본문 바로가기

벌새::Analysis

메이플스토리 KMS 트레이너를 이용한 계정 정보 탈취 주의 (2011.8.22)

반응형
국내 온라인 게임 메이플스토리(MapleStory) 계정 정보를 탈취할 목적으로 제작된 KMS 트레이너가 유포되고 있으므로 주의가 요구됩니다.
 

이미 블로그 등을 통해 메이플스토리 핵, 트레이너 등으로 위장한 다수의 국내산 계정 정보 수집 파일이 유포된 적이 있으므로 참고하시기 바랍니다.

 

 

해당 KMS 트레이너 파일은 네이버(Naver) 블로그를 통해 첨부 파일 형태로 배포가 이루어지고 있으며, 파일에는 바이러스가 심어져 있지 않다고 강조하고 있습니다.(※ 파일 감염형 바이러스는 심어져 있지 않지만 해당 파일을 이용할 경우 사용자의 메이플스토리 계정 정보가 유포자에게 전달됩니다.)

 

 

첨부 파일 내부에는 KMS트레이너.exe(MD5 : 76a668806fe684be9a9ec42c57ba098a) 파일이 있으며, AntiVir 보안 제품에서는

TR/Dropper.Gen (VirusTotal : 1/44) 진단명으로 진단되고 있습니다.(※ 차후 알약(ALYac) 제품에서도 진단할 예정입니다.)

 

 

흥미로운 점은 해당 게시글 접속시 네이버 로그인을 한 상태로 보면 게시글 하단에 자신의 네이버 아이디가 노출되는 것을 확인할 수 있으며, 추가 문구를 통해 마치 해당 첨부 파일의 동작이 안된다고 덧글을 남긴 것처럼 표현을 하고 있습니다.

 

 

하지만 네이버 로그인을 하지 않은 상태로 확인하면 아이디가 표시되지 않으며, 아이디 표시 영역은 Flash로 제작되어 있는 것을 알 수 있습니다.

 

 

해당 Flash 영역의 소스를 확인해보면 티스토리(Tistory) 블로그 계정에 등록된 swf 파일을 로딩하고 있는 것을 확인할 수 있습니다.

 

 

해당 swf 파일을 확인해보면 주니어 네이버 게임쪽에서 로그인 아이디 정보를 얻어오는 것을 확인하고 있습니다.

 

 

게시판 분석은 여기까지하고 첨부 파일을 실행해보면 vb6ko.dll 파일을 요구하고 있으며, 조건이 만족될 경우 다음과 같은 동작을 하고 있습니다.

 

 

실행된 프로그램은 메이플스토리 게임핵 관련 설정 영역은 비활성화 되어 있으며, 좌측 영역에 메이프스토리 아이디(ID), 비밀번호(PW), 2차 비번(2nd PW)을 입력하여 사용할 수 있도록 구성되어 있습니다.

 

 

파일을 실행할 경우 sangddung.zr.to / reazrto.zr.to로 쿼리를 전송하며, 로그인을 실행할 경우 메이플스토리 인증 서버에 접속을 시도하는 것을 확인할 수 있습니다.

 

 

하지만 그러는 과정에서 사용자가 입력한 메이플스토리 계정 정보(아이디, 비밀번호, 2차 비번)는 라온넷닷컴 웹 호스팅 서비스에 등록된 특정 계정을 통해 최종적으로 해당 트레이너 유포자의 네이버 이메일로 전송이 이루어지는 것을 확인할 수 있습니다.

 

 

많은 온라인 게임을 즐기는 사용자 중에서 이런 류의 프로그램을 인터넷 상에서 다운로드하여 이용하던 과정에 어느날 자신의 계정이 해킹되는 사고가 발생한다면 중국발 악성코드와 같은 기술적 취약점이 아닌 사회공학적 취약점에 자신이 쉽게 노출되었다는 점을 명심해야 합니다.

그러므로 누구나 쉽게 다운로드하여 이용할 수 있는 불법적인 게임핵과 같은 프로그램에 온라인 게임 계정 정보를 입력하지 않도록 주의하시기 바랍니다.

728x90
반응형
  • 알약 고고싱!!

  • 정보 감사합니다. 관련 변종 83개 Trojan/Win32.SendMail 진단 추가 완료 했습니다.

    아래는 변종 파일명
    maplestory_WIFI_Ver.5.00.exe
    슈키트레이너.exe
    메이플트레이너[1].exe
    핵스트레이너.txt
    메이플 kor_concert 트레이너.exe
    핑키TR.EXE
    ms트레이너[1].exe
    maple trainer.exe
    kms트레이너.exe
    옹야 트레이너[1].exe
    상현이꺼.exe
    ibot1[1].1.7.exe
    My Documents.exe
    ms트레이너[v1.04].exe
    느시메크로[1].exe
    진짜돼는거[1].exe
    runtime.dll
    $R0Y51A4.exe
    maple_hack.exe
    %C6%F8%C6%D4%B4%D4%B2%A8[1].exe
    메이플버그.exe
    aaa.exe
    Hack'story.exe
    씐트레이너7월25일자오류패치.exe
    마비.exe
    메이플 스토리.exe
    $RBWY6F4.exe
    핵스트레이너.exe
    dsaas.exe
    dse21312.exe
    인증하셈[1].exe
    $r4btrsz.exe
    수나문의센메.exe
    바탕 화면.exe
    MS트레이너[vol.1.7].exe
    센드메일메이커.exe
    MapleStory_Helper_ver.4.98.exe
    명안원클릭.exe
    쫑비트레이너.exe
    메이플_핵+트레이너_7월_20일자[1].exe
    풍차트레이너.exe
    1.exe
    리아의센메메이커[1].exe
    MapleStory_Helper_ver.4.99.exe
    Dc11.exe
    센드메일.exe
    꽁이트레이너.exe
    hack'story[1].exe
    꽁이트레이너[1].exe
    MapleStory_Helper_ver.5.00.exe
    sad21341.exe
    너무 늦게드렸네요 죄송합니당..[1].exe
    Desktop.exe
    MS트레이너.EXE
    땡땡 투레이노 0.11.exe
    SDSM.dll
    접속기.exe
    핑키tr.exe
    Maple_hack.exe
    A0468467.exe
    21321.exe
    메이플핵.exe
    $RIDDVE4.exe
    A0041187.exe
    메이플전용핵 트레이너 공유용.exe
    리아의센메메이커.exe
    Tayeon+Trainer.exe
    자동사냥+핵[2].exe

  • 처리님 정보 토대로 1200정도 더 추가 -.-;

  • 철이 2011.08.22 13:43 댓글주소 수정/삭제 댓글쓰기

    아이고야..변종들도 참 대단하네요..ㄷㄷㄷ;

    오늘도 온김에 애드클릭질 ㅋ

  • 센드메일 제작기로 만들다가 파는거예요. 아님 정상파일에 해킹툴을 넣다든지...등등임

  • 신사캐 2012.01.11 19:36 댓글주소 수정/삭제 댓글쓰기

    저도 오늘 털렷다는 ㅜ

  • Kraten Xrese 2012.07.30 19:06 댓글주소 수정/삭제 댓글쓰기

    불법 프로그램을 이용하려는 사용자가 늘면서 센드메일이라는 프로그램도

    증가한거같네요. 원래 옛날에는 저런게 조금밖엔 없었는데