본문 바로가기

벌새::Analysis

AhnLab 위장 파일을 생성하는 멜론(Melon) 크랙 주의 (2012.3.2)

최근 국내에서 제작된 멜론(Melon) 서비스 크랙 파일을 실행할 경우 국내 보안 업체 AhnLab 파일로 위장한 악성 파일을 사용자 몰래 생성하는 것을 확인하였습니다.

해당 크랙(Crack) 제작자는 주기적으로 멜론 서비스를 불법적 목적으로 이용하도록 하기 위해 업데이트를 하는 것으로 추정되며, 현재 시점에서는 서버가 닫혀 있는 관계로 자세한 부분은 확인이 불가능한 상황입니다.

유포 방식은 제작자로 추정되는 네이버(Naver) 블로그를 통해 배포가 이루어지고 있는 것으로 확인되고 있습니다.

 

  • Melon.dll (MD5 : 7559ecdd5ea9209806893ccfc2105542)
  • MelonPlayerZ.exe (MD5 : 64381ba6e233c435734eb69603665eb5) - Kaspersky : HackTool.Win32.QQHack.jf (VirusTotal : 12/43)

배포 압축 파일 내부에는 2개의 파일이 존재하며, MelonPlayerZ.exe 실행 파일은 "MelonZ-듀얼[cheatgunz]"라는 이름으로 자신의 저작권을 주장하고 있습니다.

재미있는 부분은 해당 제작자는 자신의 크랙 파일이 안전하다는 것을 증명하기 위하여 바이러스토탈(VirusTotal) 서비스에 직접 파일을 등록한 것으로 보입니다.

여기서 분명하게 짚고 넘어갈 부분은 정상적인 서비스를 불법적인 방법으로 우회할 목적의 크랙 파일 자체는 백신 프로그램의 진단 정책에 부합하며, 해당 프로그램의 경우에는 더욱 진단해야 할 근거가 있습니다.

 

해당 파일을 실행하면 사용자 PC에 vb6ko.dll 파일이 필요하다는 메시지를 표시하며, 반드시 멜론 플레이어(Melon Player)가 설치되어 있어야 정상적인 동작을 확인할 수 있습니다.

 

MelonPlayerZ.exe 실행시 연결 동작

크랙 파일(MelonPlayerZ.exe)을 실행하면 "chss.dothome.co.kr" 호스팅 서버에 접속하여 부산(Busan)에 위치한 특정 서버로부터 admin.exe 파일을 다운로드하도록 등록되어 있습니다.

 

admin.exe

  • C:\Documents and Settings\(사용자 계정)\Application Data\admin.exe (MD5 : d2eb829564fcd8402ec006d38f431635)

다운로드된 admin.exe 파일은 "Client Server Runtime Process"라는 이름으로 AhnLab 보안 제품의 AhnAzEx.exe 파일로 위장하고 있으며, Kaspersky 보안 제품에서는 Trojan.Win32.VB.bcgh (VirusTotal : 14/43) 진단명으로 진단되고 있습니다.

 

이 과정에서 현재 시점에서는 서버가 닫혀 있으며, 런타임 오류창이 생성되어 더 이상 추가적인 동작은 확인되고 있지 않습니다.

하지만 외부 정보에 의하면 admin.exe 파일은 특정 레지스트리 값을 통해 시스템 시작시 자동 실행되거나 동작에 필요한 등록을 하는 것으로 추정됩니다.

또한 자기 자신을 윈도우 방화벽에 제외 처리 방식으로 등록하여 차단되지 않도록 하는 것으로 보이며, 제작자의 의도에 따라 추가적인 악의적 동작이 발생할 수 있을 것으로 보입니다.

그러므로 멜론(Melon)과 같은 유료 서비스를 불법적으로 이용할 목적으로 크랙을 할 경우에는 멜론 계정 정보 탈취 또는 사용자 PC가 외부에서 제어될 수 있는 문제가 발생할 수 있으므로 이런 류의 프로그램은 이용하지 않도록 주의하시기 바랍니다.

  • 궁금 2012.03.02 20:33 댓글주소 수정/삭제 댓글쓰기

    님 여쭤볼게 있습니다
    제가
    며칠전 이 프로그램을 실행시켯는데요
    이것도 키데아의 멜론크랙 << 그파일처럼 키로깅이 되나요?
    키데아파일은 실행시키지 않았고
    이파일만 한번 실행시켯었습니다
    아무 이상이 없게 그 파일을 삭제하거나 하려면 어떻게 해야하나여

  • 공유좀할게요~ 2012.03.03 19:27 댓글주소 수정/삭제 댓글쓰기

    그림좀 가져가겠습니다~

  • 거니 2012.03.04 05:56 댓글주소 수정/삭제 댓글쓰기

    MelonPlayerZ.exe 실행시 연결 동작에 사용된
    프로그램 이름을 알고 싶습니다.

