10wonsoft Official Surplus BLOG: Autiot의 바이러스 오진이 UPX 압축과 구버전이 상관이 있는지에 대한 고찰(考察)

안녕하세요.십원동냥입니다. 오늘은 Autiot 스크립트가 오진이 많은데, Autiot 스크립트 오진율이 UPX 압축과 구버전이 상관이 있는지에 대한 고찰(考察)을 한번 해보겠습니다.

먼저 이번 고찰에 쓰일 파일들을 소개하겠습니다.

고찰에 쓰인 스크립트는 제가 만든 32BIT 64BIT Checker 1.0.1.1 3 버젼(http://10wonsoft.textcube.com/116)이므로 참고하시기 바랍니다.
파일 목록

32BIT_64BIT_Checker_UPX__new_.exe <- autiot 3.3.0.0 으로 컴파일하였으며, UPX 압축을 했음.
크기:284 KB (291025 Bytes) MD5 Hash : f15e50ec8554cd3fc2ef730a61d74389

32BIT_64BIT_Checker_non-UPX__new_ <- autiot 3.3.0.0 으로 컴파일하였으며, UPX 압축을 하지 않았음. 크기:599 KB (613585 Bytes) MD5 Hash : 02a00f59ab2db9f30813d4498430ce72

32BIT_64BIT_Checker_UPX__old_.exe <- autiot 3.2.10.0 으로 컴파일하였으며, UPX 압축을 했음.
크기:250 KB (256209 Bytes) MD5 Hash : e3bef89d349d20094253e502f641fdc7

32BIT_64BIT_Checker_non-UPX__old_ <- autiot 3.2.10.0 으로 컴파일하였으며, UPX 압축을 하지 않았음. 크기:510 KB (522449 Bytes) MD5 Hash : 4b641d453c9fef1a404f52665cc73815

바이러스토탈
(http://www.virustotal.com/ko/)

autiot 3.3.0.0 으로 컴파일하였으며, UPX 압축을 한 프로그램

검사 파일: 32BIT_64BIT_Checker_UPX__new_.exe 전송 시각: 2009.04.20 13:58:59 (CET)

안티바이러스

엔진 버전

정의 날짜

검사 결과

a-squared

4.0.0.101

2009.04.20

AhnLab-V3

5.0.0.2

2009.04.20

AntiVir

7.9.0.148

2009.04.20

Antiy-AVL

2.0.3.1

2009.04.20

Trojan/Win32.AutoIt

Authentium

5.1.2.4

2009.04.19

Avast

4.8.1335.0

2009.04.19

AVG

8.5.0.287

2009.04.20

BitDefender

7.2

2009.04.20

CAT-QuickHeal

10.00

2009.04.20

ClamAV

0.94.1

2009.04.20

Comodo

1121

2009.04.19

DrWeb

4.44.0.09170

2009.04.20

eSafe

7.0.17.0

2009.04.19

Suspicious File

eTrust-Vet

31.6.6455

2009.04.14

F-Prot

4.4.4.56

2009.04.19

F-Secure

8.0.14470.0

2009.04.20

Fortinet

3.117.0.0

2009.04.20

GData

2009.04.20

Ikarus

T3.1.1.49.0

2009.04.20

K7AntiVirus

7.10.707

2009.04.17

Kaspersky

7.0.0.125

2009.04.20

McAfee

5589

2009.04.19

McAfee+Artemis

5589

2009.04.19

McAfee-GW-Edition

6.7.6

2009.04.20

Microsoft

1.4502

2009.04.20

NOD32

4021

2009.04.20

Norman

6.00.06

2009.04.20

nProtect

2009.1.8.0

2009.04.20

Panda

10.0.0.14

2009.04.19

PCTools

4.4.2.0

2009.04.20

Prevx1

2009.04.20

Rising

21.26.03.00

2009.04.20

Sophos

4.40.0

2009.04.20

Sunbelt

3.2.1858.2

2009.04.18

Symantec

1.4.4.12

2009.04.20

TheHacker

6.3.4.0.309

2009.04.16

TrendMicro

8.700.0.1004

2009.04.20

VBA32

3.12.10.2

2009.04.12

ViRobot

2009.4.20.1700

2009.04.20

VirusBuster

4.6.5.0

2009.04.19

http://www.virustotal.com/ko/analisis/5b20d3331e568fae98f4dbf29f91ca00
자, 최신버전으로 컴파일하고 UPX 압축을 하면 그래도 오진율이 적습니다.(Antiy-AVL,eSafe 오진)

autiot 3.3.0.0 으로 컴파일하였으며, UPX 압축을 하지 않은 프로그램

검사 파일: 32BIT_64BIT_Checker_non-UPX__new_.exe 전송 시각: 2009.04.20 14:23:00 (CET)

