2016년 5월 8일 일요일

the gate of windnest 예속의 소녀 한글판 바이러스



the gate of windnest 는 일본에서 만들어진 쯔구르 기반의 야겜으로서,누가 번역기로 한글패치한 버전이 대부분의 토런트에 유통되고 있다.해당 토런트 정보는 다음과 같다.

Infohash : 346F8AA4C77EE6224E3C98AE6D77972E9C765F81




하지만 한글 패치한 사람(공개된 게임 스크린샷에선 지나가던얼굴이 패치한 걸로 되어 있다)인지 아니면 악의적인 유저가 한글패치하면서 일부러 바이러스를 삽입한건지 모르겟지만, 바이러스에 감염된 파일로서 실행시 유저의 PC를 좀비 PC로 만드는 프로그램이다.

수준은 낮기 때문에 대부분의 백신은 경고를 뛰울 것이다. 하지만 무설치판이고 한글패치라 대부분의 사람들이 안심하고 백신 경고를 스킵하게 된다. 하지만 이것은 함정으로서,그걸 노린 좀비 바이러스이다.







아이콘 부터 범상치 않다. 위 이미지는 내가 복구를 완료한 모습이다. 보통 쯔구르 게임은 Game.exe 같이 용가리(?) 모양을 가진다. 하지만 범상치 않게도, 원본 토런트 파일의 Game.exe는 내가 infected 라는 걸 달아논 아이콘 모양을 가지고 있다. 이는 변조되었음을 알리는 첫 번째 징표다.

이는 해당 게임 파일과 좀비 pc 제작 프로그램이 합체된 결과다. 저건 기본 아이콘이기 때문이다. 하지만 한글판이기 때문에 그렇겟지 하면서 너머가는 유저가 많을 것이다.

 해당 프로그램을 실행하면 XP 기준, C:\Documents and Settings\(사용자 이름)\Local Settings\Temp 라는 임시 폴더에 원본 게임 프로그램과 함께 설치된다. 그 목록은 다음과 같다.

Game.EXE - 원본 게임 프로그램
Zombie-1.zz.am.exe - 좀비 PC를 만드는 프로그램
~__UNINST.EXE - 좀비 PC 제작후 흔적을 삭제하는 프로그램. 정상적인 것처럼 GAME.EXE를 실행하는 역활도 한다.




 위는 내 TEST PC의 감염된 모습이다. 다른 걸 하느라 0바이트와 1바이트 짜리 잡다한 프로그램이 들어갔는데, 뭐 어쩔수 없지.근데 나는 파일명 보고 웃엇다. Zombie-1.zz.am.exe. 라니. 대놓고 나는 좀비 만들겟다는 프로그래머의 의지가 느껴진다.

해당 파일의 속성이다.


마치 Microsoft Server라는 그럴듯한 모습을 달고 있지만


왠 중국어? 가 들어가 있다. 속일 수는 없는 모양이다.


이 프로그램은 좀비 PC를 만드는 프로그램으로서, Game.exe가 즉시 이 프로그램을 최고 권한인 SYSTEM 을 실행하기 때문에 실행시 즉시 시스템을 감염시킨다. 이 프로그램의 동작은 다음과 같다.


1. XP의 경우 C:\WINDOWS\system32,윈도우 8에서는 C:\Windows\SysWOW64 에 임의의 이름으로 변장해서 들어간다. 내가 해본 걸로는 XP 에서는 iiwsic.exe 였고, 윈도 8에서는 qwqcuw.exe 라는 이름이었다. 아마 패턴은 더 있을 것이지만,  나는 프로가 아니라서^^:

2.해당 프로그램은 윈도우 시작과 함께 실행되도록 숨겨진 서비스로 등록한다. 샌드박스로실행한 아래 스크린샷을 참고하라







Nationalqob Instruments Domain Service 라는 희한한 이름으로 등록되어 있다. 물론 이것도 몇개 패턴이 있는 걸로 추정된다. 위치는 HKEY_USERS\Sandbox_yhpdoit_DefaultBox\machine\System\CurrentControlSet\Services\Nationalsgv 인데, 샌드박스 경로이므로 일반 컴퓨터 경로로 바꾸면...HKLM\System\CurrentControlSet\Services\Nationalsgv 가 될 것이다.
 

3. 손상되거나 백신이 system32를 탐지해 지웟을때 떄를 대비해 C:\WINDOWS\Prefetch 에 등록한다. 이름은 system32에 붙은 이름의 연장선상이다.

4. 당신의 pc를 좀비 pc로 만들고 등록한다. 어디에 등록하는지는 모른다. 나는 ddos 공격자가 되고 싶은 생각은 없다. 네트워크 추적까지는 귀찮다.

5. 게임 실행 파일과 연동되어 있기 때문에 게임이 실행할 때마다 실행된다.

결과적으로 기존 실행 프로그램을 삭제한 후, 샌드박스 프로그램으로 임시 폴더에 있는 정상적인 게임 파일을 가져다 놓아야 바이러스 걱정을 없앨 수 있다.
작성자: yhpdoit 시간: 오후 2:29
라벨: , , , ,

댓글 없음:

댓글 쓰기

피드 구독하기: 댓글 (Atom)