  • 거니 2012.03.04 07:20 댓글주소 수정/삭제 댓글쓰기

    또, 레지스트리 추가/제거 기록
    파일 추가/제거 기록
    네트워크 이용기록
    위에 관련된 프로그램을 아시면 답 부탁드립니다 ㅠ

  • 안녕하세요 듀얼입니다.
    http://melonz.xe.to 의 사이트를 다시참조하여. 소스공개게시판을들어가
    다시한번 글을올려주시고. 이글의 여부를 좀 부탁드리겠습니다.

    정말 잘못된생각이라생각합니다. 그래서 소스도공개하고. 사과장도올리고 정말
    하아.. 불법인건압니다. 하지만 제가할줄아는게 이것봤게없습니다.
    이해를하시더라도 제발 좀. 부탁드립니다

  • 그러면 2012.03.08 15:53 댓글주소 수정/삭제 댓글쓰기

    망햇네요
    어쩐지 실행시킬때마다 뜨긴뜨는데
    전체검사하면안뜨고
    실행할때 1번뜨고 안뜨던데
    그러면그 부산에서 다운받아진 그 프로그램은
    어디에서 삭제시켜야하나여?

    • 멜론 크랙 파일과 admin.exe 파일을 찾아서 함께 제거하면 됩니다.

      되도록 백신 프로그램으로 정밀 검사를 하시기 바라며, 멜론 크랙 파일을 이용할 때마다 감염될 수 있으므로 크랙 파일을 이용하지 마시기 바랍니다.

  • 사람 2012.03.09 18:45 댓글주소 수정/삭제 댓글쓰기

    이것은 한우툴 이라는
    해킹툴 DDOS 공격도 가능한
    불법적인 프로그램입니다 .

    이것으로
    남의파일을 훔처오거나 .
    남의컴퓨터를 볼수잇죠 .
    즉 좀비PC 파일입니다 .

    이걸 실행하셧을경우 .
    포맷 이란방법 뿐입니다 .
    프로세스를 끄실경우 블루스크린이 떠서
    컴퓨터가 재부팅됩니다. (프로세스클린 으로 프로세스 끄시면 블루스크린)
    어쩔수 없어요 .

    포맷뿐.. 실행하신분들 해킹 안당하시게
    보안 꼭 철저히 하시구요

  • 잘 사용 하고 있는데요;?
    메론z님께서 소스 까지 공개 하면서 울분을 토하고 있네요 ㅣㅣ

  • 벌새님이 이렇게 글을 올리셨는데도
    불구하고 아직도 나쁜 바이러스를 심더군요..

  • 업데이트 2012.03.12 00:47 댓글주소 수정/삭제 댓글쓰기

    이제 프로그램이 바뀌었는데 새로 분석해서 이 글 내용 업데이트 하셔야 되지않나요??
    프로그램이 바뀐지 모르는 사람들에게는 이 글은 내용이 잘못된 글입니다

    그리고 위에 댓글들에 답댓글 보면 프로그램 제작자는 불법프로그램 제작자라며 아예 소통조차 피하고 계신데 프로그램 이용자들은 불법프로그램 이용자라고 안하시고 피해자라고 말씀하시네요 객관적인 시선에서 소통해주셨으면 좋겠습니다
    그리고 제 의견은 프로그램제작자를 감싸거나 벌새님을 까는것이 아닙니다 글쓰시는거 보면 배울만큼 배운사람 같으니 이해하실거라 믿습니다

    • 크랙 자체가 불법적 프로그램이므로 해당 크랙에 대해 매번 검증하지는 않습니다.

    • 그리고 이용자를 피해자라고 언급한 부분은 사용자 중에서 그런 악성 파일로 피해를 당할꺼라고 생각하지 못한 사람들을 중심으로 언급한 것입니다.

      그들도 불법 사용자는 맞습니다.

      그리고 그 제작자를 경찰에 신고 안하는 것만도 고맙게 생각해야지 여기와서 자꾸 이런 식으로 압박하는 것 같은데 제가 그 크랙 파일에 대해 재검증해야할 이유는 없습니다.

  • 업데이트 2012.03.12 11:45 댓글주소 수정/삭제 댓글쓰기

    자꾸 이런식으로 압박이라니.. 전 제작자도 아니고 댓글도 처음 쓴겁니다
    벌새님 입장이 그러하다면 저도 더 이상 댓글 안쓰겠습니다
    소신이 강하신 분이군요 벌새님은

    • 제가 만약 해당 크랙 수정판을 재확인해서 그런 악성 파일 추가 동작이 없다고 하면, 사용자들이 다시 사용할 수 있으리라 봅니다.