안티바이러스	엔진 버전	정의 날짜	검사 결과
a-squared	4.0.0.101	2009.04.20	-
AhnLab-V3	5.0.0.2	2009.04.20	-
AntiVir	7.9.0.148	2009.04.20	-
Antiy-AVL	2.0.3.1	2009.04.20	-
Authentium	5.1.2.4	2009.04.19	-
Avast	4.8.1335.0	2009.04.19	-
AVG	8.5.0.287	2009.04.20	-
BitDefender	7.2	2009.04.20	-
CAT-QuickHeal	10.00	2009.04.20	-
ClamAV	0.94.1	2009.04.20	-
Comodo	1121	2009.04.19	-
DrWeb	4.44.0.09170	2009.04.20	-
eSafe	7.0.17.0	2009.04.19	-
eTrust-Vet	31.6.6455	2009.04.14	-
F-Prot	4.4.4.56	2009.04.19	-
F-Secure	8.0.14470.0	2009.04.20	-
Fortinet	3.117.0.0	2009.04.20	-
GData	19	2009.04.20	-
Ikarus	T3.1.1.49.0	2009.04.20	-
K7AntiVirus	7.10.707	2009.04.17	-
Kaspersky	7.0.0.125	2009.04.20	-
McAfee	5589	2009.04.19	-
McAfee+Artemis	5589	2009.04.19	-
McAfee-GW-Edition	6.7.6	2009.04.20	-
Microsoft	1.4502	2009.04.20	-
NOD32	4021	2009.04.20	-
Norman	6.00.06	2009.04.20	-
nProtect	2009.1.8.0	2009.04.20	-
Panda	10.0.0.14	2009.04.19	-
PCTools	4.4.2.0	2009.04.20	-
Prevx1	V2	2009.04.20	-
Rising	21.26.03.00	2009.04.20	-
Sophos	4.40.0	2009.04.20	-
Sunbelt	3.2.1858.2	2009.04.18	-
Symantec	1.4.4.12	2009.04.20	-
TheHacker	6.3.4.0.309	2009.04.16	-
TrendMicro	8.700.0.1004	2009.04.20	-
VBA32	3.12.10.2	2009.04.12	-
ViRobot	2009.4.20.1700	2009.04.20	-
VirusBuster	4.6.5.0	2009.04.19	-

http://www.virustotal.com/ko/analisis/c1d00ffa757f96f15263f7433fd8aaf2
흠... 발견되지 않았네요. 그렇지만 UPX 압축을 하는 것이 하지 않는 것보다 2배 이상 용량 절약이 되고
대부분 UPX로 압축을 하지 않은 프로그램이 더 오진율이 더 높습니다.

autiot 3.2.10.0 으로 컴파일하였으며, UPX 압축을 한 프로그램

검사 파일: 32BIT_64BIT_Checker_UPX__old_.exe 전송 시각: 2009.04.20 14:38:50 (CET)

안티바이러스	엔진 버전	정의 날짜	검사 결과
a-squared	4.0.0.101	2009.04.20	-
AhnLab-V3	5.0.0.2	2009.04.20	-
AntiVir	7.9.0.148	2009.04.20	-
Antiy-AVL	2.0.3.1	2009.04.20	-
Authentium	5.1.2.4	2009.04.19	-
Avast	4.8.1335.0	2009.04.19	-
AVG	8.5.0.287	2009.04.20	-
BitDefender	7.2	2009.04.20	-
CAT-QuickHeal	10.00	2009.04.20	-
ClamAV	0.94.1	2009.04.20	-
Comodo	1121	2009.04.19	-
DrWeb	4.44.0.09170	2009.04.20	-
eSafe	7.0.17.0	2009.04.19	Suspicious File
eTrust-Vet	31.6.6455	2009.04.14	-
F-Prot	4.4.4.56	2009.04.19	-
F-Secure	8.0.14470.0	2009.04.20	-
Fortinet	3.117.0.0	2009.04.20	-
GData	19	2009.04.20	-
Ikarus	T3.1.1.49.0	2009.04.20	-
K7AntiVirus	7.10.707	2009.04.17	-
Kaspersky	7.0.0.125	2009.04.20	-
McAfee	5589	2009.04.19	-
McAfee+Artemis	5589	2009.04.19	-
McAfee-GW-Edition	6.7.6	2009.04.20	-
Microsoft	1.4502	2009.04.20	-
NOD32	4021	2009.04.20	-
Norman	6.00.06	2009.04.20	-
nProtect	2009.1.8.0	2009.04.20	-
Panda	10.0.0.14	2009.04.19	-
PCTools	4.4.2.0	2009.04.20	-
Prevx1	V2	2009.04.20	-
Rising	21.26.03.00	2009.04.20	-
Sophos	4.40.0	2009.04.20	-
Sunbelt	3.2.1858.2	2009.04.18	-
Symantec	1.4.4.12	2009.04.20	-
TheHacker	6.3.4.0.309	2009.04.16	Trojan/Downloader.AutoIt.co
TrendMicro	8.700.0.1004	2009.04.20	-
VBA32	3.12.10.2	2009.04.20	-
ViRobot	2009.4.20.1700	2009.04.20	-
VirusBuster	4.6.5.0	2009.04.19	-

