본문 바로가기

벌새::Analysis

백도어 + 키로거 기능을 포함한 청룡엔진 6.0 주의 (2011.5.24)

반응형
블로그 등 인터넷 게시판을 통해 유포가 이루어지고 있는 온라인 게임 치트 엔진 청룡엔진 6.0 버전을 실행할 경우 사용자 몰래 키보드 감시를 통한 키로거(Keylogger) 기능과 백도어(Backdoor) 기능이 포함되어 있는 것을 확인하였습니다.

실제 청룡엔진 배포자들은 보안 제품에서 파일을 진단하므로 정상적인 사용을 위해서는 실시간 감시를 끄고 사용하라고 안내를 하고 있지만, 이런 경우 사용자 몰래 추가적인 파일 등록을 통해 개인정보 유출과 추가적인 악의적인 동작이 있을 수 있습니다.

블로그를 통해 유포되는 청룡엔진 6.0 버전을 다운로드하여 보면 압축 파일 내부에 그림과 같은 파일을 포함하고 있는 것을 확인할 수 있습니다.

[청룡엔진 6.0 버전 : 압축 내부 파일 진단 정보]

SS.sys (MD5 : 6a197d3b9d952688acfae5aed0a67d50)
 - Hauri ViRobot : Trojan.Win32.Scar.60416.A (VirusTotal : 4/43)

SS.dll (MD5 : c8ba545b872cc5b347f133dd25ef0451)
 - Hauri ViRobot : Trojan.Win32.Scar.128512 (VirusTotal : 4/43)

청룡엔진6.0.exe (MD5 : ec71a93dfcd4ac81476927abbb15a8a6)
 - nProtect : Backdoor/W32.Agent.2971136 (VirsuTotal : 32/40)

해당 압축 파일을 해제하여 사용을 목적으로 실시간 감시를 OFF한 상태로 실행할 경우 그림과 같은 창이 생성되며 사용할 수 있습니다.

[청룡엔진 6.0 버전 실행시 생성 파일 등록 정보]

C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\dclogs.sys
C:\Windupdt
C:\Windupdt\winupdate.exe (MD5 : ec71a93dfcd4ac81476927abbb15a8a6)

하지만 청룡엔진을 실행시 사용자 몰래 숨김(H) 속성의 [C:\Windupdt] 폴더를 생성하며, 해당 폴더 내부에 Windows 시작시 자동 실행되는 숨김 속성의 winupdate.exe 파일을 추가하는 동작이 있습니다.

[생성 / 변경 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
 - EnableLUA = 0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - winupdater = C:\Windupdt\winupdate.exe
HKEY_CURRENT_USER\Software\sang sinsang
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
 - Userinit = C:\WINDOWS\system32\userinit.exe, :: 변경 전
 - Userinit = C:\WINDOWS\system32\userinit.exe,C:\Windupdt\winupdate.exe :: 변경 후
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
 - DisableNotifications = 1 :: 추가
 - EnableFirewall = 1 :: 추가

또한, 레지스트리 변경을 통해 윈도우 보안 센터 및 Windows 방화벽 변경, 윈도우 사용자 계정 컨트롤(UAC : Windows User Account Controls) 변경 등을 통해 백도어 동작이 가능하도록 환경을 변경합니다.

감염된 PC는 Windows 시작 시점부터 svchost.exe 프로세스에 등록된 DNS Cache 서비스를 통해 UDP 프로토콜을 통해 지속적으로 외부와 통신을 할 수 있도록 접속을 유지합니다.

실제 연결을 시도하는 곳은 국내에서 서비스하는 유동 IP를 고정 도메인으로 연결시켜주는 서비스로 [cdhs3986.codns.com] 도메인으로 연결을 하고 있습니다.

추가적으로 감염된 PC에서 사용자가 입력한 키보드 값을 [C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\dclogs.sys] 파일에 저장하여 차후 외부에서 피해자 PC에 접속하여 해당 파일을 통해 민감한 정보를 획득할 수 있을 것으로 추정됩니다.

테스트에서는 사용자가 네이버(Naver) 사이트에 접속하여 로그인을 시도할 경우 사용자 ID, 비밀번호가 그대로 기록되어 있는 것을 확인할 수 있었습니다.

위와 같이 불법적인 핵 프로그램은 보안 제품에서 진단할 수 있다는 논리로 사용시 보안 제품의 실시간 감시를 끄고 사용하도록 유도하며, 순순히 안내를 따를 경우 자신의 소중한 정보가 외부로 유출될 수 있으므로 이런 류의 프로그램은 사용하지 마시기 바랍니다.


