<![CDATA[
<p style="TEXT-ALIGN: center">아무래도 매직위버 게시판에 올라온만큼 결과는 유저여러분들에게 통보하는게 맞을것 같아서 , 그냥 글 써봅니다.</p>
<p style="TEXT-ALIGN: center"><br></p>
<p style="TEXT-ALIGN: center">해당 악성코드를 실행하면 아래 번호 순서대로 실행이 이루어집니다.</p>
<p style="TEXT-ALIGN: center"><br></p>
<p style="TEXT-ALIGN: center"><br></p>
<p style="TEXT-ALIGN: center"><br></p>
<p style="TEXT-ALIGN: center"><b>1. 파일 생성</b></p>
<p style="TEXT-ALIGN: center"><br></p>
<p style="TEXT-ALIGN: center"><br></p>
<p style="TEXT-ALIGN: center">C:\Windows\System32 경로에 아래의 이름으로 파일을 생성합니다.</p>
<p style="TEXT-ALIGN: center">R<b>x</b>m<b>x</b>t<b>x</b>C.dll</p>
<p style="TEXT-ALIGN: center">여기서 소문자 <b>x</b>부분은 컴퓨터의 시간을 얻어와서 그 시간값을 이용해서 무작위로 이름을 만들어냅니다.</p>
<p style="TEXT-ALIGN: center">즉 </p>
<p style="TEXT-ALIGN: center">R<b>l</b>m<b>k</b>t<b>j</b>C.dll</p>
<p style="TEXT-ALIGN: center">R<b>g</b>m<b>y</b>t<b>q</b>C.dll</p>
<p style="TEXT-ALIGN: center">이런식의 파일입니다.</p>
<p style="TEXT-ALIGN: center"><br></p>
<p style="TEXT-ALIGN: center">이제 이 dll 파일의 자세한 정보를 보겠습니다.</p>
<p style="TEXT-ALIGN: center"><br></p>
<p style="TEXT-ALIGN: center"></p>
<p style="TEXT-ALIGN: center"><img src="https://t1.daumcdn.net/cfile/cafe/207BAE1B4B38CA3C71" class="tx-daum-image" actualwidth="422" style="FLOAT: none; CLEAR: none" border="0" hspace="1" vspace="1" width="422" /></p>
<p style="TEXT-ALIGN: center"><br></p>
<p style="TEXT-ALIGN: center">수정한 날짜를 보시면 2004년으로 되어져 있습니다.</p>
<p style="TEXT-ALIGN: center">보통 악성코드가 실행되어져서 파일이 추가적으로 만들어지면 최근에 생성된 날짜로 정렬을 하면 최근에 생성된 뭔가 의심되는 파일을 발견할 수 있는데,</p>
<p style="TEXT-ALIGN: center">이 프로그램을 만든 해커는 이런 부분도 회피하려고 파일의 날짜까지 2004년으로 바꿔버립니다.</p>
<p style="TEXT-ALIGN: center"><br></p>
<p style="TEXT-ALIGN: center"></p>
<p style="TEXT-ALIGN: center"><img src="https://t1.daumcdn.net/cfile/cafe/1365101E4B38CACE01" class="tx-daum-image" actualwidth="421" style="FLOAT: none; CLEAR: none" border="0" hspace="1" vspace="1" width="421" /></p>
<p style="TEXT-ALIGN: center"><br></p>
<p style="TEXT-ALIGN: center">파일의 세부정보를 살펴보면 , 그럴듯하게 속이기 위해서 Microsoft 라는 회사이름으로 위장시켜놨습니다.</p>
<p style="TEXT-ALIGN: center">하지만 언어를 보면 중국어죠. 사실 언어도 바꿀수있는데 , 해커가 따로 안바꾼것 같네요.</p>
<p style="TEXT-ALIGN: center"><br></p>
<p style="TEXT-ALIGN: center"><br></p>
<p style="TEXT-ALIGN: center"><br></p>
<p style="TEXT-ALIGN: center"><br></p>
<p style="TEXT-ALIGN: center"><br></p>
<p style="TEXT-ALIGN: center"><b>2. 서비스를 생성하고 시작합니다.</b></p>
<p style="TEXT-ALIGN: center"><br></p>
<p style="TEXT-ALIGN: center"><br></p>
<p style="TEXT-ALIGN: center"></p>
<p style="TEXT-ALIGN: center"><img src="https://t1.daumcdn.net/cfile/cafe/146E961B4B38CBB6EC" class="tx-daum-image" actualwidth="473" style="FLOAT: none; CLEAR: none" border="0" hspace="1" vspace="1" width="473" /></p>
<p style="TEXT-ALIGN: center">윈도우 XP에는 미디어센터가 없는데 , 미디어센터 관련 서비스인것처럼 절묘하게 속여서 서비스를 등록합니다.</p>
<p style="TEXT-ALIGN: center">설명을 보시면 media palyer 라고 되있습니다. 여기서 palyer는 player 의 오타입니다. 그리고 stoped 또한 stopped의 오타입니다 ㅋㅋ</p>
<p style="TEXT-ALIGN: center">짱깨라 영어를 잘 못하는것 같군요.</p>
<p style="TEXT-ALIGN: center">윈도우 미디어 플레이어 관련 서비스를 제공하는데 , 이 서비스는 중지할 수 없다고 설명에 써놨습니다.</p>
<p style="TEXT-ALIGN: center">사실 중지는 가능합니다.</p>
<p style="TEXT-ALIGN: center"><br></p>
<p style="TEXT-ALIGN: center"><br></p>
<p style="TEXT-ALIGN: center"><br></p>
<p style="TEXT-ALIGN: center"></p>
<p style="TEXT-ALIGN: center"><img src="https://t1.daumcdn.net/cfile/cafe/204C411C4B38CD2711" class="tx-daum-image" actualwidth="732" style="FLOAT: none; CLEAR: none" border="0" hspace="1" vspace="1" width="732" /></p>
<p style="TEXT-ALIGN: center">악성코드 파일 내부에는 위 스샷에서 확인할수 있다시피 Kill You 라는 문자열까지 넣어놓았습니다.</p>
<p style="TEXT-ALIGN: center">(너를 죽여버릴거야)</p>
<p style="TEXT-ALIGN: center"><b>여기서 미리 이 악성코드의 정체를 밝히자면 </b></p>
<p style="TEXT-ALIGN: center"><b>DDOS 공격에 이용하기 위해서 컴퓨터를 좀비PC로 만들기 위한 프로그램입니다.</b></p>
<p style="TEXT-ALIGN: center">공격을 받는 사이트를 마비시켜버린다는 뜻인것 같네요.</p>
<p style="TEXT-ALIGN: center">해커가 좀 사회에 불만이 많고 변태인것 같습니다.</p>
<p style="TEXT-ALIGN: center"><br></p>
<p style="TEXT-ALIGN: center"><br></p>
<p style="TEXT-ALIGN: center"><br></p>
<p style="TEXT-ALIGN: center"><br></p>
<p style="TEXT-ALIGN: center"><b>3. 서비스가 하는 행동 분석</b></p>
<p style="TEXT-ALIGN: center"><br></p>
<p style="TEXT-ALIGN: center"></p>
<p style="TEXT-ALIGN: center"><img src="https://t1.daumcdn.net/cfile/cafe/207FE81B4B38CE78A9" class="tx-daum-image" actualwidth="1024" style="FLOAT: none; CLEAR: none" border="0" hspace="1" vspace="1" width="1024" /></p>
<p style="TEXT-ALIGN: center"><br></p>
<p style="TEXT-ALIGN: center">프로그램이 수행하는 작업을 분석할때는 CPU의 점유율 , 그리고 I/O 연산량을 살펴보는것이 중요합니다.</p>
<p style="TEXT-ALIGN: center"><br></p>
<p style="TEXT-ALIGN: center">이 프로그램의 CPU점유율은 크지 않았으며(이것은 PC사용자로부터 들키지 않기 위함입니다.)</p>
<p style="TEXT-ALIGN: center">I/O 연산량이 많았는데 , </p>
<p style="TEXT-ALIGN: center">I/O 연산이라는것은 파일의 읽고쓰기/모니터에 화면출력/네트워크 패킷 송수신 등을 말합니다.</p>
<p style="TEXT-ALIGN: center"> 화면 오른쪽 아래 노란색 그래프를 보시면 주기적으로 I/O 그래프가 튀는 모습을 확인할 수 있습니다.</p>
<p style="TEXT-ALIGN: center">저것은 공격자의 명령에 따라서 공격하려는 사이트에 패킷을 보내는것입니다.</p>
<p style="TEXT-ALIGN: center">그리고 Packet Sniffer 화면을 보시면 마우스로 클릭해놓은 부분에</p>
<p style="TEXT-ALIGN: center">패킷이 1896여차례 보내진것을 확인할 수 있습니다.</p>
