본문 바로가기

벌새::Analysis

AhnLab 위장 파일을 생성하는 멜론(Melon) 크랙 주의 (2012.3.2)

반응형
최근 국내에서 제작된 멜론(Melon) 서비스 크랙 파일을 실행할 경우 국내 보안 업체 AhnLab 파일로 위장한 악성 파일을 사용자 몰래 생성하는 것을 확인하였습니다.

해당 크랙(Crack) 제작자는 주기적으로 멜론 서비스를 불법적 목적으로 이용하도록 하기 위해 업데이트를 하는 것으로 추정되며, 현재 시점에서는 서버가 닫혀 있는 관계로 자세한 부분은 확인이 불가능한 상황입니다.

유포 방식은 제작자로 추정되는 네이버(Naver) 블로그를 통해 배포가 이루어지고 있는 것으로 확인되고 있습니다.

 

  • Melon.dll (MD5 : 7559ecdd5ea9209806893ccfc2105542)
  • MelonPlayerZ.exe (MD5 : 64381ba6e233c435734eb69603665eb5) - Kaspersky : HackTool.Win32.QQHack.jf (VirusTotal : 12/43)

배포 압축 파일 내부에는 2개의 파일이 존재하며, MelonPlayerZ.exe 실행 파일은 "MelonZ-듀얼[cheatgunz]"라는 이름으로 자신의 저작권을 주장하고 있습니다.

재미있는 부분은 해당 제작자는 자신의 크랙 파일이 안전하다는 것을 증명하기 위하여 바이러스토탈(VirusTotal) 서비스에 직접 파일을 등록한 것으로 보입니다.

여기서 분명하게 짚고 넘어갈 부분은 정상적인 서비스를 불법적인 방법으로 우회할 목적의 크랙 파일 자체는 백신 프로그램의 진단 정책에 부합하며, 해당 프로그램의 경우에는 더욱 진단해야 할 근거가 있습니다.

 

해당 파일을 실행하면 사용자 PC에 vb6ko.dll 파일이 필요하다는 메시지를 표시하며, 반드시 멜론 플레이어(Melon Player)가 설치되어 있어야 정상적인 동작을 확인할 수 있습니다.

 

MelonPlayerZ.exe 실행시 연결 동작

크랙 파일(MelonPlayerZ.exe)을 실행하면 "chss.dothome.co.kr" 호스팅 서버에 접속하여 부산(Busan)에 위치한 특정 서버로부터 admin.exe 파일을 다운로드하도록 등록되어 있습니다.

 

admin.exe

  • C:\Documents and Settings\(사용자 계정)\Application Data\admin.exe (MD5 : d2eb829564fcd8402ec006d38f431635)

다운로드된 admin.exe 파일은 "Client Server Runtime Process"라는 이름으로 AhnLab 보안 제품의 AhnAzEx.exe 파일로 위장하고 있으며, Kaspersky 보안 제품에서는 Trojan.Win32.VB.bcgh (VirusTotal : 14/43) 진단명으로 진단되고 있습니다.

 

이 과정에서 현재 시점에서는 서버가 닫혀 있으며, 런타임 오류창이 생성되어 더 이상 추가적인 동작은 확인되고 있지 않습니다.

하지만 외부 정보에 의하면 admin.exe 파일은 특정 레지스트리 값을 통해 시스템 시작시 자동 실행되거나 동작에 필요한 등록을 하는 것으로 추정됩니다.

또한 자기 자신을 윈도우 방화벽에 제외 처리 방식으로 등록하여 차단되지 않도록 하는 것으로 보이며, 제작자의 의도에 따라 추가적인 악의적 동작이 발생할 수 있을 것으로 보입니다.

그러므로 멜론(Melon)과 같은 유료 서비스를 불법적으로 이용할 목적으로 크랙을 할 경우에는 멜론 계정 정보 탈취 또는 사용자 PC가 외부에서 제어될 수 있는 문제가 발생할 수 있으므로 이런 류의 프로그램은 이용하지 않도록 주의하시기 바랍니다.

728x90
반응형