반디집 프로 사용중입니다. 이해할 수 없는 경로 접근이 감지되어 질문 드립니다.

[ntp...@gmail.com]

즐겨찾기 경로는 왜 엑세스 하는건가요?

압축 프로그램이 기능과 전혀 상관없는 경로로 접근을 한다는게 이해가 되지 않아서 문의 올립니다.

[KH Park]

안녕하세요. 반디집 개발자입니다.

# 먼저 저도 반디집이 %userprofile%\Favorites 폴더에 접근했다는 상황이 이해가 가지 않아서

소스코드도 살펴 보았고, 반디집에서 웹에 접근하기 위해서 사용하는 IE 컨트롤이 내부적으로

혹시 IE 의 즐겨찾기에 접근하는것이 아닌가 의심도 하고 체크해 보았지만 

해당 폴더를 읽는것 만으로는 문제가 되지 않고 해당 폴더에 쓰기를 할 때에만 차단 메시지가 표시되는것을 확인하였습니다.

# 따라서 현재로서 예상 가능한 문제의 원인은 다음과 같습니다.

- 일부 악성 코드는 유명한 프로그램이 설치된 폴더에 자신을 복사해서 실행시키거나 

(예전에 코인 채굴 프로그램이 자신을 반디집 폴더에 복사 후 실행되는 경우가 있었습니다.)

  동일한 이름을 도용해서 사용하는 경우가 있는데 이런 경우일 수 있습니다.

- 일부 악성 코드는 기존에 시스템에 설치되어 있는 유명한 프로그램에 기생해서 실행되는 경우가 있습니다.

정확히는 process injection 테크닉이라고 불리는데, 악성 코드가 네트웍에 바로 접근하면 경고 메시지가 출력되기 때문에

다른 프로그램을 실행시키고 해당 프로그램에 자신의 코드를 injection 해서 실행하는 기법입니다.

이 방법을 사용하면 실제 실행되는 프로그램은 Bandizip.exe 로 보이지만, 다른 악성 코드가 실행중일 수 있습니다.

- 기타 반디집에서 내부적으로 IE 컨트롤을 실행할때, 기존에 시스템에 설치된 IE 관련 악성 코드 (ActiveX 와 유사한 DLL 플러그인)

가 같이 로드되어서 실행될 수 있습니다.

# 정리드리자면, 반디집은 Favories 폴더에 접근하지 않으며, 접근할 이유도 없습니다. 

해당 오류는 기존에 시스템에 설치되어 있는 광고 프로그램이 어떤 이유로 작동되어서 인터넷 익스플로러의 즐겨찾기 폴더에

광고용 링크를 삽입하는 과정에서 Bandizip.exe 프로세스가 차단된것으로 메시지가 출력된 것으로 보입니다.

현재로서는 정확한 원인 파악은 불가능하며, 별도의 악성코드 제거 프로그램등을 실행시켜서 시스템을 검사해 보시기 바랍니다.

감사합니다.

--
You received this message because you are subscribed to the Google Groups "Bandizip for Windows forum" group.
To unsubscribe from this group and stop receiving emails from it, send an email to bandizip-win...@googlegroups.com.
To view this discussion on the web visit https://groups.google.com/d/msgid/bandizip-win/02eed35c-4c51-4f71-a5a8-ccea9be7a90c%40googlegroups.com.