      하지만 그 제작자가 다시 안넣는다는 보장이 없는데 크랙이 깨끗하다는 식의 글을 쓸 이유는 없지요.

      그리고 압박이라는 표현을 한 이유는 업데이트님 외에도 비슷한 취지로 글을 받아서 말씀드리는겁니다.

  • 글 잘 읽었습니다 2012.04.08 18:36 댓글주소 수정/삭제 댓글쓰기

    ㅍ제 판단 결과는 님은 관심병이다. 입니다
    솔직히 말해서 인터넷 세계를 잘 보시면 불법프로그램..들 전부 다 활기치고있습니다
    그치만 유독 이 멜론 프로그램을 건드시는.. 그 연유를 묻고싶네요
    제가 아는 불법프로그램 혹은 사이트만해도 수십갠데 ^^
    그저 멜론크랙 제작자분이 만만해보신건가요

    분명 불법을 이용한다는거 자체가 나쁜거지만 당신처럼 난 잘났다 똑똑하다하고 유식한척 하는 분들 솔직히 별롭니다 설마 불법프로그램을 이용하시는 모든분들이
    와~ 이렇게 편한게 있다니 놀라운걸 쓰면 안되는거아닌가? 그치만 돈이 없는걸 에라이 모르겠다~
    하고 그냥 모른척 사용하시는 분들이 많습니다.
    예를들어 제트파일, 파일아이, 토렌트, 4shared.. 등
    아 설마 오 나저거 처음듣는데~? 하시는건 아니죠?^^ 그딴태도 접으시구
    님이 melonz에 비판을 하신거에대해 책임감이 있어야합니다
    상대방이 님의글에대해 다시 반문을했는데 단지 그것이 불법프로그램이다. 상대할 가치도 없다. 라는 식의 태도는 그저 님은 관심병이다.. 라는 생각밖에 안드네요
    님은 그 검사한 프로그램조차 밝히지도 않으시면서^^* 그럼 제 소견 여기서 마칠게요
    글 .. 내리길바래요 저도 이제 멜론크랙, 4shared 같은거 안쓰니가^^

    • 해당 글의 삭제를 원하시면 정식 절차를 거쳐서 삭제를 요구하시기 바랍니다.(http://cs.daum.net/redbell/right2010/libel_report.html)

    • 헐랭 2012.04.22 11:14 댓글주소 수정/삭제

      그만 좀 하시죠
      사실 불법 아닙니까
      易地思之가 무슨 뜻인지는 알고 있으시겠죠?
      쓰는 것도 문제지만
      그렇게 당당할 수 있는 겁니까?

  • 음.... 2012.04.15 00:13 댓글주소 수정/삭제 댓글쓰기

    살짝 이상한 점이있는데요 듀얼님은 exe 파일만 배포하시지 dll 파일은 안하시는 걸로 아는데요 누군가 파일을 수정 했을 가능성은 없다고보신건가요?

    • 음.. 2012.04.15 00:16 댓글주소 수정/삭제

      저도 멜론z 잘쓰고 잇지만 admin.exe 가 강제다운되거나 프로세서에 잡히거나 한 적은 없는데요 가끔 일부 모르는 사람들이 다른경로에서 수정된 melonz 를 받아서 썼다가 컴퓨터를 날리거나 하신 분들도 없으리라 보장은 못하시는거네요

    • 해당 분석글 공개로 인하여 크랙을 변경했다고 하더군요.

      그리고 배포자 입장에서 이런 글이 공개되면 동일한 위치에 동일한 파일을 생성하는 바보는 없을겁니다.

  • 잘 읽었습니다만 2012.04.15 00:29 댓글주소 수정/삭제 댓글쓰기

    그 프로그렘을 어디서 다운받았는지, 무엇으로 검사를했는지, 어떠한 악성코드가 발견되었는지는 증거를 제시 안해주셨네요 따라서 멜론 크랙 제작자가 악의로 그랬다는건 증명이 되지않습니다 또한 다른분들의 눈에는 '억지' 로 보일 뿐이죠 게다가 "불법프로그렘 제작자와는 의견교환할 가치가 없다" 라고 하신거 보면 찔리는 것도 있다고 밖엔 안보입니다 그래서 사용자분들께 질타를 받는 것이고요 또 경찰에 신고안한것만도 감사해라 .... 라 하시는데 과연 그분들을 '신고' 한다해서 멜론 크랙은 '중단' 됐을까요? 오히려 님덕에 멜론크랙을 어둠의 경로로 찾으시다가 이번 일 보다 더 커질텐데 신고하는게 이득일까요? 그랬다면 '멜론' 측에서 먼저 신고를 하겠죠 지금 글에는 다른사람들이 정확하다 라고 말할 결정적임 증거가 없습니다 태클덧글에 반론만 하실게아니라 직접 태클댓글이 오지못하게 글을 완벽하게 만드세요

    • http://hummingbird.tistory.com/3616

      다른 글을 안보신 것 같은데.. 저런 짓하는 사람과 뭔 의견 교환을 해야하는지 모르겠군요.