728x90
반응형
  • 철이 2011.05.24 19:42 댓글주소 수정/삭제 댓글쓰기

    카스퍼스키도 진단하네요
    Trojan.Win32.Scar.dsjn ^^
    아얘 내려받지 못하게하는군요 ㄷ;

  • 엔진이름만 멋지네요

  • 와실망이크다 2011.06.27 18:34 댓글주소 수정/삭제 댓글쓰기

    그냥말이안나오고 실망만클뿐이내요

  • Cso청룡 2011.06.27 18:42 댓글주소 수정/삭제 댓글쓰기

    아 씨123.1241발 지들이 청룡엔진 크랙판 받아놓고
    개 지??#!@?#!?랄임? 저게 내블로그냐고 ㅡㅡ
    아니면 내카페냐고 ㅡㅡ 내가 처음에 엔진 배포할땐 아무것도없고
    내엔진 받아가서 다른놈들이 서버파일같은거 심어놓은거지 내가한게 아니잖아?
    좀 생각좀 하고살지?

  • Cso청룡 2011.06.27 18:45 댓글주소 수정/삭제 댓글쓰기

    이 글쓴이는 글좀 수정하지?
    니가 내 마음을 알어?
    내가 처음에 배포할떄는 아무것도없는 깨끗한 엔진이야
    알겠어? 명심해라
    난 저런것때문에 청룡엔진 버린지 오래고
    청룡에디터를 한다 그리고 배포 이제 안할거다 너같은 찌1질이떄문에

    • 야청룡 2011.07.05 21:31 댓글주소 수정/삭제

      To Cso청룡

      왜 발끈하냐?ㅋㅋㅋㅋㅋㅋ
      찔리는게 있나봐?
      법대로 할까??
      법정 ㄱㄱ???
      깝치지말고얌전히 있어라 ^^
      법원에서 꼬리내릴짓 하지마라^^
      그리고 너나 좀 생각좀 하고살지?
      너같은 찌1질이때문에 온라인게임이 망하는거야

    • 청룡이는 보아라~ 2011.07.05 22:06 댓글주소 수정/삭제

      야 청룡아~
      원래 핵프로그램은 불법이거든?
      그걸 배포하는것도 불법이야~ 똘추야~
      어디서 좀 알고 떠들어라~ 한심해서 웃음밖에 안나오네 ㅋㅋ
      쯔쯔~ 계속 만들어봐 내가 계속 신고할테니 ㅋㅋㅋㅋ 청룡에디터? 검색해서 나오는거
      다 신고한다 ㅎㅎㅎ

  • 내가 하나알려줌? 예전에 내블로그에서 받앗던엔진 검사해봐 존나 깨끗해 ㅇㅋ?
    또하나 알려줄게 니들 핵프로그램 썻지? 사용했지? 그것도 불법임?ㅇㅋ?
    핵 만들어서 배포하는것도 문제지만
    그거 좋아라 하면서 쓰는사람도 불법임 ㅇㅋ?
    알지도못하면서 지랄 보지 빠는소리하네
    글구 이름을 '야청룡' 이라고한새끼야
    넌 여길 어떻게들어왔니?
    당연히 너도 카스핵쓸려고 '청룡엔진' 이라고 검색해서 왔겠지?
    너같은 찌질이가 알지도못하면서 나대니까 온라인이 망하는거임
    알지도 못하면서 지껄이는건 니들아님?
    니들도 법원가면 '불법프로그램 사용' 으로 걸림 ㅇㅋ?
    지들도 존나 좋다고 쓸땐언제고
    지들이 내엔진 내블로그에서 받아서 서버파일과 합쳐서 뿌려놓고
    개지랄 보지빠는소리하는거임?

  • 꼬우면 내카페와서 엔진구매자들 한테 물어봐
    내가 바이러스를 넣엇나 내엔진 바이러스 하나도없이 깨끗한걸로 올리거든?
    예전에 내엔진 매일 크랙해서 섭파랑 합쳐서 좀비PC 1000마리 정도 가지고있는
    사람이 있었어 그게 내가 들은바로는 EBS 어택한 사람이라더군?

  • 게다가 난 알집이름을 저따구로 복잡하게안해
    6.0 이면 청룡엔진 6.0.zip 이런식이지 저렇게 6[1][1] - 이따구로 안한다고 ㅡㅡ

  • 그리고 블로그 이름은 왜가리는데?
    저게 내블로그가 아니라는걸 증명해야지?
    저새기가 섭파랑합쳐서 내엔진올릴때
    ㅋㅋㅋㅋ 한거보면 딱티나잖아?
    내블로그에서 바이러스따위 없는 엔진 받은사람들 한테물어보거나
    내카페 회원들 한테물어보면 알거임
    누군가가 내엔진을 블로그에서 받아서 크랙한후
    서버파일과합쳐서 알집이름을 바꾼후 올렸다는걸
    난 진짜 6[1][1] - 이런식으로 안하거든?
    나억울하단말이야
    알집 압축할떄 나는 말야 . 청룡엔진 6.0.zip , 청룡에디터 2.0 등 이런식으로 하거든?