http://www.virustotal.com/ko/analisis/871f616a2685a94aa84528ed21ff8039
오진율은 아까 1번째 검사와 똑같은데 오진한 백신은 한개가 다르네요.(TheHacker,eSafe 오진)

autiot 3.2.10.0 으로 컴파일하였으며, UPX 압축을 하지 않은 프로그램

검사 파일: 32BIT_64BIT_Checker_non-UPX__old_ 전송 시각: 2009.04.20 14:42:27 (CET)

안티바이러스	엔진 버전	정의 날짜	검사 결과
a-squared	4.0.0.101	2009.04.20	-
AhnLab-V3	5.0.0.2	2009.04.20	-
AntiVir	7.9.0.148	2009.04.20	-
Antiy-AVL	2.0.3.1	2009.04.20	-
Authentium	5.1.2.4	2009.04.19	-
Avast	4.8.1335.0	2009.04.19	-
AVG	8.5.0.287	2009.04.20	-
BitDefender	7.2	2009.04.20	-
CAT-QuickHeal	10.00	2009.04.20	-
ClamAV	0.94.1	2009.04.20	-
Comodo	1121	2009.04.19	-
DrWeb	4.44.0.09170	2009.04.20	-
eSafe	7.0.17.0	2009.04.19	-
eTrust-Vet	31.6.6455	2009.04.14	-
F-Prot	4.4.4.56	2009.04.19	-
F-Secure	8.0.14470.0	2009.04.20	-
Fortinet	3.117.0.0	2009.04.20	-
GData	19	2009.04.20	-
Ikarus	T3.1.1.49.0	2009.04.20	-
K7AntiVirus	7.10.707	2009.04.17	-
Kaspersky	7.0.0.125	2009.04.20	-
McAfee	5589	2009.04.19	-
McAfee+Artemis	5589	2009.04.19	-
McAfee-GW-Edition	6.7.6	2009.04.20	-
Microsoft	1.4502	2009.04.20	-
NOD32	4021	2009.04.20	-
Norman	6.00.06	2009.04.20	-
nProtect	2009.1.8.0	2009.04.20	-
Panda	10.0.0.14	2009.04.19	-
PCTools	4.4.2.0	2009.04.20	-
Prevx1	V2	2009.04.20	High Risk Cloaked Malware
Rising	21.26.03.00	2009.04.20	-
Sophos	4.40.0	2009.04.20	-
Sunbelt	3.2.1858.2	2009.04.18	-
Symantec	1.4.4.12	2009.04.20	-
TheHacker	6.3.4.0.309	2009.04.16	-
TrendMicro	8.700.0.1004	2009.04.20	-
VBA32	3.12.10.2	2009.04.20	-
ViRobot	2009.4.20.1700	2009.04.20	-
VirusBuster	4.6.5.0	2009.04.19	-

http://www.virustotal.com/ko/analisis/9819beba4be34a131522c4b74d7694ba
쩝;; 오진율은 역시 조금 낮습니다. (Prevx1 오진)

시간이 없어서 virscan.org에서는 돌려보지 못하였습니다.
결론은 UPX 압축을 하면 좀 더 오진율이 높을수도 있고 낮을수도 있고 구버젼으로 컴파일해도
오진율이 높을수도 있고 낮을수도 있으니 믿고 써주는 것 밖에는 없습니다 -ㅅ-;;

-끝-

10wonsoft Official Surplus BLOG

2009년 4월 20일 월요일

Autiot의 바이러스 오진이 UPX 압축과 구버전이 상관이 있는지에 대한 고찰(考察)

댓글 1개: