해킹관련팁〃 중국발 악성코드에 감염되었는지 여부를 알려주는 프로그램 (소스수정)

[러디]

2010/4/27

좀더 안정적으로 프로그램이 실행되도록 소스코드의 전반적인 수정.

- 프로그램 작성 배경 -

간혹 게임을 하지않고도 , 넥슨계정이 털리는 경우가 있습니다.

이는 , 중국해커가 국내 인터넷 이용자들의 습관을 정확하게 분석해서 악성코드 프로그램을 작성했기때문에

그런 일이 일어나는겁니다.

해당 악성코드의 분석 내용을 확인하려면 다음 링크를 참조하면 됩니다. : 링크

이 프로그램은 넥슨 계정을 타겟으로 하는 중국발 악성코드에 감염되었는지

그 여부를 확인해주는 프로그램이며 , 제가 직접 작성하였습니다.

넥슨 계정을 털어가는 알고리즘 자체가 바뀌지 않는이상,

아무리 변종버젼이 시스템에 몰래 숨어들어서, 백신에 걸리지않고 실행중이라 할지라도

이 프로그램 하나로 감염여부를 파악할 수 있습니다.

오해의 소지가 있을수 있는데 , 이 프로그램 하나로 중국발 악성코드 모두를 잡아낼수 있다는게 아닙니다.

온라인 상에는 수많은 종류의 악성코드가 존재하며 ,

각각 고유의 수법들을 지니고 있습니다.

이 프로그램은 그 수많은 종류의 악성코드들 중에서 , 최근에 유행하고 있는 넥슨 계정을 탈취하는 특정 악성코드의 감염여부만을 

알려주는 프로그램입니다.

ie_hook.rar

vcredist_x86.exe

- 실행 방법 -

IE6과  IE8에서 테스트 완료했습니다.

비스타나 7 사용자분들은 가급적이면  "관리자 권한으로 실행" 해주셔야 합니다.

0. 먼저 vcredist_x86.exe 를 설치합니다. (이미 설치했다면 또 설치할 필요 없습니다.)

1. 인터넷익스플로러 를 켭니다. (현재 켜져 있다면 따로 켤 필요 없습니다.)

2. 그 뒤에 , IE_Inline_Hook_Check.exe 를 실행합니다.

- 결과에 따른 후속 조치 -

실행 후에 , 안전하다고 나오면 안전한것이며 ,

API First Bytes가 변조되었다고 나오면 , 뭔가 의심스러운놈이 인터넷익스플로러에 달라붙어서

이상한짓을 하고있다고 보시면 되겠습니다.

따라서 , 백신을 최신버젼으로 업데이트 한 이후에,

아래의 폴더를 모든파일 검사 옵션으로 수동으로 검사하세요.

현재까지 분석결과에 따르면 아래의 폴더에 악성코드가 있을확률이 가장 높은것으로 판단됩니다.

C:\Windows\system

C:\Wndows\Fonts

C:\Windows\system32\

정상적인 프로그램만 사용해왔다면 , API First Bytes가 변조될리가 없습니다.

즉 ,  악성코드만이 변조시킨다는것이죠. 

ps.  의심하는분들이 계셔서 대놓고 소스코드 전부다 까발려드립니다.

적어도 소스코드 까발린이상 , 위험하다는 소리 하지말아주셨으면 좋겠습니다.

새벽에  졸면서 짰는데 ,  힘빠지네요.

컴파일러 없으신분들은  메모장으로 열어보세요

sources.rar

[탱크형물리복합마검사]

조회 1500이 넘었으니 이제 슬슬 어느 한 분 쯤 감염됬다고 나올때도 된것 같은데..

[러디]

그러게요. 변조되었다는 댓글이 아직은 없군요

[러디]

inject인지 eject인지 여부와 운영체제를 뭐 쓰시는지 알려주세요. 마지막으로 에러코드도 알려주셔야 확인이 가능합니다.

[[하칸]으컁컁컁]

헐..sone<<이분 -ㅁ- 예전부터 봐온 멀티 제작자 -ㅁ-.. ㅠㅠ 공유생각은...ㅠㅠ 흑흑

[러디]

글쎄요 , 멀티는 이미 파볼만큼 다 파봤기 때문에 지금은 관심이 없네요.

[[하칸]으컁컁컁]

햏ㅎㅋㅋ 오늘도 블로그 눈팅좀 했어영~ +ㅁ+ ahn연구소 인턴들이 보고한다는거 보고 피식한 =ㅁ=ㅋㅋ아하하.. ㅁㅌㅁㅌ

[[오를]뽀거스는내친구]

비스타 서팩2에 익스8 쓰고 있는 유저입니다만, 위의 스샷과 같은 내용이 뜨지만
안전이라는 다이어로그박스가 뜨질 않고 DLL해제 되면서 그냥 종료되는군요 ;;; 저만 그런지;;;
참고로 관리자유저로 실행시켰습니다.

[[오를]뽀거스는내친구]

참고로 XP프로 서팩3에 익스6에서는 잘됩니다. 감사합니다 ^^