같은 암호화나 패킹 프로그램을 사용하면, 해당 EXE 가 어지간히 많이 퍼지기 전에는 거의 100% 걸린다고 보면 됩니다.



====


끝으로 구라제거기 개발자분의 인터뷰 주소 입니다. 


http://slownews.kr/67777






깁뿔 님의 게시글 댓글
SIGNATURE
c++ 프로그래머
서명 더 보기 서명 가리기
Makpae
IP 117.♡.28.56
01-16 2018-01-16 16:32:58
·
띠용.....
다람쥐v
IP 112.♡.31.7
01-16 2018-01-16 16:33:22
·
쉬운 설명: 경상도 사람이 사투리 쓰다 일베충으로 오해받은 상황
삭제 되었습니다.
틸란드시아
IP 211.♡.147.3
01-16 2018-01-16 16:34:16
·
반디집개발자님의 글이니 신뢰가 됩니다.
sunshower
IP 222.♡.165.70
01-16 2018-01-16 16:34:46
·
이분이 개발자에요? ㄷㄷㄷ
crown
IP 106.♡.56.146
01-16 2018-01-16 16:46:24
·
반디집 개발자분 맞아요
퐁팡핑요
IP 210.♡.16.33
01-16 2018-01-16 16:47:03 / 수정일: 2018-01-16 16:47:18
·
네. 많은 분들이 사용하고 계신 '반디집' 압축프로그램 개발자님이십니다 ㅎㅎ
중무장
IP 221.♡.75.161
01-17 2018-01-17 02:06:25
·
반디집 개발자 분이셨군요
현량
IP 59.♡.15.97
01-16 2018-01-16 16:35:43
·
오호 이런 내막이.. 잘 읽었습니다. 감사합니다
삭제 되었습니다.
왕꿈틀꿈틀
IP 14.♡.187.228
01-16 2018-01-16 16:36:17
·
구글이 듣보잡 백신업체를 왜 바이러스토탈에서 넣는지 모르겠어요. 바이러스토탈 운영하면 공신력 떨어지는 백신업체 엔진은 제거 좀 해줬으면 합니다. 아니면 엔진 사용 관련해서 좀더 디테일하게 해줬으면 합니다.
삭제 되었습니다.
깁뿔
IP 175.♡.74.100
01-16 2018-01-16 16:42:46
·
위에 언급한 nsis 문제는 시만텍이 가지고 있던 문제입니다...

Ignorance
IP 118.♡.85.95
01-16 2018-01-16 16:46:11
·
공신력의 기준은요? 내가 알면 공신력, 모르면 듣보잡인가요?

한때 패커가 유행했을때는 이름만 들어도 익히 하는 업체들도 패커만 가지고 의심진단 때리고 n번 이상 패커로 패킹하면 무조건 진단하던 시절도 있었습니다.
nato
IP 210.♡.163.27
01-16 2018-01-16 18:08:55
·
악성코드도 지역적 특성을 많이 띄어서 최대한 여러 지역의 여러 업체를 다 넣는게 유리합니다.
밥이
IP 61.♡.141.205
01-16 2018-01-16 16:48:23
·
반다집 개발자님이시네요~~~^^
선명.B
IP 223.♡.188.107
01-16 2018-01-16 17:32:00
·
영어 아이디가 키플러네요 ^^
ssenapia
IP 209.♡.53.254
01-16 2018-01-16 17:06:13
·
감사합니다
p906aj
IP 220.♡.157.197
01-16 2018-01-16 21:32:44
·
컥 반디집 개발자 분이셨군요.. 꿀뷰, 반디집 정말 잘 쓰고 있습니다
세아랑
IP 1.♡.26.169
01-16 2018-01-16 22:19:57
·
꿀뷰 반디집 둘다 감사히 잘 쓰고 있습니다. 고맙습니다.
istD_어토
IP 39.♡.29.103
01-16 2018-01-16 22:20:57
·
감사합니다.
(반디집, 꿀뷰 잘 쓰고 있습니다)
취블남962
IP 122.♡.146.177
01-16 2018-01-16 22:50:50
·
반디집과 꿀뷰 정말 잘 쓰고 있습니다!
본문 내용과 상관없는 댓글이지만 감사합니다!!
영원의여행자
IP 58.♡.184.125
01-16 2018-01-16 22:53:39
·
반디집과 꿀뷰 정말 잘 쓰고 있습니다. 감사합니다.
하얀사자
IP 118.♡.66.65
01-16 2018-01-16 23:33:46
·
반디집 잘쓰고 있습니다 감사합니다!
Royalguard
IP 211.♡.249.158
01-17 2018-01-17 00:17:43
·
바이러스는 대체로 패킹해서 유통? 되기 때문에 사인 없고 패킹되면 다 걸러버리는 백신이 많아요
볼라벤
IP 125.♡.218.75
01-17 2018-01-17 00:21:31
·
헐 반디집 개발자...군대에서도 반디집 쓰던디용 ㅋㅋㅋ
astronaut1224
IP 119.♡.120.77
01-17 2018-01-17 01:28:00
·
클리앙 신기하네요
반디집 개발자 분이시라니!!
삭제 되었습니다.
IIiNixII
IP 220.♡.39.107
01-17 2018-01-17 07:41:30
·
오해가 플려서 다행이네요.

반디집 잘쓰고 있습니다. 개발자님 감사합니다.

(੭♡ڡ♡)੭‧º·˚
/Vollago
목록으로
글쓰기
글쓰기
목록으로 댓글보기