특히 이번 핵은 기존에 소개한 제작자 계열로 추정되지만, 실제 메이플스토리 인증 서버에 접속을 시도하며, 외부로 계정 정보를 유출하지 않는 것이 특징으로 파악되고 있습니다.
유포자는 네이버(Naver) 블로그 등의 인터넷 게시판을 통해 유포가 이루어지고 있으며, 메이플스토리 트레이너(Trainer) 파일을 압축 파일 형태로 첨부하고 있습니다.
해당 압축 파일 내에 포함된 실행 파일(MD5 : da5b844afd38025a6f5158a31fa94f7c)은 avast! 보안 제품의 아이콘 모양을 하고 있는 것이 특징이며, AntiVir 보안 제품에서는 TR/Spy.198271.3 (VirusTotal : 1/43) 진단명으로 진단되고 있습니다.
실행 파일을 최초 실행할 경우 사용자 PC에 vb6ko.dll 파일이 존재하지 않을 경우 동작하지 않으며, 실행과 동시에 국내 특정 웹 호스팅 서버와 연결을 시도하고 있습니다.
- h**p://host***.ohseon.com/myfb/maker/on.txt
- h**p://host***.ohseon.com/myfb/maker/php/exit.php
- h**p://host***.ohseon.com/myfb/maker/site.txt
사용자가 핵 적용 버튼을 클릭시 메이플스토리 계정 인증 후 이용할 수 있다는 메시지를 출력합니다.
메이플스토리 계정 인증 단계에서는 아이디(ID), 비밀번호, 2차 비번을 모두 입력한 후 인증을 하도록 구성되어 있습니다.
해당 계정 인증 단계에서 연결 정보를 확인해보면 실제로 메이플스토리 인증 서버에 접속하여 계정 유효성 여부를 판단하여 로그인이 이루어지는 것으로 확인되고 있습니다.(※ 이 과정에서 추가적인 외부 계정 정보 유출은 확인되지 않고 있습니다.)
이를 통해 정상적인 로그인이 이루어진 사용자의 경우 메이플스토리의 정상적인 게임 규칙을 벗어난 핵 적용이 가능할 수도 있는 것으로 추정됩니다.
해당 창을 종료할 경우 기존의 파란(Paran) 웹 호스팅을 이용하였던 유포와 동일하게 웹하드 홍보 목적의 특정 사이트가 열리는 동작을 확인할 수 있습니다.
하지만 해당 실행 파일에서는 던전앤파이터, 네이버(Naver)와 관련된 정보 수집 기능이 추가될 가능성이 있을 수 있으며, 자신도 모르게 온라인 게임 등의 계정 정보가 외부로 유출될 수 있으므로 주의하시기 바랍니다.