오진인가? 카스퍼스키( kaspersky ) 온라인스캐너로 진단되던 wextract.exe

오늘 카스퍼스키( kaspersky ) 온라인스캐너로 진단되던 wextract.exe

오진인가?   아니면 오작동인가 ...

카스퍼스키 온라인 스캐너로 컴퓨터에 안잡히는 다른 악성파일이 있는지 확인해보고자
돌려고 있는데 2개의 의심파일도 아닌 감염파일이 발견되어 확인하던중 ...

진단내역은 <2007.10.29>

C:\WINDOWS\system32\dllcache\wextract.exe  감염됨: Trojan.Win32.Agent.jp   
C:\WINDOWS\system32\wextract.exe  감염됨: Trojan.Win32.Agent.jp 

invalid-file

그런데 wextract.exe 윈도우가 설치되면 존재하는 파일 아니던가?
단, C:\WINDOWS\system32\  / C:\WINDOWS\system32\dllcache 외 다른 폴더에
위치한다면 의심해보아야 한다.. 그러나, 속성정보를 보면  제작사 MS 라고 써있고..
뭐 정상파일 명을 가진 악성파일 일 수 있어..

바이러스 토탈 검사 사이트에 올려보았다..
결과 : http://www.virscan.org/report/13639560b19209a4d2bb6488d1e06058.html

파일 이름 :   wextract.exe
파일 크기 :   61952 byte
파일 형식 :   MS-DOS executable (EXE), OS/2 or MS Windows
MD5 :   13639560b19209a4d2bb6488d1e06058
SHA1 :   ac7e61ea2332c809e354b38032f20dbb50393355

그런데 웃긴 것은 카스퍼스키 온라인 스캐너로 다시 검사해보니 이번엔 다시 잡히지
않았다라는 것..

별문제는 아닐지 모르지만... 진단명에 Win32.Agent 들어간 것들은 좀 확인해보고
치료해야 하지 않을 지 하는 생각이 든다..

그렇다고 Trojan.Win32.Agent.jp 진단된 것과 wextract.exe 을 진단한 것이 오진이라는
이야기는 아님을 밝힙니다. 이 것은 파일확인하기전까진 알 수 없기 때문...

Win32 =  동작환경

Agent  =  보안제품마다 의미는 다르겠지만. 제가 발견된 샘플들중.. 해당 진단명이 들어간 것들은 대다수 악성코드의 정보 파일 / 악성 애드웨어의 구성요소 / 등이 이런 진단표기가 되는 경우가 많았다..

<참고>

카스퍼스키 온라인 검사페이지
http://www.kaspersky.co.kr/service_onlinescan.html