* 구라 제거기 홈페이지: http://teus.me/427
# 구라제거기라는 프로그램에 채굴기가 포함되었다는 소문(?)이 조금 이슈가 된적이 있는데,
그 이유는 virustotal.com 이라는 사이트에 해당 프로그램을 올려서 검사해 보면 이런식으로 BitCoinMiner 라고 표시되고, 이를 본 사용자가 댓글로 이에 대해서 물어봤기 때문입니다.
이런식의 오진은 매우 흔한데, 구라제거기는 코드사인이 안되어 있을 뿐만 아니라, UPX 로 압축되어 있기 때문에, UPX 압축을 풀지 못하는, 일부 마이너한 AV 프로그램들이 UPX 로 압축된 악성코드의 헤더와 정상적인 프로그램의 헤더를 제대로 구분하지 못해서 발생하는 현상입니다.
(몇년전 모 프로그램이 델파이로 짠 프로그램을 전부 악성프로그램으로 오진한것도 같은 이유때문이라고 생각합니다. 델파이 EXE 에서 나타나는 패턴을 특정 악성코드에서만 나타나는걸로 잘못 판단한거죠.)
그 증거로 해당 exe 를 "upx -d" 명령어로 압축을 풀고 virus total 에서 다시 돌려보면 깔끔하게 통과합니다.
사실 AV 프로그램의 오진은 매우 피곤합니다. 코드사인을 하면 많이 줄기는 하지만, 단순히 네트웍 접근 API를 썼다는 이유만으로 오진 받는 경우도 허다하고, NSIS 에서 사용하는 기본 DLL 이 GetProcAddress() 를 사용한다는 이유만으로 NSIS 패키징한 프로그램은 전부 의심하는 경우도 있으니까요.
UPX 나 더미다 같은 암호화나 패킹 프로그램을 사용하면, 해당 EXE 가 어지간히 많이 퍼지기 전에는 거의 100% 걸린다고 보면 됩니다.
====
끝으로 구라제거기 개발자분의 인터뷰 주소 입니다.
뜬금없지 않나요?
한때 패커가 유행했을때는 이름만 들어도 익히 하는 업체들도 패커만 가지고 의심진단 때리고 n번 이상 패커로 패킹하면 무조건 진단하던 시절도 있었습니다.
(반디집, 꿀뷰 잘 쓰고 있습니다)
본문 내용과 상관없는 댓글이지만 감사합니다!!
반디집 개발자 분이시라니!!
반디집 잘쓰고 있습니다. 개발자님 감사합니다.
(੭♡ڡ♡)੭‧º·˚
/Vollago