    • 다른글을 봤다 안봤다가 중요한게 아니잖습니까 2012.04.15 10:32 댓글주소 수정/삭제

      제작자분이 melonz 이외에 다른 크랙을 만들었다는 증거를 제시하세요 ㅎㅎ 그럼 인정해드리죠

    • 큰문제점은 2012.04.15 10:34 댓글주소 수정/삭제

      지금 여기서 큰 문제점은 글쓴이가 단순히 멜론크랙 이라는 불법프로그렘을 제작한다해서 의견교환이 필요없다 뭐하다 하고 제작자가 악의적으로 만들었다는 증거도 없이 나쁘다 라고만 평가하시는데 증거도 불충분합니다

    • 사이버 범죄자와 의견 교환해서 그쪽 요구 들어주는 것도 공범입니다. 그래서 제 블로그 정책상 그런 행위는 하지 않습니다.

    • 제가 그 제작자가 다른 프로그램 만들었는지 조사할 이유가 없습니다.

      당장 이 파일만 봐도 사용자를 속일 목적으로 AhnLab 파일로 위장하여 몰래 시스템에 심고, 차후 제작자가 서버를 오픈하여 추가적인 파일 다운로드나 명령에 따라 정보 수집이 가능하므로 당연히 이 프로그램 자체가 악성인데 뭘 증명합니까?

      더 이상 글로 항의하셔도 사고관의 차이로 답변 안하겠습니다.

    • 답변하지 마세요 ㅎㅎ 2012.04.15 11:46 댓글주소 수정/삭제

      그냥 루저인증

    • 어 차 피 2012.04.15 11:47 댓글주소 수정/삭제

      당신같은 인간들이 발악을 한들...
      멜론크랙유저는 줄지 않습니다 ㅎ

    • 사용하던 말던 관심도 없지만 여기와서 찌질거리는 것 참 보기 안좋습니다.

    • ViOLeT 2012.04.15 11:52 댓글주소 수정/삭제

      발악하는(?)거 보기 싫으시면 다시는 이곳에 오지 마시길 ^^;

  • 분명 당신도 2012.04.15 00:34 댓글주소 수정/삭제 댓글쓰기

    어둠의 경로를 이용하지 않는다고 만천하에 공개할수는 없겠네요 ㅋㅋㅋ 그냥 짜져요 멜론크랙에대해서 안돟은기억있으니까 그러시는거겟지 게시글도 멜론크랙커 공격하는게 좀잇네 ㅋㅋㅋㅋㅋ

  • ViOLeT 2012.04.15 01:27 댓글주소 수정/삭제 댓글쓰기

    위엣 분들? 멜론 크랙 만든 것, 혹은 이용하시는 것이 자랑인가요?

    불법 만드신 분이나 이용하시는 분들이 오셔서 이런 황당한 태클을 건다는게 도무지 이해가 되지 않는군요. 크랙 자체가 기업의 손해를 입히는 악의적인 것인데 왜 악의적이고 아니고를 따지시는지...

    적어도 크랙을 만드셨다면 혼자 조용히 쓰세요. 이런 태클 자체를 적을 권리 없습니다.

    남들도 그러는데 왜 나만 그러느냐는 황당한 논리는 그만!

    • 그럼 하나 물어봅시다 ㅎ 2012.04.15 10:31 댓글주소 수정/삭제

      님은 그럼 크랙이나 그런 어둠의 경로를 한번도 사용 안했다고 하시는겁니까?? 그냥 아봉하고 계시는게 낳겠네요

    • ViOLeT 2012.04.15 11:40 댓글주소 수정/삭제

      이런 부류 중 가장 우스운 논리를 드는 경우가 이 경우입니다.

      "당신은 한 번도 불법 안해봤냐? 해봤으면 말을 말아라."

      제가 든 논리는 명확한 근거가 있습니다. 그러나 이 논리는 근거라고는 눈꼽만큼도 없지요.

      이런 논리는 정상적으로 반박하기가 어려울 때 가장 많이 나오는 제일 수준 없는 논리입니다. ^^
      제대로 된 논리 들고 오세요.

      다른 논리 없으시면 침묵하시길 ^-^*

  • 듀얼에 대한 열등감 폭팔이네.....ㅋㅋㅋ