<p style="TEXT-ALIGN: center">패킷의 내용은 완전 쓸데없는 zzzzzzzzzzzz 같은 내용으로 도배해놨습니다.</p>
<p style="TEXT-ALIGN: center"><b>이 시점에서 저 가상머신은 DDOS 공격을 위한 좀비PC가 된것입니다.</b></p>
<p style="TEXT-ALIGN: center"><b>그리고 결과적으로 악성코드의 용도는 DDOS 공격을 위한것으로 밝혀졌습니다,</b></p>
<p style="TEXT-ALIGN: center"><br></p>
<p style="TEXT-ALIGN: center"><br></p>
<p style="TEXT-ALIGN: center"><strong>공격을 받는 사이트는 민감성 때문에 일부러 공개하지 않았으며,</strong></p>
<p style="TEXT-ALIGN: center"><strong>좀비PC를 원격 조종하는 공격자는 IP 조회를 해본결과 한국인으로 추정됩니다.</strong></p>
<p style="TEXT-ALIGN: center"><strong>(아마도 호기심 많은 툴밖에 쓸줄모르는 쪼렙크래커가 중국 프로그램 다운받아서 쓰는것으로 추정됩니다.)</strong></p>
<p style="TEXT-ALIGN: center"><strong>아니면 중국해커가 VPN을 통해서 접속한것일수도 있습니다.</strong></p>
<p style="TEXT-ALIGN: center"> </p>
<p style="TEXT-ALIGN: center"><br> </p>
<p style="TEXT-ALIGN: center">비교적 간단하게 분석이 끝났으며,</p>
<p style="TEXT-ALIGN: center">이번 악성코드 같은경우에는 , 유포된지 오래된것이어서 백신에서 금방 잡아낼 수 있었지만</p>
<p style="TEXT-ALIGN: center">신종 악성코드는 백신에서 바로 탐지도 못할뿐더러</p>
<p style="TEXT-ALIGN: center">모든 악성코드의 특성상 실행하면 순식간에 감염이 이뤄지고 난 뒤이기 때문에,</p>
<p style="TEXT-ALIGN: center">그 후부터는 초보자분들은 악성코드를 스스로 제거한다는것은 불가능에 가깝습니다.</p>
<p style="TEXT-ALIGN: center">이것은 온라인게임 해킹을 위해서 제작된 악성코드 또한 마찬가지입니다.</p>
<p style="TEXT-ALIGN: center"><br></p>
<p style="TEXT-ALIGN: center">항상 스스로 보안의식을 가지고 신중하게 컴퓨터를 사용하는것이 중요합니다.</p>
<p style="TEXT-ALIGN: center">보안전문가들이 윈도우업데이트 하고 , 백신을 최신으로 업데이트하며 , 의심스러운 사이트에 가지말라고하는데</p>
<p style="TEXT-ALIGN: center">이런 소리는 괜히 하는게 절대 아닙니다.</p>
<p style="TEXT-ALIGN: center">피해를 사전에 막기 위한 최소한의 조치입니다.</p>
<p style="TEXT-ALIGN: center"><br></p>
<p style="TEXT-ALIGN: center"> </p>
<p style="TEXT-ALIGN: center"><strong>마지막으로 혹시나 이 글을 볼지모르는 쪼렙 크래커들에게 한마디.</strong></p>
<p style="TEXT-ALIGN: center"><strong>너네들이 아무리 날고기면서 공격을 시도해봤자</strong></p>
<p style="TEXT-ALIGN: center"><strong>결국에는 다 소리소문없이 뒷모습 보이게 되있으니까</strong></p>
<p style="TEXT-ALIGN: center"><strong>괜한짓하지말고 착하게좀 살아가기 바랍니다.</strong></p>
<!-- -->
]]>
카페 게시글
………… 자유게시판〃
조심Ð
Re: 자게에 올라왔었던 악성코드 분석 결과입니다.
러디
추천 0
조회 685
09.12.29 00:41
댓글 17
다음검색
첫댓글 나의 눈은 메이플 스토리!
흐미 보안과 지망생인데 이글보니 뭔가 막막하기도.. 그런데 vm웨어 참유용하네요 이런용도로 사용하다니;
그렇군요. 이 크래커는 변태였군요-ㅂ-ㅋㅋ
너무 좋아하시는것같음
이렇게똑똑하신분이 메이플을.. !!!
참고로 저는 메이플스토리 계정이 없습니다. 저 메이플스토리는 다른 용도로 설치해놓은겁니다.
헐.. 화나셧으면 죄송해여 ㅠㅠ
러디님 부디 화이트해커로 남아주시길...
ㅋㅋㅋㅋㅋㅋㅋ 해커들중에도 좋은분많구나ㅋㅋㅋ 이런분들이 더많아지길......
크래커가 나쁜 놈들이죵ㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠ 나쁜놈들ㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠ
헐,,,,,,,,,,,,,, 너무 어렵다...............무슨상황인지도 모르겠어............
ㅠㅠ......잘못 햇으면 큰일날뻔 햇었네요
ㅠㅠ......잘못 햇으면 큰일날뻔 햇었네요
피칼씨 저기 보이는 메이플은....흠.....아직이신가염ㅋㅋㅋㅋㅋㅋㅋㅋㅋ
뭔지 잘 모르겠지만 감사합니다 ㅎㅎ
이런 분들 덕분에 안심합니다..
기립박수!!