  • 하하하..^^;; 이거.. 이거 묘한 분위기였네용..
    벌새님 토닥~ 토닥~

  • 답답하네 답답해
    내가 그 바이러스합쳐서 유포하는놈이 누군지알고
    어떻게 뭐라하냐니깐
    니가 찾아서해줄래?
    내가 했다는증거있어?
    그래 정못믿겠으면 내엔진 당장받아서
    바이러스 검사하고 어쩌고 또 개지랄해봐
    난 지금 바이러스없거든?
    또 나중에 크랙 어쩌고하면서 퍼지고 난리나겟지?

    • 왜 엄한곳에 와서 화풀이? 2011.09.28 11:05 댓글주소 수정/삭제

      왜 엄한곳에 와서 화풀이이신가?

      당신이 만든 엔진이 꺠끗하다면 그걸로 된거지~

      다른 블로그에서 그 파일을 가지고 크랙해서 악성파일을 숨겼던 말건
      상관없자나~

      당신이 배포할때 그런종류들이 있다고 경고를 주고 여기에서만 받으라고만 하면되지 ㅡㅡ^

  • 아니 병1신인가
    내가 만들었는데
    사람들이 뭐라고 오해하겠냐고
    내가 바이러스 퍼뜨렸다고 오해하잖아

    • 민간수사 2011.10.26 14:19 댓글주소 수정/삭제

      당신이 이 프로그램에 악성 코드를 삽입했던 하지 않았던
      많은 부분 법에 저촉되는 행위를 했음으로
      우선 사이버수사대에 의뢰할 예정입니다.

      우선 특정 온라인 게임의 약관에 위배되는
      불법프로그램 제작 및 배포했으며
      해당 블로그를 통해 확인한바
      누구든 확인할 수 있는 공개적인 글을 통해서
      불법프로그램 사용 및 카페가입 유도를 한 점을
      보아 그 죄가 무겁다고 사료되어 신고할 예정.

  • 착한사람 2012.01.27 13:24 댓글주소 수정/삭제 댓글쓰기

    벌새님 제가청룡엔진8.0을다운로드했는데
    바이러스가탐지안됫어요(노턴안티바이러스에서)
    다켜놓고있었는데 그럼안전한가요?

    • 청룡엔진이라는 프로그램 자체가 정상적인 시스템을 불법적으로 이용할 목적으로 제작되었으므로 그로 인하여 어떤 피해가 있을지 알 수 없습니다.

      백신에서 진단되지 않았다고 안전하다고 장담 못합니다.

  • 야청룡 2012.02.28 09:25 댓글주소 수정/삭제 댓글쓰기

    병`신새`끼네 청룡 ㅋㅋ

    야 핵개발 졷나게 순수하게 배포할 목적으로 제작했냐 ㅋㅋㅋ

    병`신인증해주네 저런새`끼들떄문에 초딩들 개인정보 아주 졷되는거야

  • ㅋㅋㅋ 욷기다 2012.03.01 02:43 댓글주소 수정/삭제 댓글쓰기

    심심해서 검색하던도중

    청룡엔진이란걸 검색해서 들와밨더니

    핵 이란곳에 자부심이 대단하네 ㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋ

    뭐 핵만들면 사이버 세상에서 와 대단하다 님아 이러니깐 아주 세상을 다가진거 같지 청룡아?ㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋ

    쨋든 니가 했든 안했든

    엔진이란거 자체가 허가없이 메모리를 수정하고 보는용도니

    그건 프로그램에 악영향을 주는거임 ㅇㅇ

    보나마나


    사이버 세계에서는 인정받는다해도

    현실세계에서는
    말짱도루묵 ㅇㅇ

  • 뭣도 모르는게 2013.01.13 06:37 댓글주소 수정/삭제 댓글쓰기

    겨우 핵하나 만들었다고 윽박지리고 있네;; 고작 핵가지고 적어도 하나의 서버를 가지고 놀 줄은 알아야 조금이라도 인정받지 쯧즛

  • 다중에 2013.01.13 06:39 댓글주소 수정/삭제 댓글쓰기

    다중서버에 네 이름으로 크래킹하면 인정해줄께ㅋㅋ 그게 1000년이 될지 만년이 될지 모르지만 네머리론 ㅋㅋ