이미 블로그 등을 통해 메이플스토리 핵, 트레이너 등으로 위장한 다수의 국내산 계정 정보 수집 파일이 유포된 적이 있으므로 참고하시기 바랍니다.
해당 KMS 트레이너 파일은 네이버(Naver) 블로그를 통해 첨부 파일 형태로 배포가 이루어지고 있으며, 파일에는 바이러스가 심어져 있지 않다고 강조하고 있습니다.(※ 파일 감염형 바이러스는 심어져 있지 않지만 해당 파일을 이용할 경우 사용자의 메이플스토리 계정 정보가 유포자에게 전달됩니다.)
첨부 파일 내부에는 KMS트레이너.exe(MD5 : 76a668806fe684be9a9ec42c57ba098a) 파일이 있으며, AntiVir 보안 제품에서는
TR/Dropper.Gen (VirusTotal : 1/44) 진단명으로 진단되고 있습니다.(※ 차후 알약(ALYac) 제품에서도 진단할 예정입니다.)
흥미로운 점은 해당 게시글 접속시 네이버 로그인을 한 상태로 보면 게시글 하단에 자신의 네이버 아이디가 노출되는 것을 확인할 수 있으며, 추가 문구를 통해 마치 해당 첨부 파일의 동작이 안된다고 덧글을 남긴 것처럼 표현을 하고 있습니다.
하지만 네이버 로그인을 하지 않은 상태로 확인하면 아이디가 표시되지 않으며, 아이디 표시 영역은 Flash로 제작되어 있는 것을 알 수 있습니다.
해당 Flash 영역의 소스를 확인해보면 티스토리(Tistory) 블로그 계정에 등록된 swf 파일을 로딩하고 있는 것을 확인할 수 있습니다.
해당 swf 파일을 확인해보면 주니어 네이버 게임쪽에서 로그인 아이디 정보를 얻어오는 것을 확인하고 있습니다.
게시판 분석은 여기까지하고 첨부 파일을 실행해보면 vb6ko.dll 파일을 요구하고 있으며, 조건이 만족될 경우 다음과 같은 동작을 하고 있습니다.
실행된 프로그램은 메이플스토리 게임핵 관련 설정 영역은 비활성화 되어 있으며, 좌측 영역에 메이프스토리 아이디(ID), 비밀번호(PW), 2차 비번(2nd PW)을 입력하여 사용할 수 있도록 구성되어 있습니다.
파일을 실행할 경우 sangddung.zr.to / reazrto.zr.to로 쿼리를 전송하며, 로그인을 실행할 경우 메이플스토리 인증 서버에 접속을 시도하는 것을 확인할 수 있습니다.
하지만 그러는 과정에서 사용자가 입력한 메이플스토리 계정 정보(아이디, 비밀번호, 2차 비번)는 라온넷닷컴 웹 호스팅 서비스에 등록된 특정 계정을 통해 최종적으로 해당 트레이너 유포자의 네이버 이메일로 전송이 이루어지는 것을 확인할 수 있습니다.
많은 온라인 게임을 즐기는 사용자 중에서 이런 류의 프로그램을 인터넷 상에서 다운로드하여 이용하던 과정에 어느날 자신의 계정이 해킹되는 사고가 발생한다면 중국발 악성코드와 같은 기술적 취약점이 아닌 사회공학적 취약점에 자신이 쉽게 노출되었다는 점을 명심해야 합니다.
그러므로 누구나 쉽게 다운로드하여 이용할 수 있는 불법적인 게임핵과 같은 프로그램에 온라인 게임 계정 정보를 입력하지 않도록 주의하시기 바랍니다.