이미 블로그 등을 통해 메이플스토리 핵, 트레이너 등으로 위장한 다수의 국내산 계정 정보 수집 파일이 유포된 적이 있으므로 참고하시기 바랍니다.
해당 KMS 트레이너 파일은 네이버(Naver) 블로그를 통해 첨부 파일 형태로 배포가 이루어지고 있으며, 파일에는 바이러스가 심어져 있지 않다고 강조하고 있습니다.(※ 파일 감염형 바이러스는 심어져 있지 않지만 해당 파일을 이용할 경우 사용자의 메이플스토리 계정 정보가 유포자에게 전달됩니다.)
첨부 파일 내부에는 KMS트레이너.exe(MD5 : 76a668806fe684be9a9ec42c57ba098a) 파일이 있으며, AntiVir 보안 제품에서는
TR/Dropper.Gen (VirusTotal : 1/44) 진단명으로 진단되고 있습니다.(※ 차후 알약(ALYac) 제품에서도 진단할 예정입니다.)
흥미로운 점은 해당 게시글 접속시 네이버 로그인을 한 상태로 보면 게시글 하단에 자신의 네이버 아이디가 노출되는 것을 확인할 수 있으며, 추가 문구를 통해 마치 해당 첨부 파일의 동작이 안된다고 덧글을 남긴 것처럼 표현을 하고 있습니다.
하지만 네이버 로그인을 하지 않은 상태로 확인하면 아이디가 표시되지 않으며, 아이디 표시 영역은 Flash로 제작되어 있는 것을 알 수 있습니다.
해당 Flash 영역의 소스를 확인해보면 티스토리(Tistory) 블로그 계정에 등록된 swf 파일을 로딩하고 있는 것을 확인할 수 있습니다.
해당 swf 파일을 확인해보면 주니어 네이버 게임쪽에서 로그인 아이디 정보를 얻어오는 것을 확인하고 있습니다.
게시판 분석은 여기까지하고 첨부 파일을 실행해보면 vb6ko.dll 파일을 요구하고 있으며, 조건이 만족될 경우 다음과 같은 동작을 하고 있습니다.
실행된 프로그램은 메이플스토리 게임핵 관련 설정 영역은 비활성화 되어 있으며, 좌측 영역에 메이프스토리 아이디(ID), 비밀번호(PW), 2차 비번(2nd PW)을 입력하여 사용할 수 있도록 구성되어 있습니다.
파일을 실행할 경우 sangddung.zr.to / reazrto.zr.to로 쿼리를 전송하며, 로그인을 실행할 경우 메이플스토리 인증 서버에 접속을 시도하는 것을 확인할 수 있습니다.
하지만 그러는 과정에서 사용자가 입력한 메이플스토리 계정 정보(아이디, 비밀번호, 2차 비번)는 라온넷닷컴 웹 호스팅 서비스에 등록된 특정 계정을 통해 최종적으로 해당 트레이너 유포자의 네이버 이메일로 전송이 이루어지는 것을 확인할 수 있습니다.
많은 온라인 게임을 즐기는 사용자 중에서 이런 류의 프로그램을 인터넷 상에서 다운로드하여 이용하던 과정에 어느날 자신의 계정이 해킹되는 사고가 발생한다면 중국발 악성코드와 같은 기술적 취약점이 아닌 사회공학적 취약점에 자신이 쉽게 노출되었다는 점을 명심해야 합니다.
그러므로 누구나 쉽게 다운로드하여 이용할 수 있는 불법적인 게임핵과 같은 프로그램에 온라인 게임 계정 정보를 입력하지 않도록 주의하시기 바랍니다.
알약 고고싱!!
문제는 사람들은 저런 파일 진단하면 보안 제품을 끈다는 사실..ㅋ
정보 감사합니다. 관련 변종 83개 Trojan/Win32.SendMail 진단 추가 완료 했습니다.
아래는 변종 파일명
maplestory_WIFI_Ver.5.00.exe
슈키트레이너.exe
메이플트레이너[1].exe
핵스트레이너.txt
메이플 kor_concert 트레이너.exe
핑키TR.EXE
ms트레이너[1].exe
maple trainer.exe
kms트레이너.exe
옹야 트레이너[1].exe
상현이꺼.exe
ibot1[1].1.7.exe
My Documents.exe
ms트레이너[v1.04].exe
느시메크로[1].exe
진짜돼는거[1].exe
runtime.dll
$R0Y51A4.exe
maple_hack.exe
%C6%F8%C6%D4%B4%D4%B2%A8[1].exe
메이플버그.exe
aaa.exe
Hack'story.exe
씐트레이너7월25일자오류패치.exe
마비.exe
메이플 스토리.exe
$RBWY6F4.exe
핵스트레이너.exe
dsaas.exe
dse21312.exe
인증하셈[1].exe
$r4btrsz.exe
수나문의센메.exe
바탕 화면.exe
MS트레이너[vol.1.7].exe
센드메일메이커.exe
MapleStory_Helper_ver.4.98.exe
명안원클릭.exe
쫑비트레이너.exe
메이플_핵+트레이너_7월_20일자[1].exe
풍차트레이너.exe
1.exe
리아의센메메이커[1].exe
MapleStory_Helper_ver.4.99.exe
Dc11.exe
센드메일.exe
꽁이트레이너.exe
hack'story[1].exe
꽁이트레이너[1].exe
MapleStory_Helper_ver.5.00.exe
sad21341.exe
너무 늦게드렸네요 죄송합니당..[1].exe
Desktop.exe
MS트레이너.EXE
땡땡 투레이노 0.11.exe
SDSM.dll
접속기.exe
핑키tr.exe
Maple_hack.exe
A0468467.exe
21321.exe
메이플핵.exe
$RIDDVE4.exe
A0041187.exe
메이플전용핵 트레이너 공유용.exe
리아의센메메이커.exe
Tayeon+Trainer.exe
자동사냥+핵[2].exe
ㅋㅋ.. 무섭습니다.^^
악~ 저도좀 ㅡㅡ; ㅋㅋ
메이플PC서비스.exe
DFAuto+.exe
Milk Trainer(배포용).exe
PC방혜택.exe
8.14+개인트레이너.exe
8.14+PC방무료혜텍.exe
게토PC크랙버전.exe
키요트레이너5.0.exe
푸잉트레이너(데슬가능).exe
9개 변종 등록완료 ㅡㅡㅋ
초라하다 ㅋㅋㅋ
처리님 정보 토대로 1200정도 더 추가 -.-;
ㅡㅡ;;; 반띵합죠!!
이번에 대응팀으로 옮기셧나요 ㅡㅡㅋ 대응은 그만 ㅋㅋ
아이고야..변종들도 참 대단하네요..ㄷㄷㄷ;
오늘도 온김에 애드클릭질 ㅋ
센드메일 제작기로 만들다가 파는거예요. 아님 정상파일에 해킹툴을 넣다든지...등등임
저도 오늘 털렷다는 ㅜ
불법 프로그램을 이용하려는 사용자가 늘면서 센드메일이라는 프로그램도
증가한거같네요. 원래 옛날에는 저런게 조금밖엔 없었는데
가끔 확인해보면 계정 정보 수집하는 이메일에는 생각보다 많은 계정이 수집되더군요.